網(wǎng)友實踐：一個木馬病毒的查殺過程

申請免費試用、咨詢電話：400-8352-114

寫這個文章的目的，是讓大家知道，遇到木馬后應該怎么辦。因為這個木馬是我第一次接觸，我想我殺木馬的經(jīng)歷，應該會對大家有幫助的吧。至于這個木馬的具體情況，來源，功能等詳細內(nèi)容，我沒研究，反正zer說要寫一篇文章出來的昨天晚上，zer4tul給我了個木馬（exelinks.exe），讓我來試試，呵呵。收到后，運行，沒有任何反應（廢話?。。?/FONT>

然后，我查看進程，先把exelinks進程殺掉，然后運行regedit
…………………………
……………………………………
……………………………………………………

找不到這個文件?。?！

我ft

難道是exe文件被關聯(lián)無法打開了？

查找，居然是這個文件丟了（zer4tul那里沒丟，看來不具備共性）

只好運行regedt32.exe了，呵呵

發(fā)現(xiàn)在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下面多了一個網(wǎng)絡服務 啟動程序名字為 svchoost.exe，這個當然是他了，刪除，呵呵

這個時候，我重起系統(tǒng)，運行regedt32，發(fā)現(xiàn)run里又有了他，殺進程，刪除文件

既然又有，說明還有啟動的來源，來源是什么？對了，我不是運行了regedt32嗎？這個可是exe文件啊。

查看.exe內(nèi)容，寫的exefile，沒問題

查看exefile內(nèi)容，shellopencommand里的內(nèi)容為

winnt/system32/exelinks.exe %1 %*，呵呵，果然關聯(lián)了

修改回來，%1 %*

另外根據(jù)zer4tul提示，這個程序原始名字是windowssend.exe

我在winnt/system32/start 目錄找到了它

估計是想做個自動啟動吧，呵呵，這個文件也刪除掉

重起系統(tǒng)，看進程，看注冊表，一切正常了，這樣，木馬就殺完了

(ccw-cnw論壇整理)