双进程木马的查杀

admin · 发表于 2010-12-27 23:53:35

<div id="googlead"> <script language="JavaScript" src="/ad/gg-250.js"></script></div>双进程木马的查杀
　　第一步：单击“开始→运行”，输入“Msinfo32”打开系统信息窗口，展开“系统摘要→软件环境→正在运行任务”，这里可以看到“systemtray.exe”路径在“C:/Windows/System32”下。
　　第二步：打开“C:/Windows/System32”，复制记事本程序“notepad.exe”到“D:/”，同时重命名为“systemtray.exe”。
　　第三步：打开记事本程序，输入下列代码，保存为“shadu.bat”，放置在桌面(括号为注释，无须输入)：@echooff
　　Taskkill/f/imsystemtray.exe(使用taskkill命令强行终止“systemtray.exe”进程)
　　DeleteC:/Windows/System32/systemtray.exe(删除病毒文件)
　　Copyd:/systemtray.exeC:/Windows/System32/(替换病毒文件)
　　第四步：现在只要在桌面运行“shadu.bat”，系统会将“systemtray.exe”进程终止并删除，同时把改名的记事本程序复制到系统目录。 
这样，守护进程会“误以为”被守护进程还存在，它会立刻启动一个记事本程序。
　　第五步：接下来只要找出监视进程并删除即可，在命令提示符输入:
　　“taskkill/f/imsystemtray.exe”，将守护进程再生的“systemtray.exe”终止，可以看到“systemtray.exe”进程是由&ldquo

ID3288的进程”创建的。 
打开任务管理器可以看到&ldquo

ID3288的进程”为“internet.exe”，这就是再生进程的“元凶”。
　　第六步：按照第一步方式，打开系统信息窗口可以看到“internet.exe”也位于系统目录，终止“internet.exe”进程并进入系统目录把上述两个文件删除即可。

lele521 · 发表于 2011-1-29 10:27:26

越办越好~~~~~~~~~`

凉粉天下 · 发表于 2011-2-9 14:16:42

这个贴不错！！！！！

hbcq · 发表于 2011-2-10 12:47:08

我顶啊。接着顶

a447472553 · 发表于 2011-2-20 06:59:03

勤奋真能造就财富吗？

天使别哭 · 发表于 2011-3-28 06:59:12

我顶啊。接着顶

zhuchuner · 发表于 2011-4-23 06:58:43

顶上去

dfberry · 发表于 2011-5-2 06:55:14

风物长宜放眼量

帐号		自动登录	找回密码
密码			免费注册