|
|
|
| |
木马篇
大副1492
|
我在XX网站的外挂区下载了一个所谓“传奇经验外挂”,文件为exe命名,本身就引起了我的怀疑。
下载到本机之后,打开“安全之星防火墙”和“KILL3000”进行扫描,没有发现病毒,其实现在大家都知道,普通木马软件都是逃不了他们监视的,但不要忽约了一款很厉害的木马,那就是“广外幽灵”,他是可以封防火墙和杀毒软件的进程的,现在还拿他没有办法。可行的办法就是监视注册表的一举一动!
我点击文件之后,没有任何反应(注:我平时都对木马有兴趣^_^),这是木马的最最平常的表现!
毫无疑问,一定是广外幽灵了。通过平时积累的些小知识,利用alt ctrl del查看进程,也没有发现十分可意程序。
记得有相关文章说过:但广外幽灵的原理是利用启动电脑时的扫描注册表文件为替身,就是scanregw.exe文件,这个文件为c:windows下的,但广外却把他弄到了c:windowssystem下,也取了个这样的名字。
打开注册表(regedit)编辑器,查看[HKEY_LOCAL_MACHINESoftwareMircrosoftWindowsCurrentVersionRun]里,果然发现了'ScanRegistry'='c:windowssystemscanregw.exe
/autorun'这样一条语句,暗暗庆幸自己没有连在上网,呵呵~
打开诺顿注册表跟踪器,再双击那个木马文件,我发现系统目录增加了两个文件:DXinput.dll和Scanregw.exe。
这下全部明白了,该毫不犹豫的删除它咯!
步骤:
1.先删除c:windowssystemScanregw.exe
2.修改注册表的键值,如:'ScanRegistry'='c:windowssystemscanregw.exe
/autorun'
修改为:'ScanRegistry'='c:windowsscanregw.exe /autorun'就可以了。
3.重新启动机器(还没有完呢)
4.再删除c:windowssystemDXinput.dll这个动态连接库文件
5.重新启动(大公告成)
(PS:为什么最后才删Dxinput.dll呢?因为你最先运行它的时候已经被机器调用了,当然不可以删咯)
就说这么多了,大家以后都自己多多注意吧,不然丢了密码的话就后悔莫急了。 |
|
|
