qq盗号的木马:
点击server.exe
结束进程
刷新以后又出来:
用taskkill命令:
taskkill /pid 892 taskkill /pid 984 taskkill /pid 2752
写入bat文件,全部干掉
打不开regedit,看到映像劫持:
我们改过名字就行了,regedit.exe改成qwe.exe
病毒弄映像劫持是为了干掉杀软
或者使用autoruns.exe
找到:
全部删除:
xueTr:
选择结束进程并删除文件
补充:重点关注xueTr里的蓝色进程,因为windows进程默认是黑色的。第三方才是蓝色的
熊猫烧香:
修改图标的原理
现在无法打开注册表,会直接闪退
用xuetr,打不开就改名字
一直下拉,找到exefile:
找到ico文件:
重启看效果:
实战查杀:
xueTr干掉进程
cmd查看
因为熊猫烧香没有自我拷贝的过程
补充:attrib -r -h -s 来显示隐藏文件
图形化界面中会强制不显示,除非找到注册表的Hidden,修改Checkvalue, 改成1:
点击工具,选择文件夹选项
极虎病毒:
Mymonitor:
鬼影病毒:
密码:www.killdu.cn
打开:
火绒剑:
注意公司名称
内核,很不好分析:
类似于xueTr:
