- UID
- 228411
- 积分
- 0
- 精华
- 贡献
-
- 威望
-
- 活跃度
-
- D豆
-
- 在线时间
- 小时
- 注册时间
- 2005-3-18
- 最后登录
- 1970-1-1
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
×
//在贪婪大陆down了个动画,down完后才发现怎么是exe结尾,
当时也没多想就直接运行了,运行后是mpc弹出来开始播放,看来文件是rmvb格式的,
但没多久后skynet就拦截到explorer.exe要打开wingate和ftp端口以及一堆对外的连接申请...
马上感觉肯定中毒了 - -^
用norton企业版8.0查了一下居然报告系统里没毒(病毒库是4月21日的) - -|||
去google上逛了一大圈才查到中的病毒是backdoor.huigezi的变种,但又不能确定是哪个变种,只能一个一个试下来,吐血 - -b
终于查到是backdoor.huigezi.e的变种,
特征是会在windows的system32的目录里生成SVCH0ST.DLL和SVCH0ST.EXE
(注意,正常的系统程序SVCHOST.EXE里的O是英文字母O,
而这个木马的客户端SVCH0ST.EXE里的0是数字0)
继续在google上查...发现目前只有瑞星2004(4月15号的病毒库)才能识别这个病毒
http://www.google.com/search?hl= ... svch0st.dll&lr=
google上居然只有这么一个查询结果... - -|||
最后去dos下把这两个文件干掉了...再去注册表里把SVCH0ST相关的键值删干净了...终于太平了... = =
正在用norton的人,都去查查自己的windows目录里有没有svch0st吧,注意,是数字里的0...
ps,
svch0st.exe是hs属性,所以用查找是查不到这个文件的,只能查到svch0st.dll
如果系统分区是fat32的,直接去dos下删了这两个文件就没事了,要注意得先用attrib去掉svch0st.exe的hs属性后才删得掉,
如果系统分区是ntfs的就比较麻烦了 - -b 装个ntfs for dos的正式版后再去dos下删吧
或者去安全模式下试试 |
|