一阵清风 - 2006-1-4 23:39:00
Backdoor.Ethorse.a
破坏方法:这是一个国产后门,采用vb编写。伪装成照片,用户双击后显示无法打开图片,实际上病毒偷偷在后台运行。
运行后将自己拷贝到C:\WINNT\System32\Image.exe和C:\WINNT\System32\EtImg.ocx,并从体内释放文件到C:\WINNT\System32\EtHorse.dll。
修改wininit.ini文件如下:
[rename]
C:\WINNT\Internet.exe=C:\WINNT\System32\EtHorse.dll
C:\WINNT\System32\Image.exe=C:\WINNT\System32\EtImg.ocx
这样,等下次开机时病毒就被复制到指定位置了。
C:\WINNT\Internet.exe文件修改注册表项:
HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
(Default) = "C:\WINNT\Internet.exe"
将图片的打开方式与病毒向关联起来。
并写注册表启动向
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run
Internet = "C:\WINNT\Internet.exe"
这样,每次开机病毒都能启动。
病毒监听一个本地端口等待远程连接。
黑客连接上来以后可以利用后门做很多操作,如一般的文件操作、注册表操作、获得系统信息、远程关机、窃取QQ密码等。病毒还会记录用户的键盘操作,从而造成泄密。
但没有彻底清除的解决方法,谁能交交我杀了它!!!!
我先谢谢他了!!!!!!!!!!!!!
不言放弃 - 2006-1-4 23:49:00
既然知道了破坏方法
应该好办吧
首先进入注册表
修改文件关连并删除病毒自启动项
修改wininit.ini文件
删除病毒文件
或下载SysInfoCollect导出日志
一阵清风 - 2006-1-5 13:59:00
谢谢!但我还是不太清楚。能讲详细点吗?
我是新手!!!!不好意识~~~~~
能讲详细点吗?
不言放弃 - 2006-1-5 14:12:00
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载第6个工具
然后导出日志
© 2000 - 2026 Rising Corp. Ltd.