木马防范与清除之网上九大流行木马清除方法

全站搜索

首页 -> 技术学院 -> 系统安全 -> 病毒剖析

木马防范与清除之网上九大流行木马清除方法

2004-11-05 作者：天极网阅读量：

四、冰河

冰河可以说是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。

冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。

清除方法：

1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。

2、冰河会在注册表HKEY_LOCAL_MACHINE\software\microsoft\Windows\ CurrentVersion

\Run下扎根，键值为C:\Windows\system\Kernel32.exe，删除它。

3、在注册表的HKEY_LOCAL_MACHINE\software\microsoft\Windows\ CurrentVersion\Runservices下，还有键值为C:\Windows\system\Kernel32.exe的，也要删除。

4、最后，改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，由中木马后的C:\Windows\system\Sysexplr.exe %1改为正常情况下的C:\Windows\notepad.exe %1，即可恢复TXT文件关联功能。

五、广外女生

广外女生是广东外语外贸大学“广外女生”网络小组的处女作，是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后，会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！

该木马程序运行后，将会在系统的SYSTEM目录下生成一份自己的拷贝，名称为DIAGCFG.EXE，并关联.EXE文件的打开方式，如果贸然删掉了该文件，将会导致系统所有.EXE文件无法打开的问题。

清除方法：

1、由于该木马程序运行时无法删除该文件，因此启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它

2、由于DIAGCFG.EXE文件已经被删除了，因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”；

3、回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改名的文件）；

4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command，将其默认键值改成"%1" %*；

5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\ RunServices，删除其中名称为“Diagnostic Configuration”的键值；

6、关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe”。

7、完成。