[b][color=#FF0000]本文为原创,转载请注明[/color][/b]
前面在杀毒的过程中,有提到caiyi8这个网站,杀完毒后,到网上搜索了一下。
发现这是个相当阴险的广告软件,它采用了[b]随机命名[/b]的方法,和SReng等查杀木马软件相似的技术,可以有效地逃过专杀软件。
这么说的原因是在几个人发布的杀毒方法中,进程的名称都不一样。
看到的几种命名方式:
BFD50CF0
6ECC4806
CEB8F732
FB607BCF
……
总的来说采取[color=#FF0000][b]8位随机英文+数字混合[/b][/color]的命名法,看上去有点像16进制。
通过总结发现以下几个特点:[b](此处假设名称为FB607BCF,请依据实际情况判断)[/b]
1.在进程里出现FB607BCF.exe进程
2.在服务项里出现FB607BCF的服务
3.在system32文件夹里创建FB607BCF.EXE,FB607BCF.dll
4.注入explorer.exe和winlogon.cxe进程。
解决方法:
依然以FB607BCF为例,请各位根据自己的情况判断木马的名称。
这里我们需要process explorer的协助
下载地址:http://www.onlinedown.net/soft/31805.htm
1.打开process explorer,[b]双击[/b]explorer.exe,在弹出的窗口内选择[b]线程选项卡[/b]
2.在线程列表中找到FB607BCF,选中,点击[b]终止[/b]。
[img]attachment/1183355941_0.png[/img]
3.将所有FB607BCF线程都终止。
4.同样的方法终止winlogon.exe里的FB607BCF线程。
[img]attachment/1183355942_1.png[/img]
5.右键单击[b]我的电脑[/b],选择[b]管理[/b],再选择[b]服务[/b]。
在服务列表中,找到名为FB607BCF的服务,[b]单击右键[/b],选择[b]停止[/b]。
再单击右键,选择[b]属性[/b],将启动项改为[b]禁止[/b]。
6.运行注册表“regedit”,查找“FB607BCF”字样,删除所有相关项。
7.到文件夹“C:\WINDOWS\system32”下,删除所有名字含有“FB607BCF”字样的文件。
8.[b]推荐删除完成后对系统盘做一次全面的查毒,以防有所遗漏。[/b]
我按照楼主的办法杀掉了
谢谢
THANKS
高手,其它方法都狗屁不通[emot]zan[/emot]
终于把毒杀了,万分感谢!
nod32全搞定
[emot]zan[/emot]
搂主 真是太感谢你了 连我这个电脑盲 都可以按你的方法把毒给杀了 楼主 厉害
谢谢
那个地址下的东西和你贴图的那个差距比较大.
明白了!谢谢楼猪
楼主可以留个联系qq么,我上面没有八位的随机混合.dll文件
也没有.exe文件