瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 致“ 我是呵呵后”——你那个木马的查杀
baohe - 2006-1-14 20:06:00
这个垃圾木马通过ShellExecuteHooks挂接EXPLORER.EXE(资源管理器)而加载。手工查杀时要采取点而特别手段。

一、用KillBox删除木马文件(见图1、图2)。


二、清理注册表:

1/展开:HKEY_CLASSES_ROOT\CLSID\
删除:{B9870EA0-492E-46E5-811C-AB0577448921}
2/展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除:"{B9870EA0-492E-46E5-811C-AB0577448921}"=""


图1

附件: 1558472006114200636.jpg
baohe - 2006-1-14 20:07:00
图2

附件: 1558472006114200701.jpg
我是呵呵后 - 2006-1-14 20:31:00
谢谢,按你的方法搞定了

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

下面酸除了你说的那一项,还有一项{AEB6717E-7E19-11d0-97EE-00C04FD91972}用不用酸
baohe - 2006-1-14 20:37:00
【回复“我是呵呵后”的帖子】
{AEB6717E-7E19-11d0-97EE-00C04FD91972}——不要删。
我是呵呵后 - 2006-1-14 20:45:00
OK,知道了
影子110 - 2006-1-14 21:17:00
这个rxjh.exe杀软还杀不出它是病毒~~~
我下的是140KB的文件,,,
(它所有的下载链接都是指向那一个地址~~~)
版主,
这个文件已经发到你的邮箱里了~~
baohe - 2006-1-14 21:23:00
引用:
【影子110的贴子】这个rxjh.exe杀软还杀不出它是病毒~~~
我下的是140KB的文件,,,
(它所有的下载链接都是指向那一个地址~~~)
版主,
这个文件已经发到你的邮箱里了~~
...........................


谢谢!
你发的RAR包收到。
刚才楼主直接给我发EXE文件。YAHOO邮箱的诺顿居然说附件无毒!汗!!
rxjh.exe绝对是个木马。
baohe - 2006-1-14 21:26:00
【回复“影子110”的帖子】
刚用卡巴昨天的病毒库扫你给的包————

附件: 1558472006114212657.jpg
影子110 - 2006-1-15 17:16:00
好像用瑞星还是查不出来~~~
不知道是不是病毒还是没有报上去还是怎么的~~
今天瑞星总是说已经是最新版~~~
1
查看完整版本: 致“ 我是呵呵后”——你那个木马的查杀
© 2000 - 2026 Rising Corp. Ltd.