bianbian coding life

本文Tags: 木马

从来不装杀毒软件，我也从来不乱装东西，乱看网页。基本上没事。不装杀毒软件是因为这个不仅会拖慢系统，而且是个马后炮，真正厉害的病毒来了大家一起挂；而且现在杀毒软件越来越像个病毒了。。。。
寒，机器被谁用了下，就被装了个木马。因为我的机器做了个代理，访问网站是有日志的。发现系统最近老是去下载某个叫816.exe的文件。感觉不对。
首先看了下任务管理器，没有奇怪的进程－－肯定注入到其他进程里了（基本上是可怜的Explorer.exe）。
用Sysinternals Process Explorer看了下，果然，Explorer.exe所有使用的DLL里有个DLMon.dll，是个奇怪的东西。google了一下，果然是个盗QQ密码的木马。
于是用Sysinternals Process Explorer杀了Explorer.exe的进程，运行cmd，cd C:\windows\system32，del DLMon.dll，居然提示没找到－－肯定又用了attrib的伎俩，那可是高中DOS时代的法宝－－于是先 attrib *Mon.dll -s -h，del DLMon.dll，这下干净了。同时system32还有一个DLMain.dll，也要删除。
再运行Explorer.exe，没有奇怪的附加DLL，基本上可以了。然后regedit，搜RunOnce，把RunOnce里和Run里莫名奇妙的一些exe启动项（包括指定的文件）给删了：
C:\windows\system32\intenet.exe （Windows正常的是internet.exe，少了个r）
C:\windows\816.exe （还有系统的temp里肯定也有）
C:\windows\Program Files\Intel\rundll32.exe （寒Intel）
OK了。如果能抓到写这些垃圾软件的，一定要大家一起动手打一顿。

相关日志

• 无相关日志.