中国黑客II"病毒分析 并手工查

中国黑客II在我的地牌上混，招呼都不打一个！！！这点邻我很不爽！！！

招起家伙招呼它！KV 一通狂杀

结果这一杀就是3-4个小时 *.eml文件干掉好几千！晕这样也下去肯定自己就挂了

上网找专杀工具

好慢啊 （因为中国黑客的主进程runouce.exe占了20%--50%的CPU）！！

找到一个金山的专杀工具 试试？ 哭 查不出来 但runouce.exe进程还明显的可以看到啊？

看来只有自己亲自招呼它了！

跟据以知资料 知道它是一个进程注入式病毒 注入 EXPLORER.EXE 与主进程RUNOUCE.EXE相照应

知道上面就够了 招家伙 System Safety Monitor （SSM）是一个很猛烈的工具

可不比IceSword（冰刃）差哦 关于使用自己找找资料吧

通过SSM的监视发现

中国黑客II 并不只是注入 EXPLORER.EXE 而且还注入了 taskmgr.exe！！想不到吧^_^

以下是详黑客II详细步骤

1>调用如下API

ProtectVirtualMemor

WriteProcessMemory

CreateRemoteThread

进行对explorer.exe 与taskmrg.exe进行注入

成功运行后 每隔一些时间就会 调用 NET.EXE向电脑所在的网络（局域网）发送

“Mygod!SomeonekilledChineseHacker-2Moni”

之后还会调用 net1.exe重新发送 以确保成功发送

这个程序只是简单的注入其它进程 以达到启动的目得但是没有加载其它如SYS DLL这类的东西

所以我们清除起来也就简单多了

先进入CMD c:/winnt/system32目录 用attrib runouce.exe 查看隐藏的属性

然后用 attrib -s -h -r runouce.exe 去除隐藏的系统属性

只要打开SSM的 规则 右键 选 新增 在对话框中选 c:/winnt/system32/runouce.exe

然后 右键新加的规则 选 阻止

结束 runouce.exe进程 删除 system32/下的runouce.exe

最后 删除 注册表

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

下面的runouce.exe（不删也可以 反正它也启动不了了^_^)

重起试试没事了吧?