木马防范与清除之网上九大流行木马清除方法

全站搜索

首页 -> 技术学院 -> 系统安全 -> 病毒剖析

木马防范与清除之网上九大流行木马清除方法

2004-11-05 作者：天极网阅读量：

六、聪明基因

聪明基因也是国产木马，默认连接端口7511。服务端文件genueserver.exe，用的是HTM文件图标，如果你的系统设置为不显示文件扩展名，那么你就会以为这是个HTM文件，很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe，它会装模作样的启动IE，让你进一步以为这是一个HTM文件，并且还在运行之后生成GENUESERVER.htm文件，还是用来迷惑你的！怎么样，是不是无所不用其极？

哈哈，木马就是如此，骗你没商量！聪明基因是文件关联木马，服务端运行后会生成三个文件，分别是：C:\WinDOWS\MBBManager.exe和Explore32.exe以及C:\WinDOWS\system\editor.exe，这三个文件用的都是HTM文件图标，如果不注意，还真会以为它们是HTM文件呢！

Explore32.exe用来和HLP文件关联，MBBManager.exe用来在启动时加载运行，editor.exe用来和TXT文件关联，如果你发现并删除了MBBManager.exe，并不会真正清除了它。一旦你打开HLP文件或文本文件，Explore32.exe和editor.exe就被激活！它再次生成守护进程MBBManager.exe！想清除我？没那么容易！

聪明基因最可怕之处是其永久隐藏远程主机驱动器的功能，如果控制端选择了这个功能，那么受控端可就惨了，想找回驱动器？嘿嘿，没那么容易！

清除方法：

1.删除文件。删除C:\WinDOWS下的MBBManager.exe和Explore32.exe，再删除C:\WinDOWS\system下的editor.exe文件。如果服务端已经运行，那么就得用进程管理软件终止MBBManager.exe这个进程，然后在Windows下将它删除。也可到纯DOS下删除MBBManager.exe，editor.exe在Windows下可直接删除。

2. 删除自启动文件。展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下，删除键值“MainBroad BackManager”，其值为C:\WinDOWS\MBBManager.exe，它每次在开机时就被加载运行，因此删之别手软！

3.恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由C:\WinDOWS\NOTEPAD.EXE %1改为C:\WinDOWS\system\editor.exe %1，因此要恢复成原值。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下，将此时的默认键值由C:\WinDOWS\system\editor.exe %1改为C:\WinDOWS\NOTEPAD.EXE %1，这样就将TXT文件关联恢复过来了。

4.恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默认键值改为C:\WinDOWS\explore32.exe %1，因此要恢复成原值：C:\WinDOWS\WinHLP32.EXE %1。同理，到注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command下，将此时的默认键值由C:\WinDOWS\explore32.exe %1改为C:\WinDOWS\WinHLP32.EXE %1，这样就将HLP文件关联恢复过来了。

好了，可以和聪明基因说“再见”了！