手把手教你手工剿灭QQ广告弹出木马

内脏__

内脏__

2016-02-20 23:08

今天图老师小编要向大家分享个手把手教你手工剿灭QQ广告弹出木马教程,过程简单易学,相信聪明的你一定能轻松get!

    具体的不知道从哪天起,我的Maxthon浏览器好像不能拦截一些网站的广告了,屏幕的右下角也不时的出现如QQ广告一样的东西,一开始以为是网站和QQ的广告。但越用越不对劲,仔细一看,右下角的根本就不是QQ的广告,出来的整个广告就是一个链接,不像QQ广告外面还有一个框,鼠放在上面是不会变成手形的,而这个广告,无论鼠标放在什么地方都是手形的。我开始怀疑我中招了,将杀毒软件升级到最新也不能查杀,打开浏览器,上网搜索,发现也有朋友中了这种木马,但该网友提供的方法并不能删除木马,无奈之下只好自己“动手”了,以下就是我的整个手工清除木马的过程,写出来与大家分享。

  1、常规操作

  打开任务管理器,查看进程,并没有发现什么不良进程。

  2、深入挖掘

  运行Regedit,依次展开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,一看,果然多了个新家伙Advapi32,一看键值,竟然加载的是一个Dll文件,而这个文件位于C:WINDOWSDownloaded Program Files目录下的_IS_0518目录中。找到了根源就好办了,先删除了启动项,再删除对应的木马文件就行了,但到了C:WINDOWSDownloaded Program Files目录一看,发现这些文件根本看不到(开启了显示隐藏文件项)。且重启之后启动项又出现了,很显然,这个木马监视注册表,且文件隐藏。为了剿灭彻底,以下步骤是进入安全模式后进行的(开机时按住F8键或Ctrl键不放直到启动菜单出现)。
   在第三步之前,我曾尝试直接用第四步的方法删除木马文件,但发现重启之后木马并没有消失,因此初步判断该木马存在备份文件。

  3、清除木马备份文件

  打开“我的电脑”进入C:Windows目录,发现一个可疑目录Backup,进去一看,果然启动项加载的Dll文件也在里面,但启动项加载的却不是这个目录中的文件,很显然这个目录就是木马的备份,先删除这个备份目录再说,但刚刚删除,大概一两秒的时间这个目录又被重新建立。这个木马还真狡猾,竟然在安全模式还能自动加载且监视备份文件,一旦备份文件被删除,马上又会建立。正所谓“以彼之道还施彼身”,它能监视且能自动建立备份目录,我如果能先将目录删除,然后抢在它的前面建立目录不就行了吗?因为Windows是不允许同一目录下有两个文件或目录同名的。但从备份目录被删除到被重新建立中间的间隔太短了,手工肯定是不行的,那么就用Dos时代的批处理吧!先建立如下的批处理文件,命名为Kill.bat,双斜杠之后是注释,实际操作时无需输入。
Move c:windowsackup c:windowsak //将Backup目录重命名为Bak
Md c:windowsackup //在C:windows下建立Backup目录
这时再打开“我的电脑”,依次进入C:windows目录,将Bak目录删除,即完成了木马备份文件的删除。

  4、清除木马文件

  重新建立一个批处理文件,命名为Kill2.bat,内容如下。
cd c: //将当前路径改为C:盘的根目录
cd C:WINDOWSDownloaded Program Files //将当前路径改为C:WINDOWSDownloaded Program Files
move _IS_0518 c:ak//将当前目录下的_IS_0518目录移动到C:根目录下并重命名为bak
打开“我的电脑”,进入C:,删除Bak目录,再进入C:windows目录,删除Backup目录,即完成了木马文件的清除。

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)

  5、清理注册表

  运行Regedit,分别将下面所列的键删除。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunAdvapi32
HKEY_CURRENT_USER/Software/advapi32
至此,Advapi32木马(因为在网上也没查到此木马的名字,所以就用它的自启动项键名来代替了)手工清理完毕。

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)

注:

  1.第三步和第四步顺序千万不能对调,因为只有先删除备份文件,再删除木马文件,这时因为木马文件没有了,备份文件也没有了,所以木马也就没办法重新建立文件了。
2.以前也在报刊上看到过手工清除木马的例子,但大部分都是一些利用进程查看工具结束进程来实现的,由于此木马进程伪装隐蔽,笔者曾用IceSword查看,虽能初步判断木马隐藏在Svchost.exe进程中,但由于Windows XP中Svchost.exe进程比较多,所以不好判断其具体的隐藏位置,结束进程的方法也就不好实现了,反而用本文所提的方法就能轻松将木马剿灭。

  3.本方法在Windows XP Pro + SP2下测试通过。

展开更多 50%)
分享

猜你喜欢

手把手教你手工剿灭QQ广告弹出木马

电脑入门
手把手教你手工剿灭QQ广告弹出木马

手把手教您手工剿灭QQ广告弹出木马

电脑入门
手把手教您手工剿灭QQ广告弹出木马

s8lol主宰符文怎么配

英雄联盟 网络游戏
s8lol主宰符文怎么配

如何正确手工剿灭QQ广告弹出的木马程序

电脑入门
如何正确手工剿灭QQ广告弹出的木马程序

手把手教你手工DIY木质烛台

DIY家居
手把手教你手工DIY木质烛台

lol偷钱流符文搭配推荐

英雄联盟 网络游戏
lol偷钱流符文搭配推荐

手把手教你玩转你的QQ

电脑入门
手把手教你玩转你的QQ

手把手教你古法成像

摄影 人像摄影 静物摄影
手把手教你古法成像

lolAD刺客新符文搭配推荐

英雄联盟
lolAD刺客新符文搭配推荐

菜鸟QQ安全防患之饿死木马

菜鸟QQ安全防患之饿死木马

QQ九品芝麻官财神功能玩法详解

QQ九品芝麻官财神功能玩法详解
下拉加载更多内容 ↓