三款广外木马的手工清除方法
广外木马特指厂外程序员网络(前广外女生网络小组)编制的木马,主要有广外男生、广外女生和一外幽灵这三款。由于这三款木马郡比较隐蔽,在技术上也有其先进的地方,因此导致对它们的查杀非常的不容易,中了这三款木马的用户也因此变多。所以在此说说它们的手工清除方法。
一、广外男生的清除方法
广外男生是最近刚刚出现的木马,目前许多杀毒软件都无法正确查杀它,比方说最新的瑞星15.29就无法识别出该木马。广外男生除了具有一般普通木马应该具有的特点以外,还具备以下独有的特色技术:
1.客户端高度模仿Windows资源管理器,这使得它对远程服务端操作起来异常方便,就象在本地电脑上操作一样简便。
2.强大的文件操作功能:删除、上传、下载远程主机上的文件可以随意进行。
3.运用了反弹端口原理与线程插入技术:广外男生利用DLL插入线程技术来防止进程被终止,服务端运行时没有进程!所有网络操作均插入到其他应用程序的进程中完成,这使得即便是具有 "应用程序访问权限"功能的防火墙也形同虚设!而反弹端口技术的使用,使得该木马的主动性大大加强。我们知道,传统型的木马不能访问装有防火墙和在局域网内部的服务端主机,但反弹端口木马就不一样了,木马开放者分析了防火墙的特性后发现,防火墙对于连人的连接往往会进行非常严格的过滤,但是对于连出的连接却疏于防范。于是,与一般的木马软件相反,反弹端口型软件的服务端(被控制端)主动连接客户端(控制端),为了隐蔽起见,客户端的监听端口一般开在80(提供HTTP服务的端口),这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP User IP:1026 ControllerlP:8O ESTABLISHED的情况,稍微疏忽一点你就会以为是自己在浏览网页(防火墙也会这么认为的)。
如果不小心运行广外男生服务端程序,会在C:\winnt\system32文件夹下生成gwVboy.exe和gwboydll.dll两个文件,文件大小都为116KB。其中,gwboy.exe开机则自动运行,gwboy.exe开机则是实现线程插入技术的主文件。当木马被激活后,该dll会汪人到explorer.exe进程。这一点可以通过进程管理软件,如
Windows优化大师自带的进程管理软件或PrcView等查看到。你无法终止该进程,因为终止explorer.exe进程后,gwboydil.dll马上插入另一正常系统进程中,这也正是厂外男生的可怕之处!
清除步骤:
1.清理注册表。
打开注册表编辑器,展开到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下.删除字符串指gwboy.exe。然后到HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSIDT,删除ID为{5EAE4ACO-!46E-IID2-A96E-000000000009}的键及其下所有子键和键值。接下来,点击 "编辑"菜单中的 "查找",在注册表编辑器中搜索gwVboydl1。dll,找到所有和它有关的注册表项,全部删除。注意,这个文件的名字是可以随意变化的,这里只是以默认状况下为例来说的,所以才在注册表中查找gwboydil.dll文件。对于您来说,您可以在system32系统文件夹中查找文件大小为116kB大小的dll文件,它就是广外男生的dU文件,找到后复制其文件名,然后再到注册表中搜索,找到后删除相应注册表项就可以了。因为厂外男生运行之后随机写入注册表使得dIl能够自动运行,并且在注册表中的位置也是变化的,所以才这么麻烦,这也正是木马广外男生厉害之处!
2.删除木马文件
删除system32目录下的gwboy.exe。然后进入纯DOS下,输入del winnt\system32\gwVboydll.dll命令,删除system32目录中的gwboydll.dll文件。
好了,到此这个广外男生就被我们给清除出去了。
二、木马广外女生清除方法
广外女生除了具有一般木马所拥有有的功能以外,它还会自动检查中木马的电脑进程中是否含有 "金山毒霸"、"防火墙"、iparmor"、"tcmonitor"、"实时监控"、lockdown"、"kill"、"天网"等字样,如果发现就将该进程终止,也就是说广外女生会使防火墙完全失去作用!这样你的网络大门就完全敞开了,给你下木马的人就可以为所欲为!
如果不小心运行了该木马,会在系统的System目录下生成一个名为diagcfg.exe的文件,这是木马自身的拷贝。该文件关联EXE文件的打开方式,如果你删掉了该文件,将会导致系统所有EXE文件无法打开。
木马清除步骤:
首先,重新启动电脑到纯DOS下,删除system目录下的diagcfg.exe文件。然后清除注册表中木马建立的键值,此时需用到注册表编辑器regedit.exe,由于出age.exe文件已经被删除了,因此在Windows环境下任何exe文件都无法运行,gedit.exe当然也无法运行了,那该怎么办呢?我们可以将Regedit.exe改名为Regedit.com嘛,照样可以运行!对了,regedit.exe在Windows安装目录下。
现在,回到Windows模式下,运行Regedit.com,打开注册表编辑器,找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其默认键值改成"%l"%*;再找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wmndows\CurrentVersion1\RunServices,删除
其中名为 "Diagnostic Configuration"的键值,关掉注册表编辑器,回到Windows目录,将Regedit.com改名为Regedit.exe即可。至此,就清除了木马广外女生。
三、木马广外幽灵清除方法
广外幽灵是一款专门窃取密码的新木马,由于采用了先进的技术使得发现它非常的困难!如果你打算通过查找进程的方式来发现它,建议你打消这个念头,因为该软件使用了先进的 "线程插入"技术,可以越过防火墙,系统中不会新增任何任务进程。
如果不小心运行了该木马,会在系统的system下生成两个木马文件:scanregw.exe和gst00.tmp,文件大小分别为36KB和20KB,广外幽灵用木马scanregw.exe代替了系统中正常的seanregw.exe,由此达到加载运行的目的。正常的scanregw.exe在Windows目录下,用来检测和备份注册表。
木马清除步骤:
首先,删除系统的system文件夹下的木马文件scanregw.exe和gstOO.tmp。接着,打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wmndows\CurrentVersion\Run
把"ScanRegistry"="C:\WINDOWS\SYSTEM\SCANREGW.EXE/autorun"修改为
"ScanRegistry"="C:\WINDOWS\SCANREGW.EXE/autorun",或干脆删除 "ScanRegistry"也可以。到此,就清除了木马广外幽灵,可以放心了。
文章转载地址:http://www.cnpaf.net/Class/hack/06101110492184509717.html