|
|
电脑突然变的很慢很慢,CPU占用100%.一看就知道,又有病毒光顾我的本本了.由于我不装杀毒软件,而习惯手工杀毒.
那今天我就把我的杀毒过程与大家共享一下.
先说一下我中木马了后的现象,首先电脑变慢了,这是其一,然后任务管理器打不开.等杀完木马后我上网查了下知道,杀毒软件也会被他禁止,强行关闭.
那任务管理器不让用那就一定有可疑进程在任务管理器中能被发现了.
打开CMD,运行TASKLIST,还好没被禁止,为什么木马作者想不到这一点?哈哈.在众多的进程中发现了一个可疑的.名为spolsv 当时它的PID为364 这个可是每次都不同的啊,大家要清楚.然后用命令 taskkill /pid 364 /f将它终止.
/f 是强行终止的参数.之后发现任务管理器可用了.找到根源了呵呵.之后查找了一下,在windows\system32\drivers中发现了它,唯一一个应用程序.删除~,还有一个同名的DLL文件,一并删除~
没干别的,先重起了下电脑.之后发现它又出现了~
知道还有别的工作要做了.
打开注册表,不下面的删除,都可疑,当时还不敢确定.
[hkey_local_machine\software\microsoft\windows\currentversion\run]
"netconfig"="c:\\winnt\\system32\\spoolsv.exe"
[hkey_local_machine\software\microsoft\windows\currentversion\sq]
"lastconfiginformation"="netconfig"
[hkey_local_machine\software\microsoft\windows\currentversion\runonce]
"winin"="c:\\winnt\\winin.exe"
之后我就查winin.exe,之后删除.
重起,病毒不敢露面了,杀毒成功了~
文件分析:(来自网上)
(1)、winin.exe,由注册表内容得知,在系统启动完成后,它必将运行一次,它的主要任务就是:检测spoolsv.exe及spoolsv.dll是否存在。如果不存在,则马上重新分娩,呵呵:-)
(2)、spoolsv.dll,使用“快速查看”可知,它导出两个函数,分别是starthook和endhook。对于其函数的作用,我想不必多说。
(3)、spoolsv.exe,我想这个文件,不过充其量----做些小偷小摸的事情。
评论:(来自网上)
1)、该病毒通过电子邮件形式传播。一打开邮件,附件自动下载。
(2)、该病毒有严重bug,在windows nt4.0下运行,会自露马脚,弹出错误对话框。其标题为shareqq什么的。至于在win9x下是否有此现象,本人不得而知。
但是我在查毒的过程中发现5个CMD在运行,实际我才运行了2个,而且另3个占用CPU也不小.在注册表中找到了启动项,直接删除它以及文件.再没出来过.后来后悔了,还没来得及分析一下.名字都没看清.~~~ |
|
IP卡
狗仔卡
发表于 2007-1-14 21:27
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
