baohe - 2005-9-6 11:00:00
这是个后门。卡巴斯基命名为Backdoor.Win32.PcClient.ck。
查杀过程:
1、结束病毒进程dll.exe和系统进程spoolsv.exe(被病毒插入)。
2、删除下列文件:
C:\windows\system32\00007981.dll
C:\Documents and Settings\当前用户名\Local Settings\Temp\151.tmp
C:\Documents and Settings\当前用户名\Local Settings\Temp\152.tmp
C:\Documents and Settings\当前用户名\Local Settings\Temp\153.tmp
C:\windows\system32\dll.exe
3、清理注册表:
展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:Messenger(指向:C:\windows\system32\dll.exe)。
有情人终成眷属 - 2005-9-6 11:02:00
SYSTEM32下的文件名会不会变的?
baohe - 2005-9-6 11:06:00
| 引用: |
【有情人终成眷属的贴子】SYSTEM32下的文件名会不会变的?
........................... |
感染系统两次,.exe和.dll文件名未变。
有情人终成眷属 - 2005-9-6 11:07:00
还是小毒哈
2116bromgamed2m - 2006-2-5 0:47:00
这还是个后门呀?
学习。
不言放弃 - 2006-2-5 8:12:00
最讨厌这种插入系统进程的木马了
HIJACKTHIS日志也看不出来
5555555555555555555
向baohe版版学习中
影子110 - 2006-2-8 20:26:00
Messenger 不是正常的服务吗~~(可以允许两个相同的服务名同时存在吗~~?还是它只是把此服务的可执行文件路径改变了~~??)
© 2000 - 2026 Rising Corp. Ltd.