木马清除不求人文档格式.docx
《木马清除不求人文档格式.docx》由会员分享,可在线阅读,更多相关《木马清除不求人文档格式.docx(37页珍藏版)》请在冰豆网上搜索。
自动恢复冰河的设置。
2.冰河程序由两个部分组成,一个是服务器端程序,即运行在被控制主机上的程序;
另
一个是客户端程序,即运行在主控主机上的程序。
3.注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main中
键值StartPage已被修改成了一个恶意网站的网址了(鉴于恶意网站的破坏性,此处隐去了
文字和图片中的具体网址),写入新的键值就可以了。
1.重新启动电脑并进入纯DOS模式,删除C:
\Windows\system下冰河生成的服务端
程序Kerne32.exe和Sysexplr.exe。
2.然后进入Windows系统,打开注册表编辑器,删除注册表HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\
software\microsofi\windowsCurrentVersion\Runservices主键下的默认键值,其数
据都为C:
\windows\system\Kerne32.exe。
3.查看HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\Shell\Open\command
主键的默认键值是不是“C:
\windows\system\Sysexplr.exe%1”,如果是就改成
“notepad.exe%1”。
177
CChhaapptteerr77木马清除不求人
4.还要把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\Shell\Open\Command
主键下的默认键值改为正常的“"
%1"
%*”。
7.1.3破解黑洞2001
当进程被终止,防火墙莫名其妙失效时,很有可能遇上了黑洞2001。
1.黑洞2001的原始文件只有一个客产端程序,它的服务端程序只有通过客产端程序生
成。
2.服务端文件名为S_Server.exe(大小397632字节)。
3.默认连接端口为2001(可更改变化)。
4.它还具有终止进程功能。
它的服务端程序可以随意终止被控机器的程序进程,通过这
个功能控制者可以突破被控机器的网络防火墙,从而实施更大的破坏。
而且它的服务端程序
图标是普通文件夹图标,很容易使人上当。
1.重新启动电脑并进入纯DOS模式,删除C:
\Windows\system下黑洞2001生成的服
务端程序Windows.exe和Server.exe。
2.进入Windows系统,将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command
和HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command主
键下的默认键值由“S_SERVER.EXE%1”改为“NOTEPAD.EXE%1”。
3.删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices主键下的键值“Windows”,其数据为“Windows.exe"
。
4.最后,将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES
下的Winvxd主键删除即可。
7.1.4抓住网络神偷
网络神偷一反木马常规,采用了独特的反弹端口,改变了数据流方向,因此可以躲过大
多数网络防火墙的拦截,真是可怕。
178
1.网络神偷只有一个客户端程序,服务端程序需要生成。
客户端程序为Nethief.exe。
2.默认连接端口为80(这是第一个采用反弹端口的木马)。
3.Nethief只能进行文件的上传、下载和远程运行,但它一反常规,采用了独特的反弹
端口,改变了数据流方向,因此可以躲过大多数网络防火墙的拦截,从而达到窃取文件的目
的,因而是非常可怕的。
\Windows\system下的服务端程序
intemet.exe。
2.删除网络神偷在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run主键下建立的键值“internet”,其数据为“Internet.exe”。
7.1.5广外女生很危险
别以为这是个如何漂亮与温柔的MM哦,这是一款功能强大的木马,小心为妙。
1.也采用了流行的单客户端方式,服务端程序需要生成。
生成的服务端程序为
GDUF5.exe,默认连接端口为6267(而且可以更改变化)。
2.具有木马应当具备的文件操作、注册表操作等,而且它会自动检查系统进程,如果发
现有金山毒霸、防火墙、iparmor、Tcmonitor、实时监控、Lockdown、Kill、天网等对它有
179
害的进程存在,就会立即将该进程终止,从而导致常规的防杀木马的工具根本无法使用。
3.采用其他木马不常用的EXE文件关联方式。
\Windows\system下木马生成的服务端
程序DIAGFG.EXE。
2.回到Windows系统,在Windows目录中找到注册表编辑器“Regedit.exe”,将它改
名为“R”。
3.找到HKEY_CLASSES_ROOT\exefile\shell\open\commond主键,将其默认键值由
“C:
WINDOWS\SYSTEM\DIAGCF6.EXE"
%*”改成“"
4.找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices主键,删除其中名称为“DiagnosticConGumptions”、数据为“C:
\WINDOWS\SYSTEM\DIAGCFG.EXE-load”的键值。
5.最后,别忘了把“R”改成“Regedit.exe”。
7.1.6制服网络公牛
公牛的脾气坏,这是众所周知的了。
可是有一头“公牛”,不仅脾气坏,心眼也坏,少见
吧!
1.网络公牛的文件压缩包中有很多文件,需要把多个程序连接在一起。
2.服务端程序为newserver.exe,客户端程序为peep.exe,默认连接端口为234444(可
以更改端口)。
3.服务端运行后会自动捆绑以下文件:
Windows9X下捆绑notepad.exe、write.exe、
regedit.exe、Winmine.exe、winhep.exe;
WindowsNT/2000下(在Windows2000下会
出现文件改动报警,但并不能阻止以下文件的捆绑)捆绑notepad.exe、regedit.exe、
reged32.exe、drwtsn32.exe、Winmine.exe。
4.并且服务端还会捆绑在开机时自动运行的第三方软件,要清除时必须删除被捆绑的程
序。
180
1.在纯DOS环境下,删除网络公牛的自启动程序C:
\WINDOWS\SYSTEM\CheckDll.exe。
2.然后删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Run、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices以及HKEY_USERS\DEFAULT\Software\Microsoft\Windows\Current
Version\Run三个主键下的“CheckDll.exe”键值,这三个键值的数据都是“C:
\WINDOWS\SYSTEM\CheckDll.exe”。
通过和正常机器上的文件比较上面所列出文
件大小,观察这些文件是否被捆绑,被捆绑后一般会增加40KB左右,如果被捆绑,
要用备份文件进行覆盖恢复。
对于捆绑了开机自启动的第三方程序,那就只有把文件删除后重装软件了。
7.1.7清除Liquid木马
电脑突然莫名其妙地重启,再次进入系统后,还是遇到同样的情况,真是怪了。
这样的
情况就很有可能中了Liquid木马了。
1.此木马以可执行文件MP3LiquidBurn.exe的形式出现,运行后会在C盘的Program
Files及启动文件夹下创建许多文本文件,并且随机重启攻击电脑。
这些文本文件大小为10
字节,文件名为“Yousuckxxxx.txt”(xxxx是从1开始增加的数字),文本内容为:
“youSuck”。
2.生成这些文件后,病毒就开始重启你的电脑。
一旦感染了此病毒,系统性能会降低,
接着是导致系统不稳定,经常重新启动,这时你想利用电脑工作就不可能了。
由于经常重启,
硬件也会受到影响,有可能造成硬件故障。
受影响的系统有:
Windows95,Windows98,
WindowsNT,Windows2000,WindowsXP,其他操作系统不受影响。
3.电脑的C盘ProgramFiles文件夹中出现大量的以“YouSuck”作为文件名开头的
文本文件。
1.在运行电脑时先启动防火墙,一旦出现木马或者病毒,它会给我们一个警告,以便我
们能够删除它们。
使用一般的防火墙就可以了,但一定要保证病毒库是最新的。
2.处理木马的最好方法是利用一些木马查杀软件,比如TheCleanerV3.2Build。
如果
181
有杀毒软件,那么处理这样的木马,会更加简单,只要先对你的病毒包进行升级,即可将此
木马扫出你的机器。
7.1.8清除BackDoor-ACH木马
在网上聊得正开心的时候,电脑的速度突然变得特别慢,不一会电脑就死机了,再次进
入系统,出现提示系统错误的对话框。
1.这个木马是由三个部分组成的,包括服务器端,客户端和配置工具。
2.该木马运行在服务器端时会弹出一个错误提示对话框。
接着,它会将自身
DLLDAT32.EXE(334758bytes)复制到Windows的系统目录下。
3.对注册表进行修改,将“DLLDAT32=c:
\windows\system\dlldat32.exe”添加到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中,将
“DLLDAT32=c:
\windows\system\dlldat32.exe”添加到“HKEY_LOCAL_MACHINE\
Software\Microsoft\Windows\CurrentVersion\RunServices”中,这样就可以让木马和系统
一起启动。
4.木马会在被感染的电脑中打开一个端口(例如:
13371,端口不是固定的),为入侵者
打开一条道路。
它会通过80端口给入侵者发出通知,内容包括受害者电脑的IP地址、机器
名、打开的端口、密码和版本等。
5.该木马最厉害之处在于可以终止某些进程(如防火墙和杀毒软件的进程)。
一旦入侵者
利用木马进入受害者的电脑,可以对受害者的电脑为所欲为了。
1.利用最新版本的杀毒软件,可以将这个木马进行过滤。
注意平时要打开防火墙,在上
网时不要随便浏览陌生人发来的邮件,这样别人想攻击你也就没有机会了。
2.利用升级的杀毒软件进行查找,或者是利用专门查杀木马的软件进行查杀,即可将木
马查找出来。
如果想自己动手查找,可以运行注册表,查看HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中是不是有DLLDAT32=C:
\windows
\System\dlldat32.exe键值。
如果有,说明中了此木马。
3.如果中了木马,将注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run的DLLDAT32=C:
\windows\system\dlldat32.exe键值删除即可。
182
7.1.9清除BackDoorDucktoy木马
这个木马非常危险,一旦中招,你的电脑就会被别人控制。
1.BackdoorDucktoy这个木马由客户端和服务器端两部分组成。
假如你无意中运行了
服务器端,那么别人就可以用Ducktoy的客产端控制你的电脑。
2.木马的访问端口缺省是29559和59211,不过端口是可以更改的。
客户端可以通过
电脑的IP地址或电脑名字来访问你的电脑。
3.该木马还会将MSHTML<
pathtoTrojan\filename>
(木马的路径\文件名)键值添
加到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run注册
表中,这样使木马可以在电脑启动时运行。
1.对付这个木马最好的方法就是利用一些木马扫描软件,也可以利用防火墙。
每次启动
电脑时要同时启动防火墙,这样可以将你的电脑置于安全的监控之下,别人想搞鬼就没有那
么容易了。
2.在注册表中查找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Run,将里面的MSHTML<
pathtoTroion\filename>
(木马的路径\文件名)键值
删除即可。
3.通过搜索硬盘(按下F3键,通过查找来查看木马文件),把木马文件找到并删除。
不
过最好还是先将电脑启动到安全模式之下再删除。
4.利用杀毒软件,先对杀毒软件进行升级之后再运行查找,将此木马给找出来,找到之
后,将其删除即可。
7.1.10清除PWSteaIKaylo木马
要想自己的资料更加安全,我们一般都会设置密码。
有一些木马程序专门偷取密码,比
如PWStealKaylo。
1.PWStealKaylo木马会搜索用户的密码,然后将它们发送到指定邮箱。
183
2.此木马依靠非正式文档函数“WnetEnum.CachedPasswords”(存在于Windows
95/98/Me版本的Mpr.dll文件中)来获取本地电脑上使用的密码,这些密码包括Modem拨
号密码、URL网络连接密码、共享密码及其他类型的密码。
一旦密码被窃,结果就可想而知
了。
3.为了在机器启动时自动运行,木马会添加键值OsaRun<
trojanfile-name>
(木马文
件名)到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run中。
4.另外,此木马会尝试获取连接进程的当前状态。
假如成功找到一个已建立的连接,它
会利用该连接并通过自带的SMTP引擎给指定地址发送含有密码信息的电子邮件。
1.这个木马程序能够很快就进入了我们的机器,主要是因为我们对病毒防范的疏漏。
如
果在运行电脑时将病毒防火墙启动起来,而且注意定时升级,感染的机会就很小了。
对于匿
名邮件,我们不要随便运行,要确定没有病毒的情况下才能够运行。
如果不放心的话,那么
直接将其删除。
2.在已经启动杀毒软件扫描的情况下,检查自己的硬盘是否已经存在了一个名字为
PWStealKaylo的病毒,如果存在的话,那么表明已经中了此病毒.
3.查看注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Run中的键值是否为OsaRun<
trojanfile-name>
,如果是的话,那么也说明已经中
了此病毒。
4.利用专门查杀木马的软件。
5.用更改注册表的方法来解决。
运行注册表编辑器,将HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows\CurrentVersion\Run中的OsaRun<
Trojanfile-name>
这
个键值删除即可。
6.利用杀毒软件,首先升级病毒库,然后进行查毒和杀毒操作。
7.1.11围剿Win2000密码大盗
在Windows2000或者是WindowsXP中,想要获得系统的控制权,就必须先得到管理
员的账号和密码。
于是盗取账号密码木马便随之产生了,最典型的如Win2kpass(也称
Win2000密码大盗),这个木马不但能获取机器管理员的权限,连登录过本机的所有用户和密
码也都不放过。
184
1.当运行Win2kpass.exe这个木马之后,你会发现该文件已经不见了。
然后重新启动
电脑,这时我们会发现在系统的用户账号中多了一个stgzs的普通用户,它的登录密码默认为
stg2s。
这个用户具有远程访问功能,也就是说,它可通过拨号远程进入系统。
2.该木马还会在X\Winnt\temp\的目录下建立一个名为config.ini的文本文件(X为你
的系统安装的磁盘分区号)。
登录到该电脑上所输入的用户名、登录密码,木马都会一一记下并
存放在这个文件里(还加上了登录的时间)。
这样,只要打开文件便可知道所有登录者及密码。
3.木马会自动共享X\Winnt\temp目录,这样在局域网中就可直接打开config.ini这个
文件了。
4.同时最新版本的Win2kpass还增加了自卫保护功能,防止非法删除,除非用专门的
清除程序,否则是没有办法删除的。
这个木马用普通的方法是无法清除的,我们必须先获得一个Win2000密码大盗专杀工具:
CIsWin2k。
1.直接运行该软件即能自动清除Win2kpass,当系统重新启动之后,你还必须做以下工
作。
2.在用户管理器中删除用户stgzs,并且删除X:
\Winnt\temp\的Config.ini文件,取
消Temp共享目录即可。
7.1.12危险的灰鸽子
灰鸽子听起来像一个游戏软件,但是它却是能与冰河相提并论的可怕木马程序。
它能在
Windows98/Me/NT/2000系统中运行,并有独立的客户和服务器端程序。
185
1.删除灰鸽子服务端程序
由于在Windows环境下灰鸽子的服务端是处于运行状态,无法直接删除,所以必须进入
纯DOS状态删除。
删除命令如下:
cdc:
\windOWS\SV5tem
attrib-r-s-hkernel32.exe
attrib-r-s-hnotepod.exe
delkernel32.exe
delnotepod.exe
注意:
如果灰鸽子服务端设置了EXE文件关联的话,将会导致注册表编辑器无法运行。
所以,在删除服务端之前,先将注册表编辑器重命名,以便以后对注册表进行更改,操作命
令如下:
renc:
\windows\regedit.exe
2.删除注册表中的启动键。
由于我们更改了注册表编辑器名称,所以要打开注册表编辑器。
(1)执行“开始”菜单中的“运行”命令,然后输入“regedit”。
(2)启动注册表编辑器后,依次打开HKEY_LOCAL_MACHINE\software\Microsoft\
Windows\CurrentVersion\Run,在右边的窗口中删除名称为“Loadwindows”的
键值就可以了。
3.清除文件关联
灰鸽子可以设置4种文件关联:
exe、txt、i