网上六大流行木马的清除方法
日期:2007-06-03 荐:
冰 河冰河可以说是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。清除方法:1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。2、冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersionRun下扎根,键值为C:/windows/system/Kernel32.exe,删除它。3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,还有键值为C:/windows/system/Kernel32.exe的,也要删除。4、最后,改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值,由中木马后的C:/windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1,即可恢复TXT文件关联功能。广外女生广外女生是广东外语外贸大学“广外女生”网络小组的处女作,是一种新出现的远程监控工具,破坏性很大,远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后,会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用! 该木马程序运行后,将会在系统的SYSTEM目录下生成一份自己的拷贝,名称为DIAGCFG.EXE,并关联.EXE文件的打开方式,如果贸然删掉了该文件,将会导致系统所有.EXE文件无法打开的问题。清除方法:1、由于该木马程序运行时无法删除该文件,因此启动到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除它2、由于DIAGCFG.EXE文件已经被删除了,因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”;3、回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件);4、找到HKEY_CLASSES_ROOT/exefile/shell/open/command,将其默认键值改成%1 %*;5、找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ RunServices,删除其中名称为“Diagnostic Configuration”的键值;6、关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe”。7、完成。聪明基因聪明基因也是国产木马,默认连接端口7511。服务端文件genueserver.exe,用的是HTM文件图标,如果你的系统设置为不显示文件扩展名,那么你就会以为这是个HTM文件,很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe,它会装模作样的启动IE,让你进一步以为这是一个HTM文件,并且还在运行之后生成GENUESERVER.htm文件,还是用来迷惑你的!怎么样,是不是无所不用其极?哈哈,木马就是如此,骗你没商量!聪明基因是文件关联木马,服务端运行后会生成三个文件,分别是:C:/WINDOWS/MBBManager.exe和Explore32.exe以及C:WINDOWSsystemeditor.exe,这三个文件用的都是HTM文件图标,如果不注意,还真会以为它们是HTM文件呢!Explore32.exe用来和HLP文件关联,MBBManager.exe用来在启动时加载运行,editor.exe用来和TXT文件关联,如果你发现并删除了MBBManager.exe,并不会真正清除了它。一旦你打开HLP文件或文本文件,Explore32.exe和editor.exe就被激活!它再次生成守护进程MBBManager.exe!想清除我?没那么容易!聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能,如果控制端选择了这个功能,那么受控端可就惨了,想找回驱动器?嘿嘿,没那么容易!清除方法:1.删除文件。删除C:/WINDOWS下的MBBManager.exe和Explore32.exe,再删除C:/WINDOWS/system下的editor.exe文件。如果服务端已经运行,那么就得用进程管理软件终止MBBManager.exe这个进程,然后在windows下将它删除。也可到纯DOS下删除MBBManager.exe,editor.exe在windows下可直接删除。2. 删除自启动文件。展开注册表到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下,删除键值“MainBroad BackManager”,其值为C:WINDOWSMBBManager.exe,它每次在开机时就被加载运行,因此删之别手软! 3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认键值由C:/WINDOWS/NOTEPAD.EXE %1改为C:/WINDOWS/system/editor.exe %1,因此要恢复成原值。同理,到注册表的HKEY_LOCAL_MACHINE/Software/CLASSES/txtfile/shell/open/command下,将此时的默认键值由C:WINDOWSsystemeditor.exe %1改为C:/WINDOWS/NOTEPAD.EXE %1,这样就将TXT文件关联恢复过来了。 4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT/hlpfile/shell/open/command下的默认键值改为C:WINDOWS/explore32.exe %1,因此要恢复成原值:C:/WINDOWS/WINHLP32.EXE %1。同理,到注册表的HKEY_LOCAL_MACHINE/Software/CLASSES/hlpfile/shell/open/command下,将此时的默认键值由C:WINDOWSexplore32.exe %1改为C:WINDOWSWINHLP32.EXE %1,这样就将HLP文件关联恢复过来了。好了,可以和聪明基因说“再见”了!黑洞2001黑洞2001是国产木马程序,默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能!也就是说控制端可以随意终止被控端的某个进程,如果这个进程是天网之类的防火墙,那么你的保护就全无了,黑客可以由此而长驱直入,在你的系统中肆意纵横。
黑洞2001服务端被执行后,会在c:/windows/system下生成两个文件,一个是S_Server.exe,S_Server.exe的是服务端的直接复制,用的是文件夹的图标,一定要小心哦,这是个可执行文件,可不是文件夹哦;另一个是windows.exe,文件大小为255,488字节,用的是未定义类型的图标。黑洞2001是典型的文件关联木马,windows.exe文件用来机器开机时立刻运行,并打开默认连接端口2001,S_Server.exe文件用来和TXT文件打开方式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后,服务端就暂时被关闭,即木马暂时删除,当任何文本文件被运行时,隐蔽的S_Server.exe木马文件就又被击活了,于是它再次生成windows.exe文件,即木马又被中入!清除方法:1)、将HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认键值由S_SERVER.EXE %1改为C:WINDOWSNOTEPAD.EXE %12)、将HKEY_LOCAL_MACHINE/Software/CLASSES/txtfile/shell/open/command下的默认键值由S_SERVER.EXE %1改为C:/WINDOWS/NOTEPAD.EXE %13)、将HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/下的串值windows删除。4)、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE/Software/CLASSES下的Winvxd主键删除。 5)、到C:WINDOWSSYSTEM下,删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001,那么windows.exe这个文件在windows环境下是无法直接删除的,这时我们可以在DOS方式下将它删除,或者用进程管理软件终止windows.exe这个进程,然后再将它删除。至此就安全的清除黑洞2001了。Netspy(网络精灵)Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了!其强大之处丝毫不逊色于冰河和BO2000!服务端程序被执行后,会在C:Windowssystem目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRun下建立键值C:windowssystemnetspy.exe,用于在系统启动时自动加载运行。清除方法:1、重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在C:/windows/system/目录下输入以下命令:del netspy.exe 回车!2、进入注册表HKEY_LOCAL_MACHINE/Software/microsoft/windows/CurrentVersion/Run/,删除Netspy的键值即可安全清除Netspy。SubSevenSubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374),服务端只有54.5k!很容易被捆绑到其它软件而不被发现!最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此查之很难。清除方法:1、打开注册表Regedit,点击至: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run和RunService下,如果有加载文件,就删除右边的项目:加载器=c:windowssystem***。注:加载器和文件名是随意改变的2、打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除之。3、打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。4、重新启动Windows,删除相对应的木马程序,一般在c:/windows/system下,在我在本机上做实验时发现该文件名为vqpbk.exe。
标签: