程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 數據庫知識 >> SqlServer數據庫 >> 關於SqlServer >> 網上六大流行木馬的清除方法

網上六大流行木馬的清除方法

編輯:關於SqlServer
冰 河

冰河可以說是最有名的木馬了,就連剛接觸電腦的用戶也聽說過它。雖然許多殺毒軟件可以查殺它,但國內仍有幾十萬中冰河的電腦存在!作為木馬,冰河創造了最多人使用、最多人中彈的奇跡!現在網上又出現了許多的冰河變種程序,我們這裡介紹的是其標准版,掌握了如何清除標准版,再來對付變種冰河就很容易了。   

冰河的服務器端程序為G-server.exe,客戶端程序為G-clIEnt.exe,默認連接端口為7626。一旦運行G-server,那麼該程序就會在C:/Windows/system目錄下生成Kernel32.exe和sysexplr.exe,並刪除自身。Kernel32.exe在系統啟動時自動加載運行,sysexplr.exe和TXT文件關聯。即使你刪除了Kernel32.exe,但只要你打開TXT文件,sysexplr.exe就會被激活,它將再次生成Kernel32.exe,於是冰河又回來了!這就是冰河屢刪不止的原因。

清除方法:

1、刪除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。

2、冰河會在注冊表HKEY_LOCAL_MacHINE/software/microsoft/Windows/ CurrentVersion

Run下扎根,鍵值為C:/Windows/system/Kernel32.exe,刪除它。

3、在注冊表的HKEY_LOCAL_MacHINE/software/microsoft/windows/ CurrentVersion/Runservices下,還有鍵值為C:/Windows/system/Kernel32.exe的,也要刪除。

4、最後,改注冊表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默認值,由中木馬後的C:/windows/system/Sysexplr.exe %1改為正常情況下的C:/Windows/notepad.exe %1,即可恢復TXT文件關聯功能。


廣外女生

廣外女生是廣東外語外貿大學“廣外女生”網絡小組的處女作,是一種新出現的遠程監控工具,破壞性很大,遠程上傳、下載、刪除文件、修改注冊表等自然不在話下。其可怕之處在於廣外女生服務端被執行後,會自動檢查進程中是否含有“金山毒霸”、“防火牆”、“iparmor”、“tcmonitor”、“實時監控”、“lockdown”、“kill”、“天網”等字樣,如果發現就將該進程終止,也就是說使防火牆完全失去作用!   

該木馬程序運行後,將會在系統的SYSTEM目錄下生成一份自己的拷貝,名稱為DIAGCFG.EXE,並關聯.EXE文件的打開方式,如果貿然刪掉了該文件,將會導致系統所有.EXE文件無法打開的問題。

清除方法:

1、由於該木馬程序運行時無法刪除該文件,因此啟動到純DOS模式下,找到System目錄下的DIAGFG.EXE,刪除它

2、由於DIAGCFG.EXE文件已經被刪除了,因此在Windows環境下任何.exe文件都將無法運行。我們找到Windows目錄中的注冊表編輯器“Regedit.exe”,將它改名為“Regedit.com”;

3、回到Windows模式下,運行Windows目錄下的Regedit.com程序(就是我們剛才改名的文件);

4、找到HKEY_CLASSES_ROOT/exefile/shell/open/command,將其默認鍵值改成%1 %*;

5、找到HKEY_LOCAL_MacHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ RunServices,刪除其中名稱為“Diagnostic Configuration”的鍵值;

6、關掉注冊表編輯器,回到Windows目錄,將“Regedit.com”改回“Regedit.exe”。

7、完成。



聰明基因

聰明基因也是國產木馬,默認連接端口7511。服務端文件genueserver.exe,用的是HTM文件圖標,如果你的系統設置為不顯示文件擴展名,那麼你就會以為這是個HTM文件,很容易上當哦。客戶端文件genueclient.exe 。如果不小心運行了服務端文件genueserver.exe,它會裝模作樣的啟動IE,讓你進一步以為這是一個HTM文件,並且還在運行之後生成GENUESERVER.htm文件,還是用來迷惑你的!怎麼樣,是不是無所不用其極?

哈哈,木馬就是如此,騙你沒商量!聰明基因是文件關聯木馬,服務端運行後會生成三個文件,分別是:C:/WINDOWS/MBBManager.exe和Explore32.exe以及C:Windowssystemeditor.exe,這三個文件用的都是HTM文件圖標,如果不注意,
  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved