我这个honey木马藏在 c:\windows\system32\explorer.exe
360干不掉它。不能怪360。
因为杀毒的规则永远跟不上病毒的变化。
病毒原理的通用性,和具体实现的唯一性,决定了,木马必然有它的存活期。
杀毒原理的通用性,和各个杀毒使用者操作的唯一性,决定了,大部分顽固的木马还是可以杀掉的。
主要是你来怎么操作,有没有耐心。
重装是一个中等的主意。查杀需要极大的时间,但也是个中性的主意。
如果查杀能迅速完成,那么就是个上佳的主意。
这个honey木马很简单。就是修改了 explorer.exe,然后复制到 system32目录下。
system32目录下的explorer执行的优先级要大于Windows目录。所以,如果你输入explorer,执行的只能是
木马explorer.然后它就可以挂载它的dll,随意操作了。
这是个木马下载器,什么马你都有机会中了。
查杀过程:
360扫了遍,扫了许多其他的插件木马,杀了一部分,重启,杀一部分,重启。
打开windows清理助手,扫描发现honey,提示找份干净的explorer过来,放清理助手的SIF目录下。
好在我旁边的机子也是2003,于是打开,复制了份explorer.exe过来974KB。如果你的不是这么大
那是你复制了个快捷方式。呵呵。
开始扫描,重启,我发现桌面不见了,然后我调出任务管理器。运行explorer,用360扫描。
又提示发现honey,位置还是在system32目录。 360让我重启,我没理它。我结束掉任务管理器里的
2个explorer进程。用任务管理器的运行,浏览到 system32目录,找到explorer.exe,shift+del删除。
OK,整个世界清静了。
算来大概总共至少花了3个小时。唉,郁闷