荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: tianck (BBS!冇意思~~~), 信区: Security
标  题: Re: gwboydll.dll
发信站: 荔园晨风BBS站 (Mon Jun  2 12:23:11 2003), 转信


是广外男生,中过一次


 广外男生是广外程序员网络(前广外女生网络小组)精心制作的一款远程控制软件
,是一个专业级的远程控制以及网络监控工具。而广外男生除了具有一般普通木马
应该具有的特点以外,还具备独有的特色:1.客户端高度模仿WINDOWS资源管理器
.2.强大的文件操作功能.3.运用了"反弹端口原理"与"线程插入"技术.

 广外男生利用dll插入线程技术来防止进程被终止,还可以穿透防火墙哦!我就不在
详细介绍.

删除方法请参照以下步骤:

1.打开系统注册表键值如下
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,需要查
看广外男生运行的EXE文件.该键值并没有完整运行路径,因为可执行文件在
system32文件夹中,可以直接运行.删除该自启动键值,然后在system32系统文件夹
中删除相应的EXE文件.

2.此步骤很重要,虽然以上删除了自启动项,但下次还会启动的.因为广外男生修改
注册表使dll自动运行,而且运行之后dll插入explorer进程中dll是不可以删除,即
使你终击explorer进程,但还是会被插入到其他进程中.此步骤你需要知道广外男生
dll文件名称,你可以在system32系统文件夹中查找,文件大小为116kB或者115kB.找
到广外男生dll之后复制其文件名称,然后打开系统注册表,点击-->编辑-->查找,然
后输入你刚复制的dll文件名称,找到此键值之后删除即可.因为广外男生运行之后
随机写注册表使dll能够自动运行,注册表位置是变化的.

注意:一定要利用dll文件名查找整个注册表且删除键值,使广外男生不能自动运行.


3.重新启动计算机之后删除system32系统文件夹中的广外男生dll,文件大小为
116kB或者115kB.


【 在 zhutouB (诚心修炼) 的大作中提到: 】
: 这个是什么后门??
: 扫描类型: 实时防护 扫描
: 事件: 已发现病毒!
: 病毒名称: Backdoor.Trojan
: 文件: C:\WINNT\system32\gwboydll.dll
: 位置:C:\WINNT\system32
: 计算机:SZU-E1C350182C5
: 用户:babybird
: 采用的操作:清除 失败 : 隔离 失败 : 拒绝访问
: 发现的日期: Sun Jun 01 22:03:49 2003


--

   “我要这天,再遮不住我眼,
     要这地,再埋不了我心,
     要这众生,都明白我意,
     要那诸佛,都烟消云散!”


※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.55.117]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店