荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (好好爱你,永远!), 信区: Virus
标 题: 十款流行木马清除方法一览
发信站: 荔园晨风BBS站 (Mon Jan 28 11:52:32 2002), 站内信件
一、木马ShareQQ
这是一款QQ密码窃取软件。清除方法如下:
1、删除文件。
用进程管理软件终止spolsv.exe这个进程(或到纯DOS下),然后到
windows\system文件夹下将spolsv.exe文件删除,顺便删除的还有debug.dll、
MSIME5f594f58.dll两个文件,再到Windows目录下删除winin.exe文件。
2、检查注册表。
在“开始”菜单的“运行”中输入regedit检查注册表,到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下,删除
名为“netconfig”的字符串。
再到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce下,
删除“winin”字符串即可。
3、重新启动电脑一切OK!
二、木马BladeRunner
首先展开注册表到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,你会
看到字符串值System-Tray,其键值为c:\something\something.exe,事实上c:
\something\something.exe是可以任意变化的,就看给您下木马的人怎么设定了,
所以你看到的可能与我说的不同,但这不影响我们查杀它。
根据木马在注册表中建立的的键值记下木马的名字与所在文件夹,然后退回到
纯DOS下,找到此木马文件并删除掉。重新启动计算机,然后到注册表中找到我们
前面提到的木马文件所建立的字符串值及其键值,删除之即可。
三、木马广外女生
广外女生是广东外语外贸大学“广外女生”网络小组的处女作,它的基本功能
有:文件管理方面有上传,下载,删除,改名,设置属性,建立文件夹和运行指定
文件等功能;注册表操作方面:全面模拟Windows的注册表编辑器,让远程注册表
编辑工作有如在本机上操作一样方便;屏幕控制方面:可以自定义图片的质量来减
少传输的时间,在局域网或高网速的地方还可以全屏操作被控方的鼠标(包括单击
,双击,右键,拖动等);其他功能还有远程任务管理、邮件IP通知、邮件服务等
。广外女生与其他同类软件相比,其主要特点是:服务端程序体积小,大家熟悉的
“冰河”是260多KB,而广外女生只有96KB!服务端占用系统资源少,最多时只占
用3M的内存,不会影响服务端计算机的速度。隐蔽性好,不容易被发现。同时还自
动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”
、“实时监控”、“lockdown”、“kill”、“天网”等字样,如果发现就将该进
程终止,也就是说它会使防火墙完全失去保护作用!
广外女生的清除方法
该木马程序运行后,将会在系统的SYSTEM目录下生成一个木马文件名为
DIAGCFG.EXE,并关联EXE文件的打开方式,如果直接删除该文件,将会导致系统中
所有的EXE文件无法打开。
1、到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除它;
2、由于DIAGCFG.EXE文件已经被删除了,因此在Windows环境下所有exe文件都
将无法运行。找到Windows目录中的注册表编辑器Regedit.exe,将它改名为“
Regedit.com”;
3、回到Windows模式下,运行Windows目录下的Regedit.com程序;
4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其默认键值改
成"%1" %*;
5、找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
,删除其中名称为“Diagnostic Configuration”的键值;
6、关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“
Regedit.exe”。
7、重新启动电脑,就OK了。
四、木马BrainSpy
1、检查注册表。
展开注册表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,你会
在右边的窗口中看到有字符串值***="C:\WINDOWS\system\BRAINSPY.exe",其中“
***”是随意改变,但其键值不变恒为“C:\WINDOWS\system\BRAINSPY.exe”,删
除此字符串值和键值。
2、删除文件。
用进程管理软件终止“BRAINSPY.exe”这个进程(或重新启动电脑到纯DOS下
),然后到C:\WINDOWS\system文件夹下删除BRAINSPY.exe文件即可清除木马
BrainSpy。
五、木马FunnyFlash
FunnyFlash的图标为FLASH图标,很容易使人上当受骗,千万不要以为它是个
FLASH文件而运行。
清除方法:
1、检查注册表。
到注册表HKEY_LOCAL_MACHINESoftware\Microsoft\Windows
\CurrentVersion\RunServices下,删除串值“723”及其键值“c:\`.exe”。
2、删除木马文件。
分别到C盘根目录、C:\WINDOWS和C:\WINDOWS\SYSTEM文件夹下找到“`.exe”
文件,删除之,再到C:\WINDOWS\TEMP下删除“FunnyFlash.exe”文件即可清除木
马。
六、QQ密码侦探特别版
这也是一款QQ密码窃取密码,木马文件名为QQSPYSP.EXE,文件大小379,
904byte。它的清除方法:
重启电脑到纯DOS状态下,然后将C:\WINDOWS\SYSTEM文件夹中的Internat.
exe文件删除,再将该文件夹下的smaxinte.exe文件重命名Internat.exe,最后删
除Windows文件夹下的Internat.exe和uttnskf.ini文件,重新启动电脑即可清除该
木马。
七、木马IEthief
IEthief的图标与浏览器IE的图标很是相似,不同之处其图标在右端的“e”字
开口处添加了一排“牙齿”,这是识别它与正常的IE文件的好方法。
清除方法:
1、删除C:\WINDOWS\SYSTEM文件夹下的木马文件和相关的信息记录文件:
IEthief.exe、firstrunIE.dat、IEcfg,这一步可以在纯DOS下进行。
2、更改注册表:
到注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下,删除
串值“ierun”及其键值“C:\WINDOWS\SYSTEM\IEthief.exe”即可。
八、木马QEyes潜伏者
QEyes潜伏者是个QQ密码窃取木马,它的清除方法如下:
1、在“开始”菜单中的“运行”中输入msconfig,找到Win.ini标签,删除“
[windows]”字段下的“run=”下的字符串“c:\windows\thereadmsg.exe”。
2、检查注册表
在“开始”菜单的“运行”中输入regedit,到注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下,删除
字符串值netservice及其键值c:\windows\nesmsg.exe;再删除字符串值system及
其键值c:\windows\system\kerne132.exe;最后再删除字符串值boot及其键值c:
\windows\system\kerne116.exe。
3、清除文件
到Windows所在安装目录下删除nesmsg.exe、thereadmsg.exe、wininet.ini、
raddr.txt和addr.txt文件,再到Windows\system文件夹下删除kerne116.exe、
kerne132.exe文件,最后到C盘根目录下删除process.dll文件即可清除该木马。
九、木马蓝色火焰
蓝色火焰是一款没有客户端的木马,你的电脑中几乎任何和网络相关的程序都
可以用来控制它,如Telnet、sterm、cterm、Zmud、Ftp、IE、Netscape、Opera、
Flashget、Cuteftp……由于没有客户端,甚至可以跨平台来操控服务端,如在
Unix、linux系统下……
蓝色火焰客户端与服务端连通讯通过19191端口进行;如果是微型版蓝色火焰
(这是只有10K大小的微型版蓝色火焰),则使用9191端口连接。所以,也可以通
过这个方法来发现“蓝色火焰”,方法是在MS-DOS窗口下(在Win2000下称作命令
提示符下)运行netstat -a命令即可,如果发现有19191或9191端口开放,就表示
你中木马了(这部分介绍参考了笔友的文章)。
清除方法:
1、删除木马在注册表中建立的键值。
在“开始”菜单的“运行”中输入Regedit,到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下,删除
串值Network Services及其键值C:\WINDOWS\SYSTEM\tasksvc.exe。
2、恢复文件关联:
到注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command和
HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command之下,将
C:\WINDOWS\SYSTEM\sysexpl.exe %1更改为:NOTEPAD.exe %1
3、删除文件。
到C:\WINDOWS\SYSTEM下,将tasksvc.exe、sysexpl.exe、bfhook.dll这三个
文件删除即可清除木马蓝色火焰。
十、木马Back Construction清除方法
1、检查注册表。
到注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,删除
右边窗口中的“C:\WINDOWS\Cmctl32.exe”。
2、删除木马文件。
重新启动到纯DOS下,或用进程管理软件终止进程“Cmctl32.exe”,然后到
C:\WINDOWS文件夹下删除木马文件Cmctl32.exe即可。
--
∵ ∵
● ◆ ★ ▼ ★ ● ◆
╂ ╢ ┃ ┢ ┨ ║ ╋
█ █ █ █ ███ █●█
█ █●█ █ /█\
█ █ █ █ ██ █ █
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店