推荐给好友 您现在的位置: 主页 > QQ资讯 > 一波三折搞定QQ木马病毒

一波三折搞定QQ木马病毒

时间：2010-12-25 09:08 作者：沉沙收藏到：

导读: 前几天，同窗在QQ上收到一个人私祖传来的文件(见图1)，非凡很是欣喜地打开，功效什么都没有，然后就发明自己也在不竭地给人传文件，于是找我资助断根。其查杀历程一波三折，现成此文，以供年夜家参阅。 1.轻松搞定伪装品先删除了他吸取到的文件，.. 前几天，同窗在QQ上收到一个人私祖传来的文件(见图1)，非凡很是欣喜地打开，功效什么都没有，然后就发明自己也在不竭地给人传文件，于是找我资助断根。其查杀历程一波三折，现成此文，以供年夜家参阅。

1.轻松搞定伪装品

先删除了他吸取到的文件，然后用进程查察软件TroyanFindInfo(下载所在:http:// nj.onlinedown.net/soft/36670.htm)查察一下体系中悉数进程。很快发了然一个很稀罕的进程(见图2)，虽然名称是RUNDLL32.EXE，但其他的诸如版本、产品名、声名都和微软的RUNDLL32.EXE差别。

此外，该文件糊口生涯生存在System目录下，而同窗的体系是Windows 2000，体系自带的RUNDLL32.EXE应该糊口生涯生存在System32的文件夹中。基于以上的武断，初阶断定该进程为木马进程，于是就用TroyanFindInfo中的“Edit→Kill process”(编纂→结束进程)封锁失该进程。同时把C:WINNTSystem目录下的木马原文件也删除。末了在注册表中查找悉数的开机自启动项目，找到和刚才删除的RUNDLL32.EXE有关的键值即可。

小提醒

★进程查察软件很多，比如过去先容过的IceSword，本文先容的TroyanFindInfo等。我个人私家喜欢用TroyanFindInfo，由于它对照小巧，信息也对照周全，适用。当你自己不能武断出进程文件时，还可以点击“Save”(糊口生涯生存)按钮，糊口生涯生存好LOG文件，然后传给好手，让他资助剖析。

★过去年夜年夜都QQ病毒都是经由过程发送病毒网站所在来传播的，此刻也有不少经由过程QQ直接发送病毒文件，比如，使用图片图标的EXE文件，年夜家在吸取来自摰友或生疏人的动静及文件时必然要进步警戒，最好先询问一下对方是否发过该信息或文件，以免无畏中招。

★开机自启动在注册表里的详细位置可以参见本刊2005年第1期的《中毒后遗症，高手来断根》。

2.断根病毒的“幕后黑手”

原来觉得是一个Easy Case，可刚回到家，同窗就打来电话说仿佛木马没断根干净。已往一看，果真又呈现了原本的状态。根据刚才先容的要领先行措置赏罚赏罚过后，再追念一下整个操纵，揣度出年夜概木马把自己的分身潜匿到了体系的某个角落。

于是打开“我的电脑”，在菜单拦叵点击“工具→文件夹选项”，在弹出的“查察”选项卡里将“潜匿受掩护的操纵体系文件(举荐)”和“潜匿已知文件范例的扩展名”两项的勾选去除，再选中“潜匿文件和文件夹”里的“表现悉数文件和文件夹”(见图3)。

进入体系目录里，细心看了一下WINNT、System、System32的目录，果真不出所料，发了然“.exe”和“notepad.exe”两个希罕的文件，按照刚才查杀System目录下RUNDLL32.EXE的经历，这些文件既不是体系自带的措施，文件的属性又和刚才删除的RUNDLL32.EXE属性近似，可以揣度出这些文件便是木马文件，自然将其删除。末了，再去注册表，搜检一下悉数的启动项目。

小提醒

★体系自带措施都有各自特定位置和图标，比如起头要删除的“RUNDLL32.EXE”，要是是体系自带措施，那在Windows 2000/XP中糊口生涯生存在体系目录里的System32文件夹里。

★近似于“ .exe”和“notepad.exe”这类的木马文件的命名捉住了人们生理上的瑕玷，对相似对象会马虎失。要是潜匿磷鞴农展名，本例中的这两个文件粗粗看一眼就很轻易马虎失。另有一种便是用对照近似的字母可能数字来代替，到达同化的目的，比如“I”(年夜写I)、“l”(小写L)、“1”(数字1)可能是“O”(字母O)“0”(数字0)就很轻易拿来同化。

3.终极善后

鲜花易谢，当我正暗自写意时，俄然发明悉数应用措施都无法使用，还弹出如图4所示提醒，于是接连办理题目:到Window的体系目录里把“Regedit.exe”的扩展名改为COM，不分析申饬再运行，即可打开“注册表编纂器”，然后再到[HKEY_LOCAL_MACHINESoftwareClassesexefileshellopencommand]将“默认”键值改回“%1 %*”。再以“”和“notepad”为关键词举办搜索，功效又发明注册表的一处键值，即[HKEY_LOCAL_MACHINESoftwareClasses xtfileshellopencommand]也被改削成了“notepad %1”，改削回默认的“NOTEPAD.EXE %1”即可。

顶一下

0

0%

踩一下

(0)

0%

随机推荐