一次木马遭遇战
先申明,这个木马的目的可能并非恶意,但是我并不喜欢这样的东西在我的系统里。朋友介绍一款解码器相信大家都知道My MPC,今天无意碰到,下载装上。装好以后试了一下,的确好用。不过在放了几段电影以后,我关闭播放器的时候,资源管理器死掉了。我是个很挑剔的人,不愿意看到这个,于是开始找原因。
首先发现进程列表里多了两个进程:capp.exe,IdnMail.exe
好了,这两个是我没见过的(我平时很关心系统里面什么进程在运行,暂时没用的我都会杀掉)。
我试着看看“添加/删除程序”里面给装了什么新东西:一个XXX中文邮(我并不否认它可能是来帮我的,但是我并不需要)。
我当然要卸掉它。很快,卸掉了。
回到进程列表,那两个东西没了,可是多了两个RUNDLL32和hookdll。要知道,RUNDLL32里面通常能藏脏东西(我平时的系统里面是没有这个进程的。大家别奇怪,我不用杀毒软件的,所以没有东西需要这个进程。一般的国产杀毒工具都需要这个载体。)
找到listdlls(我在网上找的一个工具,我用它看RUNDLL32和svchost着两个载体里面都藏匿了些什么。)看看此时rundll32里运行的什么东西。
结果还是和hookdll有关系的玩意。以往的经验告诉我,那个不应该存在。
于是,到google简单的查了一下,虽然不是病毒,也没人说“我要用hookdll”。
决定,杀。
仔细看了看它在做什么:捆绑了我所有的聊天工具,浏览器,资源管理器。
hehe,这样的东西,不是必不可少的,就一定要死。
pskill。
看到进程列表里没了,心里塌实了一些。
到system32下找到该文件,删除。可是删不掉。也就是说,它还在起作用。
好了,第二次listdlls。
发现还捆绑了MSCONFIG,可恶(我习惯删除/卸载前先把MSCONFIG里面的相关启动项禁用。)MSCONFIG刚才打开了还没关掉。也就是说,它可以不在进程列表里显示而处于运行态(越发让人讨厌,只有病毒才习惯这样躲藏)。
关掉MSCONFIG,再杀。再次进入system32删除,OK。
再试My MPC依然好用。留精华,去糟粕。
胜利告终。
今天关机前真实的记录。绝对原创。 我也碰到了, 介绍一个网站,http://www.emsisoft.de/de/, 可杀木马
页:
[1]