今天路過好友小馬的上班場所,於是就去看看這半年都沒見的好友。來到小馬的辦公室,同事說他出去辦事去了。於是我便坐到他的辦公桌前,看著桌面上QQ正開著,於是便上去和我們的“狐朋狗友”打招呼。當我們正聊得熱鬧之時,突然在桌面彈出一個提示窗口,提示框的標題注明“七劍鍵盤記錄器”。看到“鍵盤記錄器”幾個字,我的額頭開始直冒冷汗,心想小馬的電腦系統一定是被植入了鍵盤記錄器,而他卻渾然不知。現在我就幫他將系統中的木馬清除出去。
查找線索
我首先從網上下載木馬輔助查找器(下載地址:http://www.ttud.com/soft/2394.htm),它是我最常用的一款系統安全檢測工具,通過它來檢測系統中可疑的進程、端口、系統服務、啟動項等等。首先運行木馬輔助查找器,點擊窗口中的“啟動項管理”標簽,其中包含了注冊表啟動項、文件關聯管理、後台服務管理和AUTOEXEC.BAT四項內容。TW.WinGWIt.COm
我很快就從“注冊表啟動項”中發現了問題,在最常見的啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中查找到一個鍵值為“qijian.exe”的可疑啟動項,因為這個鍵值的拼音正好是“七劍”(如圖1)。通過這個啟動項,“七劍”就可以隨著系統而自動啟動。
From:http://tw.wingwit.com/Article/Network/201309/519.html