广外女生
“广外女生”木马是2001年的十大木马之一,其可怕之处在于“广外女生”预备端被执行后,会每隔5分钟自动进行一次进程检查,看是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样的进程。如果发现就将该进程终止,这使得大家最常用的各种病毒防火墙、网络防火墙不能运行与监控。即便发现了该病毒的存在,也很难使用杀毒软件来进行查杀,因为杀毒软件查杀需要大量的时间,在这个时间内往往就被终止了进程。而且这个木马还有一个让人难以处理之处,即如果手工删除了这个程序的主文件,那么所有的EXE文件都打不开。因为它和EXE关联了,只要打开一个EXE的程序,就必须先检查它是否在运行,如果没有,就自动启动它,然后以参数传递方式打开此EXE程序。当手工删除之后,系统会找不到它,自然参数也就传递不了,也就不能打开任何EXE程序。
清除方法如下:
⒈使用“开始”→“运行”,输入“regedit”打开注册表;
⒉打开注册表HKEY_CLASSES_
ROOTexefileshellopencommand
值,然后不动,继续第三步;
⒊删除系统SYSTEM目录下面的DIAGCFG.EXE文件;
⒋修改注册表的HKEY_CLASSES
_ROOTexefileshellopencommand
值为“%1”%*;
⒌HKEY_LOCAL_MACHINE
SOFTWAREMicrosoftWindows
CurrentVersion RunServices,删除其中名称为“Diagnostic Configuration”的键值;
⒍关闭注册表。
AOL Trojan
要清除AOL Trojan木马程序,请按照以下步骤:
⒈在Windows系统下,取消下面文件的隐藏属性:C:americ~1.0buddy1~1.exe和C:Windowssystemnorton~1regist~1.exe;
⒉重新启动到MS-DOS模式,删除下面两个文件:C:americ~1.0buddy1~1.exe和C:Windowssystemnorton~1regist~1.exe;
⒊重新启动到Windows系统下,编辑win.ini文件,在“Windows”下面“run=”和“load=”都具有特洛伊木马程序的路径,必须清除它们,使成为:
run=
load=
修改完毕后,保存win.ini文件即可。
⒋打开注册表,找到目录:HKEY_
LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun,删除右边的WinProfile=C:command.exe;
⒌重新启动到Windows系统,就完成了AOL木马的清除。
聪明基因
“聪明基因”是国产木马,默认连接端口7511。
“聪明基因”的突出特点是采用了HTM文件图标,而且当你打开它时,还会自动调用IE,然后打开一个它在后台生成的文件。它采取的是和帮助关联的方式。
下面介绍手动清除方法:
⒈删除C:Windows下的MBBManager.exe和Explore32.exe,再删除C:Windowssystem下的editor.exe文件。
如果服务端已经运行,则使用进程管理软件终止MBBManager.exe进程,然后在Windows下将它删除,也可到DOS下删除MBBManager.exe,而editor.exe在Windows下可直接删除。
⒉展开注册表到HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun下,删除串值“MainBroad BackManager”,其键值为C:WindowsMBBManager.exe,每次在开机时就被加载运行,因此删掉它。
⒊恢复TXT文件关联“聪明基因”,将注册表HKEY_CLASSES_
ROOTtxtfileshellopencommand下的默认键值由C:Windows
NOTEPAD.EXE %1改为C:Windowssystemeditor.exe %1,因此要恢复成原值。
同理,到注册表的HKEY_LOCAL_
MACHINESoftwareCLASSEStxtfileshell
opencommand下,将默认键值由C:Windowssystemeditor.exe %1改回到C:WindowsNOTEPAD.EXE %1,这样就将TXT文件关联恢复过来了。
Acid Shiver v1.0+1.0Mod+imacid
清除Acid Shiver木马的过程有些复杂,可以按照以下的步骤进行清除:
⒈重新启动到DOS模式,删除C:Windowswintour.exe文件;
⒉再重新启动到Windows系统,打开注册表,找到目录:HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun,删除右边的Explorer=“C:WindowsMSGSVR16.EXE”,找到目录:HKEY_LOCAL_MACHINE
SOFTWAREMicrosoftWindowsCurrentVersion
RunServices,删除右边的Explorer=“C:WindowsMSGSVR16.EXE”;
⒊重新启动到DOS模式,删除C:Windowswintour.exe,然后回到Windows系统;
⒋打开注册表,找到目录:HKEY_
LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun,删除右边的Wintour=“C:WindowsWINTOUR.EXE”,找到目录:HKEY_LOCAL_MACHINESOFTWARE
MicrosoftWindowsCurrentVersionRunServices,删除右边的Wintour=“C:WindowsWINTOUR.EXE”;
⒌重新启动Windows系统。
GOP
GOP是Get OICQ Password的缩写,从这个名字我们就可以看出,这是一个获取别人OICQ(现在应该称为QQ)密码的木马软件。
用手工清除的办法:
⒈在注册表里找到HKEY_LOCAL
_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun 删除 “C:winntsystem32 kernel32.exe”的主键;
⒉立即重启系统,重启后马上查找IMEKernel32.sys这个文件,找到后删除这个文件。
黑洞2001
“黑洞2001”是国产木马程序,默认连接端口2001,它的图标是一个文件夹,具有很强的迷惑性,一不小心,就会上当。
下面介绍清除方法:
⒈使用“开始”→“运行”,输入“regedit”命令,然后HKEY_CLASSES
_ROOTtxtfileshellopencommand下的默认键值由S_SERVER.EXE %1 改为C:WindowsNOTEPAD.EXE %1;
⒉将HKEY_LOCAL_MACHINE
SoftwareCLASSEStxtfileshellopen
command下的默认键值由S_SERVER.EXE %1 改为C:WindowsNOTEPAD.EXE %1;
⒊将HKEY_LOCAL_MACHINE
SoftwareMicrosoftWindowsCurrentVersion
RunServices下的串值Windows删除;
⒋将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES下的Winvxd主键删除;
⒌到C:WindowsSYSTEM下,删除Windows.exe和S_Server.exe这两个木马文件。
“无赖小子”2.4版本
“无赖小子”是国产木马程序,默认连接端口8011,它可以称之为注册表操控方面的木马老大。准确地说这个木马并没有完善的清除方法,因为它强大的注册表修改功能使得每个注册表键值都可能被修改,所以这里所使用的清除方法也只适合默认状态下的清除。具体做法是使用进程管理器终止掉这个木马的进程,然后在Windows下直接删除msgsvc.exe,至于注册表中的键值,按照木马最容易启动自己的地方进行检查,发现有改动的就删除掉。可见,在中木马病毒前备份注册表是非常重要的。
“网络神偷”(Nethief)
“网络神偷”又名Nethief,是第一个反弹端口型的新型木马。它的最大危害在于能够使用反弹端口远程控制局域网内部的机器。它的工作方式:服务端使用主动端口,客户端使用被动端口。当打开客户端的时候,客户端自动通过FTP主页空间写入一些数据告诉服务端:自己的IP地址端口等信息,并进入监听状态。而服务端定期的检查一下FTP空间里面的输入是否发生了变化,当发生了变化之后,它就会自动开始连接客户端。为了隐蔽,客户端的监听端口一般开在80,这样即使用户使用端口扫描软件检查自己的端口中,发现的也是类似“TCP服务端的IP地址:1026客户端的IP地址:80ESTABLISHED”的信息,大多数人都还以为自己在浏览网页。
下面介绍手动清除方法:
⒈先删除注册表启动项HKEY_
LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun下的internet/s键值(键名是在生成服务端时由用户设置的,可能有些变化);
⒉重启后,再删除系统目录(C:WindowsSystem)中的服务端程序internet.exe(文件名也是由用户设置的,可能有些变化)。
“网络公牛”(Netbull)
“网络公牛”又名Netbull,是国产木马,默认连接端口234444。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:WindowsSYSTEM下,下次开机checkdll.exe将自动运行。同时,服务端运行后会自动捆绑以下文件:
Windows 9X下:捆绑notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.exe;
winnt/2000下:(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上。
下面介绍手动清除方法:
⒈删除网络公牛的自启动程序C:WindowsSYSTEMCheckDll.exe;
⒉把网络公牛在注册表中所建立的键值全部删除;[HKEY_CURRENT_USER
SoftwareMicrosoftWindowsCurrentVersionRun]
“CheckDll.exe”=“C:WindowsSYSTEMCheckDll.exe”
[HKEY_LOCAL_MACHINESoftware
MicrosoftWindowsCurrentVersionRunServices]
“CheckDll.exe”=“C:WindowsSYSTEMCheckDll.exe”
[HKEY_USERS.DEFAULTSoftware
MicrosoftWindowsCurrentVersionRun]
“CheckDll.exe”=“C:WindowsSYSTEMCheckDll.exe”
⒊检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它电脑上的正常文件比较而知),就删除它们!然后点击“开始->附件->系统工具->系统信息->工具->系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。
AttackFTP木马
AttackFTP木马也是目前比较典型的木马,通常木马文件被保存在Windows的系统目录下,然后利用C:Windows下的Win.ini文件中的“Load=”及注册表文件产生双重引导木马效果。
要清除AttackFTP木马可以按照下面的步骤:
1、打开win.ini文件,在“Windows”下面有“load=wscan.exe”,删除其中的“wscan.exe”,正确是“load=”后面没有任何文字叙述。修改完毕之后,别忘了保存关闭win.ini文件。
2、打开注册表并删除运行路径。打开目录到
HKEY_LOCAL_MACHINESOFTWARE
MicrosoftWindowsCurrentVersionRun,删除右边的Reminder=“wscan.exe /s”。
3、重新启动到MS-DOS系统中,删除C:windowssystemwscan.exe,待删除之后重新开机进入Windos系统。
文章转载地址:http://www.365master.com/kt_article_show.php?article_id=1454&categ_code=10041003
