qq盗号的木马:

点击server.exe

病毒查杀(windows)的几个实例:_删除文件

结束进程

刷新以后又出来:

病毒查杀(windows)的几个实例:_熊猫烧香_02

用taskkill命令:

taskkill /pid 892 taskkill /pid 984 taskkill /pid 2752

写入bat文件,全部干掉

打不开regedit,看到映像劫持:


病毒查杀(windows)的几个实例:_删除文件_03

我们改过名字就行了,regedit.exe改成qwe.exe

病毒弄映像劫持是为了干掉杀软

或者使用autoruns.exe

找到:

病毒查杀(windows)的几个实例:_熊猫烧香_04

全部删除:

病毒查杀(windows)的几个实例:_结束进程_05

xueTr:

选择结束进程并删除文件

病毒查杀(windows)的几个实例:_删除文件_06

补充:重点关注xueTr里的蓝色进程,因为windows进程默认是黑色的。第三方才是蓝色的

熊猫烧香:

修改图标的原理

病毒查杀(windows)的几个实例:_熊猫烧香_07

现在无法打开注册表,会直接闪退

用xuetr,打不开就改名字

病毒查杀(windows)的几个实例:_删除文件_08

一直下拉,找到exefile:

病毒查杀(windows)的几个实例:_删除文件_09

找到ico文件:

病毒查杀(windows)的几个实例:_熊猫烧香_10

病毒查杀(windows)的几个实例:_结束进程_11

重启看效果:

病毒查杀(windows)的几个实例:_熊猫烧香_12

实战查杀:

xueTr干掉进程

cmd查看

病毒查杀(windows)的几个实例:_结束进程_13

因为熊猫烧香没有自我拷贝的过程

补充:attrib -r -h -s 来显示隐藏文件

图形化界面中会强制不显示,除非找到注册表的Hidden,修改Checkvalue, 改成1:

点击工具,选择文件夹选项

病毒查杀(windows)的几个实例:_结束进程_14

极虎病毒:

Mymonitor:

鬼影病毒:

密码:www.killdu.cn

病毒查杀(windows)的几个实例:_熊猫烧香_15

打开:


病毒查杀(windows)的几个实例:_删除文件_16

病毒查杀(windows)的几个实例:_结束进程_17


火绒剑:

病毒查杀(windows)的几个实例:_熊猫烧香_18

注意公司名称

病毒查杀(windows)的几个实例:_结束进程_19

内核,很不好分析:


病毒查杀(windows)的几个实例:_结束进程_20


类似于xueTr:

病毒查杀(windows)的几个实例:_熊猫烧香_21