順藤摸瓜查找木馬

由于已經(jīng)獲得了重要的信息內(nèi)容，現(xiàn)在我們運(yùn)行木馬輔助查找器，點(diǎn)擊“進(jìn)程監(jiān)控”標(biāo)簽，通過PID值找到可疑的Svchost進(jìn)程。

選中該進(jìn)程，在下面的模塊列表查找，很快就找到了一個(gè)既沒有“公司”說明，也沒有“描述”信息的可疑DLL文件，因此斷定這個(gè)就是木馬服務(wù)端文件(圖2)?？吹皆撃抉R使用了線程插入技術(shù)，并且插入的是系統(tǒng)的Svchost進(jìn)程。

順利找到木馬程序的進(jìn)程以后，張醫(yī)生開始查找木馬的啟動(dòng)項(xiàng)。運(yùn)行System Repair Engineer(SRE)這款系統(tǒng)檢測工具，依次點(diǎn)擊“啟動(dòng)項(xiàng)目→服務(wù)→Win32服務(wù)應(yīng)用程序”按鈕。

在彈出的窗口中選擇“隱藏微軟服務(wù)”選項(xiàng)后，程序會(huì)自動(dòng)的屏蔽掉發(fā)行者是Microsoft的項(xiàng)目，很快醫(yī)生就發(fā)現(xiàn)一個(gè)和木馬文件名稱相同的啟動(dòng)服務(wù)(圖3)，因此斷定這就是木馬的啟動(dòng)項(xiàng)。

清除木馬不過如此

在木馬輔助查找器的“進(jìn)程監(jiān)控”標(biāo)簽中，通過PID值找到被木馬程序利用的Svchost進(jìn)程，選中它，點(diǎn)擊 “終止選中進(jìn)程”按鈕就可以終止該進(jìn)程。選擇“啟動(dòng)項(xiàng)管理”標(biāo)簽中的“后臺服務(wù)管理”選項(xiàng)，在服務(wù)列表中找到木馬的啟動(dòng)項(xiàng)，選擇“刪除服務(wù)”按鈕即可。

文件名稱，當(dāng)查找到和木馬文件名稱相關(guān)的項(xiàng)目后進(jìn)行修改或刪除(圖4)。***我們進(jìn)入系統(tǒng)的System32目錄中，將和服務(wù)端相關(guān)的文件刪除即可完成服務(wù)端的清除工作。