看看这个,彻底清除DTservice木马
很简单DTservice利用了run32.dll进行调用,每次及时在注册表中删除,它马上会重新写回。跟踪发现其dtservice.dll躲藏在TEMP目录里,但是无法删除!
既然终止RUN32.DLL也无法结束DTservice那么该进程显然并不匿藏于run32.dll而是别的进程里面。使用软件Process Eexplorer逐个检查进程的属性,最终发现IEXPLORER.EXE里面调用了DTservice.dll选择终止该模块。然后进入TEMP目录还是不能删除dtservice.dll,但是可以重命名dtservice.dll,修改名称为其他如DT.DLL
搜索注册表dtservice.dll,找到相关键值删除!
重新启动机器后,发现可以删除DT.DLL。
木马清除完毕!
该木马的隐藏机制相当巧妙,而且有自我修复功能,属于比较顽固的木马程序。它可以在用户无知觉的情况下,打开机器端口。
