晕啊，天天中彩！这些又是什么？

lxl1638 · 发表于 2007-7-20 20:41:05

女儿放假了，机子对她开放，天天中大奖。
这个木马有以下文件，都删了，也在相应位置用这些文件名建立了加权限的目录，与dxijqj39.sys有关的驱动注册信息也删了，但重启时始终发现在启动项通过 RunDll32.EXE 加载 wqjbik43.dll，无奈之下只好给注册表的启动项再加权限。

wqjbik43.dll
qzlqvf62.dll
dxijqj39.sys

但这样始终不是办法，要安装一些工具时又要去改注册表的权限，谁对这个木马了解多些，有何良策？？

netwinxp · 发表于 2007-7-20 20:52:21

你跟踪一下木马建了哪些文件，用批处理把含木马进程的全KILL掉，并删除木马文件。病毒看上你了;P

[ 本帖最后由 netwinxp 于 2007-7-20 08:53 PM 编辑 ]

hytmtet · 发表于 2007-7-20 21:27:17

原帖由 lxl1638 于 2007-7-20 08:41 PM 发表
女儿放假了，机子对她开放，天天中大奖。
这个木马有以下文件，都删了，也在相应位置用这些文件名建立了加权限的目录，与dxijqj39.sys有关的驱动注册信息也删了，但重启时始终发现在启动项通过 RunDll32.EXE 加 ...

用autoruns分析下就知道是怎么加载来的了`

选中验证微软代码签名
选中隐藏微软的项目

刷新一遍
剩下的东西```一眼就看出病毒的根源了

netwinxp · 发表于 2007-7-20 21:59:08

先用PE杀，再改注册表，不行重装，现在很多东西改了很难通过微软代码签名的。

kangyi · 发表于 2007-7-21 08:15:22

装个冰点任她折腾

省心

:P

netwinxp · 发表于 2007-7-21 08:21:15

人家如果用ring0直接调用硬件设备，估计冰点也没辙

kangyi · 发表于 2007-7-21 08:56:52

那么强悍的bingdu怎么从没光顾过我啊:@ :D

nn2nn · 发表于 2007-7-30 00:12:34

提示: 作者被禁止或删除内容自动屏蔽

		自动登录	找回密码
密码			注册

nn2nn nn2nn 当前离线积分 7895 IP卡狗仔卡	发表于 2007-7-30 00:12:34 \| 显示全部楼层 ---> 升级权限提示: 作者被禁止或删除内容自动屏蔽
nn2nn nn2nn 当前离线积分 7895 IP卡狗仔卡
	回复使用道具举报显身卡

晕啊，天天中彩！这些又是什么？

浏览过的版块