1   1  /  1  页   跳转

dll.exe的查杀

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-06 11:00 | 只看楼主 短消息 资料
字号: 1楼

dll.exe的查杀

这是个后门。卡巴斯基命名为Backdoor.Win32.PcClient.ck。

查杀过程:

1、结束病毒进程dll.exe和系统进程spoolsv.exe(被病毒插入)。

2、删除下列文件:

C:\windows\system32\00007981.dll
C:\Documents and Settings\当前用户名\Local Settings\Temp\151.tmp
C:\Documents and Settings\当前用户名\Local Settings\Temp\152.tmp
C:\Documents and Settings\当前用户名\Local Settings\Temp\153.tmp
C:\windows\system32\dll.exe

3、清理注册表:

展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

删除:Messenger(指向:C:\windows\system32\dll.exe)。
最后编辑2006-02-08 20:26:09
分享到:
gototop
 
有情人终成眷属
头像
飘泊而立狮
  • 帖子:582
  • 注册: 2005-03-30
  • 来自:
发表于: 2005-09-06 11:02 | 短消息 资料
字号: 2楼

SYSTEM32下的文件名会不会变的?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-06 11:06 | 只看楼主 短消息 资料
字号: 3楼

引用:
【有情人终成眷属的贴子】SYSTEM32下的文件名会不会变的?
...........................

感染系统两次,.exe和.dll文件名未变。
gototop
 
有情人终成眷属
头像
飘泊而立狮
  • 帖子:582
  • 注册: 2005-03-30
  • 来自:
发表于: 2005-09-06 11:07 | 短消息 资料
字号: 4楼

还是小毒哈
gototop
 
泪痕纹心
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2006-02-04
  • 来自:
发表于: 2006-02-04 21:42 | 短消息 资料
字号: 5楼

小毒?我删了好几次没删除了  还小毒呢
gototop
 
2116bromgamed2m
头像
锋芒艾服狮
  • 帖子:1263
  • 注册: 2005-10-18
  • 来自:SC
发表于: 2006-02-05 00:47 | 短消息 资料
字号: 6楼

这还是个后门呀?

学习。
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-02-05 08:12 | 短消息 资料
字号: 7楼

最讨厌这种插入系统进程的木马了

HIJACKTHIS日志也看不出来
5555555555555555555

向baohe版版学习中
gototop
 
天天网
头像
强壮不惑狮
  • 帖子:782
  • 注册: 2005-03-12
  • 来自:
发表于: 2006-02-05 09:27 | 短消息 资料
字号: 8楼

学习 收藏
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2006-02-08 20:26 | 短消息 资料
字号: 9楼

Messenger  不是正常的服务吗~~(可以允许两个相同的服务名同时存在吗~~?还是它只是把此服务的可执行文件路径改变了~~??)
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT