| | | | | | | [文章信息] | | | 作者: | 胖大鸟 | | 时间: | 2005-01-25 | | 出处: | 天极BBS | | 责任编辑: | 原野 | |
| [文章导读] | | | 本文讲述针对即时通讯工具QQ的最新病毒如何用手工进行清除的过程…… | |
| |
|
| | | |
|
|
|
|
|
| 只查找c:盘,结果是有一个病毒,但列表中并没出现哪个文件,于是又多次查找,终于大概看到是ms打头的文件,于是直接到目录查看,看到有msapi.dll,msapi.exe两个文件是染毒时间产生的,基本判断是这两个文件了。.exe 可以删掉,但马上又会新产生一个,.dll删不掉,看来内存中的程序是以dll形态运行着,如果发现.exe不存在就生成一个新的,于是又到注册表里搜索msapi,终于发现在winlogin 的子键shell里有,呵呵总算找到它了,下面把它删除了,但是再一看又出来了,看来内存中的程序一直监控着这个键值,它是下次系统启动病毒正确执行的关键。
既然内存中的先清除不了,但.exe文件可以删除于是我把记事本程序改了成msapi.exe拷了过去,覆盖了病毒的msapi.exe,重新启动机器,哈,和预想的一样,记事本出来了,内存中应该没有病毒了,手动删除掉msapi.dll和注册表里的键值,就这样问题解决了。
最后总结一下所得到的经验和教训,看来开机启动运行的程序不一定都在RUN键值里,用explorer启动的程序在进程中只是显示explorer,分析这样的程序时最好先用工具备份注册表,最后觉得这个程序应该算是后门程序,在这里,希望和大家分享一下这个经历,本人文字功夫有限,有理解不对的地方还望大家指正。
|
|
|
|
|
|
|
|
|
