Flash and 网络工程师

今天遇到一台电脑 中了木马  虽然使用ARSWP可以马上清除 但接网线 再重启 就不行了

测试了一个方法  并没有清除干净  明天再测试一下 其他方法

http://www.3ctime.cn/2007/12/Fault/lyloadqr.exe.html

http://www.shadu100.com.cn/mianfeixiazai/167.html

刚刚发现 这是一个网游木马：

http://secure.itdigger.com/2007%5C12%5C29/370066187859.htm

1.生成文件
%windir%\SSLDyn.exE
%sys32dir%\SSLDyn.dll

2.生成注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SSLDyn "C:\WINDOWS\SSLDyn.exE"

3.病毒运行后会自删除.

4.病毒运行会把DLL文件注入到Explorer.exe进程和非系统进程当中.

5.病毒会利用消息钩子盗取用户的账号和密码等信息,并以网页提交的方式发送到以下的网址当中:
http://www.j*****.cn/shijian/tempes/post.asp

病毒进入用户系统后，会在系统盘中释放出两个病毒文件，分别为系统根目录%WINDOWS%下的SSLDyn.exE和%WINDOWS%\ system32\目录下的SSLDyn.dll。然后，修改注册表启动项，将自己的相关数据写入其中，达到随系统自动启动之目的。完成这个步骤后，病毒 就将自己的原始文件删除，这样，用户就不容易发现自己电脑里出现多余的东西。



找到一个专杀：
http://www.du-ba.org.cn/2007/12/28/p343/
下载专杀工具：