闪电风暴 - 2006-8-29 11:25:00
此木马为服务级木马.
木马行为:
调用 Services.exe创建一个服务.
+ Windows Processdos Windows Createddos c:\windows\system32\love.exe
将自已复制到C:\WINDOWS\system32\love.exe.
新建C:\WINDOWS\system32\deleteme.exe
在木马成功感染后删除c:\windows\system32\deleteme.exe
删除源木马文件.
查杀:
终止Iexplore.exe进程(正常的IE进程,木马调用 )
用Autoruns删除这个项:
+ Windows Processdos Windows Createddos c:\windows\system32\love.exe
重启系统.
删除C:\windows\system32\love.exe
闪电风暴 - 2006-8-29 11:34:00
附带services.exe查杀方法.
木马运行后会写入注册表:
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\CONNECTIONS\SavedLegacySettings
查杀:
删除掉源文件,恢复此值即可
炫Oo逍遥oO - 2006-8-29 17:08:00
不错 ``顶一下 ```还有 那木马的样本貌似我以前也有``
蓝色冰点2006 - 2006-8-29 17:23:00
又见识 顶
闪电风暴 - 2006-8-30 10:53:00
.....
710207 - 2006-8-30 10:56:00
顶一下
deadmanzj - 2006-8-30 10:56:00
闪电。。。我有Autoruns,但好象不怎么用到,只有扫些木马时用到,具体还不清楚,我看你发了2个帖子都用了Autoruns,问下哪有教程或者资料看下
westbeck - 2006-8-30 11:03:00
学习...
炫Oo逍遥oO - 2006-8-30 12:20:00
| 引用: |
【deadmanzj的贴子】闪电。。。我有Autoruns,但好象不怎么用到,只有扫些木马时用到,具体还不清楚,我看你发了2个帖子都用了Autoruns,问下哪有教程或者资料看下
……………… |
貌似以前在这论坛看过某人使用Autoruns 那人的头像好象是个狮子``具体就记不清了```
deadmanzj - 2006-8-30 12:48:00
闪电风暴 - 2006-8-30 17:53:00
Autoruns高手\把Autoruns带进卡卡的会员.
BlackStone
技术很强
闪电风暴 - 2006-8-30 17:53:00
目前没有找到相关的教程
有毒必问 - 2006-8-30 17:55:00
辛苦了,学习
闪电风暴 - 2006-8-30 18:02:00
现在BlackStone不来卡卡了.
======
PS:baohe版主也经常用呵
炫Oo逍遥oO - 2006-9-1 15:57:00
© 2000 - 2026 Rising Corp. Ltd.
