本文为原创,转载请注明
前面在杀毒的过程中,有提到caiyi8这个网站,杀完毒后,到网上搜索了一下。
发现这是个相当阴险的广告软件,它采用了随机命名的方法,和SReng等查杀木马软件相似的技术,可以有效地逃过专杀软件。
这么说的原因是在几个人发布的杀毒方法中,进程的名称都不一样。
看到的几种命名方式:
BFD50CF0
6ECC4806
CEB8F732
FB607BCF
……
总的来说采取8位随机英文+数字混合的命名法,看上去有点像16进制。
通过总结发现以下几个特点:(此处假设名称为FB607BCF,请依据实际情况判断)
1.在进程里出现FB607BCF.exe进程
2.在服务项里出现FB607BCF的服务
3.在system32文件夹里创建FB607BCF.EXE,FB607BCF.dll
4.注入explorer.exe和winlogon.cxe进程。
解决方法:
依然以FB607BCF为例,请各位根据自己的情况判断木马的名称。
这里我们需要process explorer的协助
下载地址:http://www.onlinedown.net/soft/31805.htm
1.打开process explorer,双击explorer.exe,在弹出的窗口内选择线程选项卡
2.在线程列表中找到FB607BCF,选中,点击终止。
3.将所有FB607BCF线程都终止。
4.同样的方法终止winlogon.exe里的FB607BCF线程。
5.右键单击我的电脑,选择管理,再选择服务。
在服务列表中,找到名为FB607BCF的服务,单击右键,选择停止。
再单击右键,选择属性,将启动项改为禁止。
6.运行注册表“regedit”,查找“FB607BCF”字样,删除所有相关项。
7.到文件夹“C:\WINDOWS\system32”下,删除所有名字含有“FB607BCF”字样的文件。
8.推荐删除完成后对系统盘做一次全面的查毒,以防有所遗漏。
前面在杀毒的过程中,有提到caiyi8这个网站,杀完毒后,到网上搜索了一下。
发现这是个相当阴险的广告软件,它采用了随机命名的方法,和SReng等查杀木马软件相似的技术,可以有效地逃过专杀软件。
这么说的原因是在几个人发布的杀毒方法中,进程的名称都不一样。
看到的几种命名方式:
BFD50CF0
6ECC4806
CEB8F732
FB607BCF
……
总的来说采取8位随机英文+数字混合的命名法,看上去有点像16进制。
通过总结发现以下几个特点:(此处假设名称为FB607BCF,请依据实际情况判断)
1.在进程里出现FB607BCF.exe进程
2.在服务项里出现FB607BCF的服务
3.在system32文件夹里创建FB607BCF.EXE,FB607BCF.dll
4.注入explorer.exe和winlogon.cxe进程。
解决方法:
依然以FB607BCF为例,请各位根据自己的情况判断木马的名称。
这里我们需要process explorer的协助
下载地址:http://www.onlinedown.net/soft/31805.htm
1.打开process explorer,双击explorer.exe,在弹出的窗口内选择线程选项卡
2.在线程列表中找到FB607BCF,选中,点击终止。
3.将所有FB607BCF线程都终止。
4.同样的方法终止winlogon.exe里的FB607BCF线程。
5.右键单击我的电脑,选择管理,再选择服务。
在服务列表中,找到名为FB607BCF的服务,单击右键,选择停止。
再单击右键,选择属性,将启动项改为禁止。
6.运行注册表“regedit”,查找“FB607BCF”字样,删除所有相关项。
7.到文件夹“C:\WINDOWS\system32”下,删除所有名字含有“FB607BCF”字样的文件。
8.推荐删除完成后对系统盘做一次全面的查毒,以防有所遗漏。
也没有.exe文件
搂主 真是太感谢你了 连我这个电脑盲 都可以按你的方法把毒给杀了 楼主 厉害
很高兴对你有用。
谢谢