谁能告诉我这是个什么木马?在内存
WINDOWS\SYSTEM下的木马SCANREGW。EXE(“广外幽灵”)就是靠这一项随机启动的,而原本这一项是系统在开机时调用WINDOWS下的SCANREGW。EXE命令检测注册表以及备份注册表的随机启动项目(见图六),就这样被木马的启动所替代了。 为了验证我的想法,我马上在开始菜单上运行WINDOWS\SCANREGW。EXE,结果报告为注册表没有损坏,今天已经备份;于是我把计算机的日期调后一天,然后重启,再一次运行WINDOWS\SCANREGW。 EXE,结果这一次的报告为没有找到错误,今天没有备份注册表。(见图七)果然如我所料,木马的启动代替了WINDOWS\SCANRE...全部
WINDOWS\SYSTEM下的木马SCANREGW。EXE(“广外幽灵”)就是靠这一项随机启动的,而原本这一项是系统在开机时调用WINDOWS下的SCANREGW。EXE命令检测注册表以及备份注册表的随机启动项目(见图六),就这样被木马的启动所替代了。
为了验证我的想法,我马上在开始菜单上运行WINDOWS\SCANREGW。EXE,结果报告为注册表没有损坏,今天已经备份;于是我把计算机的日期调后一天,然后重启,再一次运行WINDOWS\SCANREGW。
EXE,结果这一次的报告为没有找到错误,今天没有备份注册表。(见图七)果然如我所料,木马的启动代替了WINDOWS\SCANREGW。EXE对注册表的检查以及备份。这样的木马随机启动,也可谓是隐蔽之极。
既然找到了启动之处,手工清除“广外幽灵2。0”就轻而易举了,手工清除方法如下:
1、运行msconfig,去掉ScanRegistry的启动项;
2、重启机器,删除windows\system\scanregw。
exe和windows\system\ p两个木马文件
3、打开注册表编辑器,找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
把其中的"ScanRegistry"="C:\WINDOWS\SYSTEM\SCANREGW。
EXE /autorun"修改为
"ScanRegistry"="C:\WINDOWS\SCANREGW。EXE /autorun"
4、重新运行msconfig,把ScanRegistry的启动项加上。
5、再重启机器,就OK了。
木马是清除了,但是也给我留下深刻的印象和无尽的思索。这个木马的确是十分隐蔽。首先它不可以用优化大师这类进程查看软件查看得到它的进程,其次就是代替了系统的开机扫描、备份注册表的命令,而且木马的名字也是一样SCANREGW。
EXE,木马只是修改了随机启动项目的指向目录,这是不容易引起一般用户注意的。就是说如果用户已经中了该木马,一来进程软件察觉不到;二来也不会觉察到这一项原来看似平常的启动项目居然就是木马随机启动的藏身之处。
这样的两大的隐蔽性,使得用户中木马以后很难觉察到的。
现在的木马是越做越厉害了,如果不想遭到木马的毒手,还是千千万万要注意邮件的附件等不明来历的文件,打开它们也要小心微妙,要不中了木马都不知道就损失惨重了。
。收起