手刃“代理木马下载器” 病毒

最新推荐文章于 2024-07-11 21:34:18 发布
最新推荐文章于 2024-07-11 21:34:18 发布
阅读量130 收藏
点赞数
文章标签: 操作系统


关键词: 手动清除“代理木马下载器”  realplayer.exe
实验环境:windows2000

早上打开电脑,突然发现主页被修改成了http://www.7939.com。
在“Internet 选项”中把主页修改成空白页后,过几分钟打开ie,http://www.7939.com 仍然在向我微笑。
中毒了。
打开“任务管理器”,在“进程”选项卡中看到了一个可疑项:realplayer.exe
我的电脑上没有安装real播放器,所以这个进程肯定是病毒了。结束此进程后,“开始”-->“运行regeidt” 在注册表分支
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下看到了realplayer.exe的藏身之处“c:\winnt\system32”。
不用商量,删吧。进入system32文件夹,左找右找找不到这个东东。确信已经在“文件夹选项”中勾选了“显示所有的文件和文件夹”和关闭了“隐藏受保护的文件系统”选项。
“开始”,运行“cmd”,执行命令

cd c:\winnt\system32    //  将"c:\winnt\system32"设为当前目录
attrib realplayer.exe    //  显示realplayer.exe的属性

呵呵,狐狸尾巴出来了,显示如下:
  SH   C:\WINNT\system32\realplayer.exe  //SH意思是文件是系统(system)和隐藏(hidden)的,难怪找不着呢。
"SH"属性的文件用"del"是删不掉的。所以需要先去除"SH"属性:

ATTRIB  - - h realplayer.exe    //  "-" 的意思就是去除
ATTRIB realplayer.exe   // 再显示一下realplayer.exe 的属性


晕,没有效果。显示仍然是:
  SH   C:\WINNT\system32\realplayer.exe
请师傅吧。要删除exe文件,还得请killbox 出山。

[软件名称] Pocket KillBox v2. 0.0 . 881  
一款小巧的可删除硬盘中任意文件的小工具。主要用途就是 清除那些正在运行而无法删除的文件(类似病毒、木马什么的)。不用为 清除某些病毒或木马文件而进入黑洞洞的DOS界面了。 软件另外带了清理系统垃圾文件,进程管理,调用资源管理器和注册表, 查看系统服务,..
[下载地址]霏凡软件站 http://www.crsky.com/soft/4640.html

在"Full Path of File to Delete"下面输入"c:\winnt\system32\realplayer.exe"
(windowsXP下是"c:\windows\system32\realplayer.exe")
注意不要写错。没有写错的时候,下面会有一行小字显示文件名。如图

记得选中下面的"Delete on Reboot",要不删不掉这坏东东呢。
然后你的电脑就重启了。再开机,这个东东就没有了。在“internet选项”中把主页改回来。

确是病毒无疑了。google一下。这个进程还在其它地方做了手脚。按中关村的指点,在cmd中执行以下命令

C:\WINNT\system32 > attrib brlmon.dll
找不到文件  -  brlmon.dll

C:\WINNT\system32 > attrib ravmon.dll
找不到文件  -  ravmon.dll

C:\WINNT\system32 > attrib rsvtub.dll
   SH      C:\WINNT\system32\Rsvtub.dll 

只有 rsvtub.dll。
在任务管理器中结束桌面进程explorer.exe。
在cmd中执行

C:\WINNT\system32 > attrib rsvtub.dll  - -
 C:\WINNT\system32 > del rsvtub.dll

如果你的电脑有上面其它两个文件,操作相同。
再次调出“任务管理器”,选择“文件”-->"打开",输入"explorer",你的桌面又回来了。
最后的工作是把注册表中相关的项目删除。
开始,运行“regedit”,依次展开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”,删除“realplayer.exe”字串项

删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT]整个分支
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown]整个分支(我这里没有这个分支)
上面删除注册表项的过程,你也可以通过把下面注册表文件来实现。将以下代码保存成clear.reg,双击就OK了。(注意行尾的回车不能省略)

Windows Registry Editor Version  5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 " Realplayer.exe " =-
[ - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT]
[ - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown]


好了,收工。

 

 

 

weixin_34348174
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
代理木马”变种和“灰鸽子”变种
程序时代
03-30 1372
英文名称:TrojanDropper.Agent.aiur 中文名称:“代理木马”变种aiur 病毒长度:9813字节 病毒类型:木马 危险级别:★★ 影响平台:Win 9X/ME/NT/2000/XP/2003 MD5 校验:9ef5aa08c004a5e6e3f3b6c37815b263 特征描述: TrojanDropper.Agent.aiur“代理木马”变
记录一下这几天遇到的坑(.netcore 代理问题)
dngkzsf165912的博客
12-07 373
1、通过图片的网络url将图片转化为base64格式 方法如下: public static async Task<string> GetImageAsBase64Url(string url) { using (var handler = new HttpClientHandler()) usin...
Atitit. http 代理原理  atiHttpProxy  大木马
weixin_33730836的博客
04-21 111
Atitit. http 代理原理  atiHttpProxy  大木马     1. 面这张图可以清晰地阐明HttpProxy的实现原理:1 2. 代理服务用途1 3. 其中流程具体如下:2 4. 设计规划3 5. 结束语4     1. 面这张图可以清晰地阐明HttpProxy的实现原理:  2. 代理服务用途 代理服务看成是一种扩展浏览功能的途径。例如,在把数据发送给浏览...
解密木马帝国灰鸽子
软体疯子专栏
03-20 2308
新世纪周刊 特约记者/柳风“灰鸽子”是一个隐藏在超过2000万台接通网络的计算机中的木马,每一台中此病毒的电脑就是控制者里的“肉鸡”。这些“肉鸡”在控制者中就像大白菜一样被卖来卖去,低者1分一只,高者5块一只。这个木马形成了一个庞大的帝国,这个帝国里面有着严格的等级,有着完备的商品流通体制,有着骇人听闻的偷窥、盗窃、欺骗和敲诈,还有着年收入数千万甚至数亿元的“病毒富翁”。  “鸡”本是
木马病毒
03-26
木马病毒的定义、区别和防范方法 在计算机安全领域中,木马病毒都是常见的恶意代码,但它们之间有着明显的区别。木马是指隐藏在正常程序中的恶意代码,具备破坏和删除文件、发送密码、记录键盘和攻击 Dos 等...
LINUX系统病毒查杀及木马病毒服务动删除
08-19
LINUX系统病毒查杀及木马病毒服务动删除 LINUX系统病毒查杀及木马病毒服务动删除是 LINUX 系统管理员必备的技能之一。在这个知识点中,我们将学习如何动删除系统中的病毒木马服务。 一、病毒查杀 在 ...
凌云未知病毒木马实时监控 v3.6
03-12
凌云未知病毒木马实时监控是绿色软件免安装,cpu占用为0 ,兼容一切杀软,不跟任何软件冲突,防范一切未知的病毒木马,不依赖特征码,永远跑在病毒木马的前面,而传统的杀软总是慢一拍,基本原理:开启本软件,...
木马病毒造成网络异常分析
02-27
主要对木马病毒造成的网络异常该如何诊断和分析。
下载木马专杀工具.rar
08-09
下载木马是一种恶意软件,通常通过伪装成合法的下载链接或软件,诱导用户下载并执行,从而在用户的计算机上安装其他恶意程序或病毒。这些下载不仅可能盗取个人信息,还可能导致系统性能下降,甚至破坏数据。面对...
看ros的某个节点发出的信息的linux指令
嵌入式行业打工人,不定期更新博客。
07-11 240
在ROS (Robot Operating System) 中,如果你想查看某个特定节点发布到某个话题上的消息,你可以使用。命令,但是这将显示关于节点的一般信息,而不是它发布的消息数据。请记住,为了使用这些命令,你需要确保你的ROS环境已经被正确设置,通常是通过运行。这个命令可以让你实时地看到一个话题上发布的消息数据。确保替换上述命令中的路径为你实际的ROS工作空间路径。如果你不确定消息的类型,可以先用。如果你知道消息的类型,也可以加上。此外,如果你想查看节点的日志信息,可以使用。假设你想要查看由节点。
【北京迅为】《i.MX8MM嵌入式Linux开发指南》-第一篇 嵌入式Linux入门篇-第二十六章 安装超级终端软件
BeiJingXunWei的博客
07-11 360
USB 转串口,也叫‘U 转串’,可以把没有串口的电脑虚拟一个串口出来,这样就让电脑具备了串口的功能,从而可以使得开发板和 PC 之间通过串口通讯了。(这里需要提醒一下,用户插入的 USB 接口不一样,显示的端口号也会不一样,大家只需要关注‘USB 转串口’插入后,增加的那一个串口号,这个增加的串口号需要大家记住,在超级终端的设置中会用到。首先使用串口线连接到开发板的串口(红色箭头指的地方),串口线的另一端连接U转串口,然后连接到电脑usb口上,连接方式如图所示,图片上连接的串口是调试串口。
系统架构设计师教程 第二章 计算机系统基础知识-2.3计算机软件
Remon的专栏
07-09 709
《系统架构设计师教程》清华第二版 2.3计算机软件 章节的详细解读
【linux/shell】awk获取除某列之外的其他数据
qq_35902025的博客
07-06 364
awk获取除某列之外的其他数据 在使用 awk 时,如果你想要获取除了某一列之外的所有其他数据,可以通过设置字段分隔符(Field Separator,FS)和输出字段分隔符(Output Field Separator,OFS),然后打印除了指定列之外的所有字段来实现。
常见的嵌入式软件体系结构
propor的专栏
07-10 282
嵌入式软件体系结构
【常用知识点-Java】设置子进程环境变量
zhaoyaxuan001的博客
07-08 223
Java内启动一个外部进程(操作系统级别的进程),通常使用ProcessBuilder类;当需要获取或修改子进程的环境变量时,可以通过ProcessBuilder的environment()方法实现。该方法返回一个Map<String,String>,然后通过该Map<String,String>进行子进程环境变量的设置或修改;
调试的时候如何查看当前程序的变量信息
最新发布
weixin_55341642的博客
07-11 145
在开始调试后点开:调试 -> 窗口 -> 内存,内存的1、2、3、4都可使用。在调试后点开:调试 -> 窗口 -> 监视,监视的1、2、3、4都可使用。在内存中的地址处输入 arr1,因为 数组名arr1 就是首元素的地址。调试前的调试窗口是没有显示的,只有在调试的时候才会有相对应的调试窗口。输入后回车,然后就能查看 arr1 这个数组所占内存的布局。在开始调试后点开:调试 -> 窗口 -> 调用堆栈。最后再从上往下还给操作系统,回到main函数。函数在调用时就像堆一样从下往上堆叠。
挂载磁盘目录(挂载一个u01的磁盘目录)
weixin_69821704的博客
07-11 154
vmware虚拟机挂载u01磁盘目录
windows木马病毒
09-27
木马病毒是一种计算机恶意软件,它通常被伪装成有用的程序或文件,以便欺骗用户进行安装或打开。与传统计算机病毒不同,木马病毒不会自我复制,也不会直接破坏计算机系统。它的目的是在用户不知情的情况下,远程控制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值