教你手工剿灭QQ广告弹出木马(1)

中华网科技 http://tech.china.com 2006-01-13 13:57:22

【进入BBS】【进入聊天室】【 推荐给朋友 】【浏览字号：大 中 小】【关闭窗口】

　　具体的不知道从哪天起，我的Maxthon浏览器好像不能拦截一些网站的广告了，屏幕的右下角也不时的出现如QQ广告一样的东西，一开始以为是网站和QQ的广告。但越用越不对劲，仔细一看，右下角的根本就不是QQ的广告，出来的整个广告就是一个链接，不像QQ广告外面还有一个框，鼠标放在上面是不会变成手形的，而这个广告，无论鼠标放在什么地方都是手形的。我开始怀疑我中招了，将杀毒软件升级到最新也不能查杀，打开浏览器，上网搜索，发现也有朋友中了这种木马，但该网友提供的方法并不能删除木马，无奈之下只好自己“动手”了，以下就是我的整个手工清除木马的过程，写出来与大家分享。

　　1、常规操作

　　打开任务管理器，查看进程，并没有发现什么不良进程。

　　2、深入挖掘

　　运行Regedit，依次展开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，一看，果然多了个新家伙Advapi32，一看键值，竟然加载的是一个Dll文件，而这个文件位于C:WINDOWSDownloaded Program Files目录下的_IS_0518目录中。找到了根源就好办了，先删除了启动项，再删除对应的木马文件就行了，但到了C:WINDOWSDownloaded Program Files目录一看，发现这些文件根本看不到（开启了显示隐藏文件项）。且重启之后启动项又出现了，很显然，这个木马监视注册表，且文件隐藏。为了剿灭彻底，以下步骤是进入安全模式后进行的（开机时按住F8键或Ctrl键不放直到启动菜单出现）。
　　在第三步之前，我曾尝试直接用第四步的方法删除木马文件，但发现重启之后木马并没有消失，因此初步判断该木马存在备份文件。

　　3、清除木马备份文件

　　打开“我的电脑”进入C:Windows目录，发现一个可疑目录Backup，进去一看，果然启动项加载的Dll文件也在里面，但启动项加载的却不是这个目录中的文件，很显然这个目录就是木马的备份，先删除这个备份目录再说，但刚刚删除，大概一两秒的时间这个目录又被重新建立。这个木马还真狡猾，竟然在安全模式还能自动加载且监视备份文件，一旦备份文件被删除，马上又会建立。正所谓“以彼之道还施彼身”，它能监视且能自动建立备份目录，我如果能先将目录删除，然后抢在它的前面建立目录不就行了吗？因为Windows是不允许同一目录下有两个文件或目录同名的。但从备份目录被删除到被重新建立中间的间隔太短了，手工肯定是不行的，那么就用Dos时代的批处理吧！先建立如下的批处理文件，命名为Kill.bat，双斜杠之后是注释，实际操作时无需输入。
Move c:windowsbackup c:windowsbak //将Backup目录重命名为Bak
Md c:windowsbackup //在C:windows下建立Backup目录
这时再打开“我的电脑”，依次进入C:windows目录，将Bak目录删除，即完成了木马备份文件的删除。

首页 上页 | 1 | 2 | 下页 尾页  共 2 页