写这个文章的目的,是让大家知道,遇到木马后应该怎么办。
因为这个木马是我第一次接触,我想我杀木马的经历,应该会对大家有帮助的吧。
至于这个木马的具体情况,来源,功能等详细内容,我没研究,反正zer说要写一篇文章出来的
昨天晚上,zer4tul给我了个木马(exelinks.exe),让我来试试,呵呵。
收到后,运行,没有任何反应(废话!!)
然后,我查看进程,先把exelinks进程杀掉,然后运行regedit
…………………………
……………………………………
……………………………………………………
找不到这个文件!!!
我ft
难道是exe文件被关联无法打开了?
查找,居然是这个文件丢了(zer4tul那里没丢,看来不具备共性)
只好运行regedt32.exe了,呵呵
发现在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下面多了一个网络服务 启动程序名字为 svchoost.exe,这个当然是他了,删除,呵呵
这个时候,我重起系统,运行regedt32,发现run里又有了他,杀进程,删除文件
既然又有,说明还有启动的来源,来源是什么?对了,我不是运行了regedt32吗?这个可是exe文件啊。
查看.exe内容,写的exefile,没问题
查看exefile内容,shellopencommand里的内容为
winnt/system32/exelinks.exe %1 %*,呵呵,果然关联了
修改回来,%1 %*
另外根据zer4tul提示,这个程序原始名字是windowssend.exe
我在winnt/system32/start 目录找到了它
估计是想做个自动启动吧,呵呵,这个文件也删除掉
重起系统,看进程,看注册表,一切正常了,这样,木马就杀完了
