流氓之王万能搜索(WNSO)样本[FC2FF7]

显示全部楼层 · 发表于 2007-8-9 04:29:59

原帖由 ooo-ppp 于 2007-8-8 20:08 发表
没什么的，比cnnic还好清除的，偶用狙剑5013推广版手工干掉了它。
http://bbs.kafan.cn/viewthread.php?tid=79940&extra=page%3D1 可以下载
、锁定计算机
2、在注册表---自启动程序中删除所有可疑启动项后（ ...

我以前的方法与你差不多，你的做法非常对的，可是我以前没有用这玩意儿，手工删的。。。。。。

显示全部楼层 · 发表于 2007-8-9 06:15:39

即使他先进入了系统，而由于狙剑的注册表---自启动程序管理是采用的HIVE文件解析来取得服务加载项，此木马的注册表隐藏不会有用的。在自启动程序中找到它的驱动项，删除、重启。如果无法删除，则记下文件名，用文件---磁盘文件功能找到文件，破坏之，狙剑的磁盘文件采用的是磁盘扇区读写列出文件，破坏上面的木马应该没问题。
狙剑的后期版本会更进一步：一是全部注册项都由HIVE文件解析；二是删除自启动程序时也直接从HIVE文件入手绕过系统。三是完善文件---磁盘文件功能，保证对文件的查找与删除不会被绕过。
这样，就比较完善了。

显示全部楼层 · 发表于 2007-8-9 09:21:23

万能搜索也不流氓呀

显示全部楼层 · 发表于 2007-8-26 20:43:39

名为万能搜索,其实是一个DOWNLOADER

[病毒样本] 流氓之王万能搜索(WNSO)样本[FC2FF7]

回复 #18 qiqi00612 的帖子

回复 #23 pc9x 的帖子