发现一个病毒,不知道怎么删除
我很体谅你现在气愤的心情,你先把网络关闭了(要把网络线也拔了)然后再使用安全软件给查杀,如果没有杀毒软件,也不要紧,用以下方法:1、通过进程找病毒原程序:病毒只要运行,肯定会有一个进程,通过“任务管理器”或“360安全卫士”等,我们可以查看到系统中当前运行的进程。一旦发现特别占用内存或CPU资源的进程,可以初步判断为病毒的原程序。进程名字通常是扩展名为.exe或.com的可执行文件,可以通过操作系统自带的“搜索”功能,查找该可疑进程的位置。由于一些病毒或进程会伪装成系统进程,这样会迷惑用户。例如,一些病毒通常会生成名字为“svch0st.exe”,与系统进程“svchost”的差别在于数字“0”和字母“o”,用户在查找时一定要注意。
说明:如果在系统进程中查找到了可疑的进程,可利用系统的“搜索”功能却没有找到病毒原程序,通常是要查找的进程文件是隐藏文件,可以在搜索选项中查找系统或隐藏文件,这样就能查找到病毒原程序。
2、通过注册表找病毒原程序:病毒一旦感染操作系统,会在注册表中的启动项加载一些进程。在注册表的键值中,自动加载的选项中有文件的路径,这大大方便用户查找病毒的原程序。
通常情况下,病毒原程序的加载位置在注册表的如下位置:
①HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;
②HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;
③HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
查找到病毒的原文件之后,便可以对病毒举起屠刀,结束其生命了。但有时用户删除了病毒原程序后,病毒无意之间又冒了出来,其实之所以会出现这种情况,是因为没有彻底删除病毒原程序及其相关的加载选项。
彻底删除病毒原程序和加载选项
一些病毒通常会感染系统文件,用户在删除该病毒原程序时,系统会弹出“文件正在使用,无法删除”的提示,这种情况之下,要想彻底删除病毒原程序,只能使用特殊方法。下面介绍一下两种常用的删除病毒原程序的方法。
1、安全模式删除:如果遇到病毒原程序无法被删除的情况,用户可以进入安全模式下删除。如果病毒原程序感染了系统文件,必须将感染了病毒的系统文件删除,在删除之前,可以从其他没有感染病毒的机器中复制一个正常的文件替代被感染的病毒文件。
2、终止进程再删除:有些病毒无法删除是因为该文件已经被加载到正常的进程中,要想删除病毒原文件,可以将该进程强行中止,然后删除。
另外,用户可以借助一些第三方的工具删除病毒原程序,经常使用而且效果不错的第三方软件有:killbox、Icesword和unlocker,其中 Icesword当属最得力助手。删除了病毒原程序后,切记不要忘记删除病毒在注册表等处的一些加载选项。病毒除了注册表的Run键值之外,还需要检查以下几个位置并一一删除。
1、启动组:在“开始”菜单的“程序”中有一个启动组,这也是病毒的一个加载地方。一定要删除此处的病毒加载文件。
2、注册表:上文中已经提及,病毒会加载在注册表的Run键中,用户需要一一检查。如病毒原文件名字为loveyou.exe,可以使用注册表的“查找”功能进行查找并一一进行删除。
3、系统文件:win.ini和system.ini两个系统文件也是病毒的最佳藏身之处。打开win.ini后,在它的[windows]字段中有启动命令“load=”和“run=”,病毒通常加载在“=”后面。而在system.ini中,boot字段和driver字段中也是病毒的加载地方。Driver字段后加载的病毒文件,也就是我们通常所说的驱动型病毒。用户要删除上述字段中的病毒的加载选项。
删除了病毒原程序文件,以及病毒在注册表、启动组及系统文件中的加载位置之后,病毒才算真正的被消灭。彻底、完全干净的删除了病毒之后,通常会留下一定的后遗症,手工杀毒之后,还要进行修复工作。
系统修复不容忽视
越来越多的病毒为了躲过杀毒软件的追杀,或者是为了麻痹杀毒软件,通常会感染系统文件,一旦删除了系统文件,操作系统可能会留下诸多的后遗症。例如,正常情况下txt文件的打开方式为notepad.exe文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,著名的冰河木马就是这样的情况。一旦你双击一个txt文件,原本应用notepad打开该文件的,现在却变成启动冰河木马了,删除了冰河木马之后,txt文件关联就错位了。为此,删除病毒之后必须对系统进行修复。
1、复制正常系统文件:通常情况下,病毒会感染rundll32.exe文件,或者是一些扩展名为dll的文件。这种情况下,修复被病毒破坏文件的最佳方法就是从没有感染病毒的系统中复制文件,拷贝到被病毒感染的机器中。拷贝文件成功之后,重新启动计算机就可以了。
2、用恢复命令修复:在Windows XP操作系统中,对于dll文件和一些关键文件都会保存在dllcache目录中,用户可以在DOS提示符下或“运行”中输入sfc /scannow命令恢复这些系统文件。在修复过程中,可能需要插入Windows XP的安装光盘。
3、手工恢复文件关联:删除一些病毒文件后,可能会影响正常的文件关系,用户可以手工恢复文件关联。以修复扩展名为txt的文件为例,打开“文件夹选项”,在“文件类型”选项中查找.txt的文件关联,然后选择删除,点击确定后退出。在硬盘中随便找一个扩展名为.txt的文件,双击会出现一个“选择打开程序”的对话框,选择notepad.exe程序之后,txt文件关联就被恢复了。
不同的病毒对系统文件的破坏程度不同,其修复方法也不同。
如何清除冰河木马
冰河可以说是最有名的木马了。标准版冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626.
一旦运行G-server,那么该程序就会在C:\\Windows\\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
要清除冰河,首先要删除C:\\Windows\\system下的Kernel32.exe和Sysexplr.exe文件;冰河会在注册表的HKEY_LOCAL_MACHINE\\ software\\ microsoft\\ Windows\\CurrentVersion\\Run分支下扎根,键值为C:\\Windows\\system\\Kernel32. exe,删除它。在注册表的
HKEY_LOCAL_ MACHINE\\ software\\microsoft\\Windows\\Current Version\\Runservices
分支下,还有键值为C:\\Windows\\system\\ Kernel32.exe的,也要删除。
最后,恢复注册表中的TXT文件关联功能,只要将注册表的
HKEY_CLASSES_ROOT\\txtfile\\ shell\\open\\command
下的默认值,由中木马后的C:\\Windows\\system\\ Sysexplr.exe %1改为正常情况下的C:\\Windows\\ notepad.exe %1即可。
怎样清除冰河木马!!
木马病毒专杀工具,有中招的请下载
各种木马专杀点击浏览该文件
QQ尾巴病毒专杀点击浏览该文件
专业木马专杀软件绿色版点击浏览该文件
木马杀客最新版绿色点击浏览该文件
1. 冰河v1.1 v2.2
这是国产最好的木马
清除木马v1.1
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
查找以下的两个路径,并删除
" C:\windows\system\ kernel32.exe"
" C:\windows\system\ sysexplr.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序
重新启动。OK
清除木马v2.2
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows。OK
2. Acid Battery v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer ="C:\WINDOWS\expiorer.exe"
关闭Regedit
重新启动到MSDOS方式
删除c:\windows\expiorer.exe木马程序
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
重新启动。OK
3. Acid Shiver v1.0 + 1.0Mod + lmacid
清除木马的步骤:
重新启动到MSDOS方式
删除C:\windows\MSGSVR16.EXE
然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
关闭Regedit
重新启动。OK
重新启动到MSDOS方式
删除C:\windows\wintour.exe然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
关闭Regedit
重新启动。OK
4. Ambush
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的zka
= "zcn32.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\Windows\ zcn32.exe
重新启动。OK
5. AOL Trojan
清除木马的步骤:
启动到MSDOS方式
删除C:\ command.exe(删除前取消文件的隐含属性)
注意:不要删除真的command.com文件。
删除C:\ americ~1.0\buddyl~1.exe(删除前取消文件的隐含属性)
删除C:\ windows\system\norton~1\regist~1.exe(删除前取消文件的隐含属性)
打开WIN.INI文件
在[WINDOWS]下面“run=”和“load=”都加载者特洛伊木马程序的路径,必须清除它们
:
run=
load=
保存WIN.INI
还要改正注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的WinProfile = c:\command.exe
关闭Regedit,重新启动Windows。OK
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木马的步骤:
注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件
在[BOOT]下面有个”shell=文件名”。正确的文件名是explorer.exe
如果不是”explorer.exe”,那么那个文件就是木马程序,把它查找出来,删除。
保存退出system.ini
打开win.ini文件
在[WINDOWS]下面有个run=
如果你看到=后面有路径文件名,必须把它删除。
正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。
保存退出win.ini。
OK
7. AttackFTP
清除木马的步骤:
打开win.ini文件
在[WINDOWS]下面有load=wscan.exe
删除wscan.exe ,正确是load=
保存退出win.ini。
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Reminder="wscan.exe /s"
关闭Regedit,重新启动到MSDOS系统中
删除C:\windows\system\ wscan.exe
OK
8. Back Construction 1.0 - 2.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的"C:\WINDOWS\Cmctl32.exe"
关闭Regedit,重新启动到MSDOS系统中
删除C:\WINDOWS\Cmctl32.exe
OK
9. BackDoor v2.00 - v2.03
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的c:\windows\notpa.exe /o=yes
关闭Regedit,重新启动到MSDOS系统中
删除c:\windows\notpa.exe
注意:不要删除真正的notepad.exe笔记本程序
OK
10. BF Evolution v5.3.12
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的(Default)=" "
关闭Regedit,再次重新启动计算机。
将C:\windows\system\ .exe(空格exe文件)
11. BioNet v0.84 - 0.92 + 2.21
0.8X版本是运行在Win95/98
0.9X以上版本有运行在Win95/98 和WinNT上两个软件
客户-服务器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑
NT被感染的系统完全一样。
清除木马的步骤:
首先准备一张98的启动盘,用它启动后,进入c:\windows目录下,用attrib
libupd~1.exe -h
命令让木马程序可见,然后删除它。
抽出软盘后重新启动,进入98下,在注册表里找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run的子键WinLibU
pdate = "c:\windows\libupdate.exe -hide"
将此子键删除。
12. Bla v1.0 - 5.03
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Systemdoor = "C:\WINDOWS\System\mprdll.exe"
关闭Regedit,重新启动计算机。
查找到C:\WINDOWS\System\mprdll.exe和
C:\WINDOWS\system\rundll.exe
注意:不要删除C:\WINDOWS\RUNDLL.EXE正确文件。
并删除两个文件。
OK
13. BladeRunner
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
可以找到System-Tray = "c:\something\something.exe"
右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要
的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。
重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。
14. Bobo v1.0 - 2.0
清除木马v1.0
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的DirrectLibrarySupport ="C:\WINDOWS\SYSTEM\Dllclient.exe"
关闭Regedit,重新启动计算机。
DEL C:\Windows\System\Dllclient.exe
OK
清除木马v2.0
打开注册表Regedit
点击目录至:
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/
ICQ Accel是一个“假象“的主键,选中ICQ Accel主键并把它删除。
重新启动计算机。OK
15. BrainSpy vBeta
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
右边有 ??? = "C:\WINDOWS\system\BRAINSPY .exe"
???标签选是随意改变的。
关闭Regedit,重新启动计算机
查找删除C:\WINDOWS\system\BRAINSPY .exe
OK
16. Cain and Abel v1.50 - 1.51
这是一个口令木马
进入MS-DOS方式
查找到C:\windows\msabel32.exe
并删除它。OK
17. Canasson
清除木马的步骤:
打开WIN.INI文件
查找c:\msie5.exe,删除全部主键
保存win.ini
重新启动计算机
删除c:\msie5.exe木马文件
OK
18. Chupachbra
清除木马的步骤:
打开WIN.INI文件
[Windows]的下面有两个行
run=winprot.exe
load=winprot.exe
删除winprot.exe
run=
load=
保存Win.ini,再打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的System Protect = winprot.exe
重新启动Windows
查找到C:\windows\system\ winprot.exe,并删除。
OK
19. Coma v1.09
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的RunTime = C:\windows\msgsrv36.exe
重新启动Windows
查找到C:\windows\ msgsrv36.exe,并删除。
OK
20. Control
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的Load MSchv Drv = C:\windows\system\MSchv.exe
保存Regedit,重新启动Windows
查找到C:\windows\system\MSchv.exe,并删除。
21. Dark Shadow
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\RunServices
删除右边的winfunctions="winfunctions.exe"
保存Regedit,重新启动Windows
查找到C:\windows\system\ winfunctions.exe,并删除。
OK
22. DeepThroat v1.0 - 3.1 + Mod (Foreplay)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
版本1.0
删除右边的项目System32=c:\windows\system32.exe
版本2.0-3.1
删除右边的项目SystemTray = Systray.exe
保存Regedit,重新启动Windows
版本1.0删除c:\windows\system32.exe
版本2.0-3.1
删除c:\windows\system\systray.exe
OK
23. Delta Source v0.5 - 0.7
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的项目:DS admin tool = C:\TEMPSERVER.exe
保存Regedit,重新启动Windows
查找到C:\TEMPSERVER.exe,并删除它。
OK
24. Der Spaeher v3
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的项目:explore = "c:\windows\system\dkbdll.exe "
保存Regedit,重新启动Windows
删除c:\windows\system\dkbdll.exe木马文件。
OK
25. Doly v1.1 - v1.7 (SE)
清除木马V1.1-V1.5版本:
这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到Win.ini项目。
首先,进入MS-DOS方式,删除三个木马程序,但V1.35版本多一个木马文件mdm.exe。
把下列各项全部删除:
C:\WINDOWS\SYSTEM\tesk.sys
C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe
c:\Program Files\MStesk.exe
c:\Program Files\Mdm.exe
重新启动Windows。
接着,打开win.ini文件
找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目,删除路径,改变为load=
保存win.ini文件。
最后,修改注册表Regedit
找到以下两个项目并删除它们
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = "C:\Program Files\MStesk.exe"
和
HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = "C:\Program Files\MStesk.exe"
再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss
这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。
关闭保存Regedit。
还有打开C:\AUTOEXEC.BAT文件,删除
@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Itemsdel c:\win.reg
关闭保存autoexec.bat。
OK
清除木马V1.6版本:
该木马运行时,将不能通过98的正常操作关闭,只能RESET键。彻底清除步骤如下:
1.打开控制面板——添加删除程序——删除memory manager 3.0,这就是木马程序,但
是它并不会把木马的EXE文件删除掉。
2.用98或DOS启动盘启动(用RESET键)后,转入C:\,编辑AUTOEXEC。BAT,把如下内容
删除:
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
保存AUTOEXEC。BAT文件并返回DOS后,在C:\根目录下删除木马文件:
del sys.lon
del windows\startm~1\programs\startup\mdm.exe
del progra~1\mdm.exe
3.抽出软盘重新启动,进入98后,把c:\program files\目录下的memory manager 目录
删除。
清除木马V1.7版本:
首先,打开C:\AUTOEXEC.BAT文件,删除
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
关闭保存autoexec.bat
然后打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
找到c:\windows\system\mdm.exe路径并删除这个项目
点击目录至:
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到"C:\windows\system\kernal32.exe"路径并删除这个项目
关闭保存Regedit。重新启动Windows。
最后,删除以下木马程序:
c:\sys.lon
c:\iecookie.exe
c:\windows\start menu\programs\startup\mdm.exe
c:\program files\mdm.exe
c:\windows\system\mdm.exe
c:\windows\system\kernal32.exe
注意:kernal32是A
OK
26. Donald Dick v1.52 - 1.55
清除木马V1.52-1.53版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\VxD\VMLDIR删除右边的项目
:StaticVxD = "vmldir.vxd"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\System\vmldir.vxd
OK
清除木马V1.54-1.55版本:
这两个版本跟上面的版本只是默认文件名不同,其它都一样,
把vmldir.vxd改为intld.vdx即可。
27. Drat v1.0 - 3.0b
清除木马的步骤:
打开注册表Regedit
点击目录至:hkey_classes_root\exefile\shell\open\command
找到@=SHELL32 \"%1\" %*把它更改为@="%1" %*
关闭保存Regedit,重新启动Windows。
查找c:\windows\下shell32.*文件,并删除它。
OK
28. Eclipse 2000
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:bybt = "c:\windows\system\eclipse2000.exe"
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices删除
右边的项目:cksys = "c:\windows\system\ could be anything .exe"
关闭保存Regedit,重新启动Windows
查找到eclipse2000.exe木马文件,并删除。
OK
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:Rnaapp ="C:\WINDOWS\SYSTEM\rmaapp.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\SYSTEM\rmaapp.exe
注意:不要删除Rnaapp.exe
OK
30. Executer v1
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run在右边的项目
查找到"C:\windows\sexec.exe",并删除。
关闭保存Regedit,重新启动Windows
相应删除木马程序文件。
31. FakeFTP beta
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:Rundll32 = rundll3.tww /h
关闭保存Regedit,重新启动Windows
找到C:\windows\文件夹下的三个文件并删除它们
rundll3.bat - 9x.reg - nt.reg
OK
32. Forced Entry
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:MicrosoftRegistration32 = "C:\somepath \trojanhrs.exe"
关闭保存Regedit,重新启动Windows
由于路径容易改变,只要查找到trojanhrs.exe,并删除它。
33. GateCrasher v1.0 - 1.2
清除木马v1.0:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:Explore=c:\windows\explore.exe
关闭保存Regedit,重新启动Windows
然后,删除相应的木马程序。
OK
清除木马v1.1:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:Inet=EXPLORE.EXE
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
清除木马v1.2:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:Command = c:\windows\system.exe
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
34. Girlfriend v1.3x (Including Patch 1 and 2)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:Windll.exe ="C:\windows\windll.exe"
Regedit里也保存着服务器的数据
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\General
删除General项目标题
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
35. Golden Retreiver v1.1b
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:Task Manager="c:\mstask.exe"
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
36. Hack`a`Tack 1.0 – 2000
清除木马v1.0-1.2:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:Explorer32 ="C:\windows\Expl32.exe"
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
清除木马v2000:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:Configuration Wizard = c:\windows\cfgwiz32.exe
关闭保存Regedit,重新启动Windows
删除c:\windows\cfgwiz32.exe
OK
37. Hack99 KeyLogger
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:HKeyLog = "C:\Windows\System\HKeyLog.exe"
关闭保存Regedit,重新启动Windows
删除C:\Windows\System\HKeyLog.exe
OK
38. HostControl v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:RegClean = "c:\windows\inf\regcle32.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\inf\regcle32.exe
OK
39. Hvl Rat v5.30
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:Explorer = "C:\WINDOWS\system\MSGSVR16.EXE"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\system\MSGSVR16.EXE
OK
40. ik97 v1.2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:ik = c:\progra~1\ik\ik.exe
关闭保存Regedit,重新启动Windows
删除C:\Program Files\ik\ik.exe
41. InCommand v1.0 - 1.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run找到右边的项
目:AdvancedSettings = *
注意:*表示就是木马的存放路径与文件名,记下后删除此键。
关闭保存Regedit,重新启动Windows
按照刚才记下的木马路径与文件名删除木马程序。
42. IndocTrination v0.1 - v0.11
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MA
CHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\RunServicesOnce每项标题都包括Msgsrv16
="Msgsrv16"项目
删除每个项目
关闭保存Regedit,重新启动Windows
删除C:\windows\system\msgserv16.exe
OK
43. inet v2.0 - 2.0n
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:Explorer = "C:\WINDOWS\system\inet.exe"
关闭保存Regedit,重新启动Windows
删除"C:\WINDOWS\system\inet.exe"
删除"C:\WINDOWS\system\inet.dll"
OK
44. Infector v1.0 - 1.42
清除木马的步骤:
打开system.ini文件
找到shell=explorer.exe c:\path\to\trojan.exe项目
改为:shell=explorer.exe
保存关闭system.ini文件,重新启动Windows
删除c:\path\to\trojan.exe
OK
45. iniKiller v1.2 - 3.2 Pro
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:Explore="C:\windows\bad.exe "
关闭保存Regedit,重新启动Windows
删除C:\windows\bad.exe
OK
46. Intruder
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:PPModule1 = ppmod1.sys
关闭保存Regedit,重新启动Windows
删除C:\windows\system\ ppmod1.sys
删除C:\windows\system\ ppmod2.sys
OK
47. IRC3
清除木马的步骤:
打开win.ini文件
找到load=closew项目,更改为:load=
保存关闭win.ini,重新启动Windows
查找这两个文件rundlls.exe 、closew.bat
并删除它们。
OK
48. Kaos v1.1 - 1.3
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:Sys="c:\windows\shell32.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\shell32.exe
OK
49. Khe Sanh v2.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:TBoot0001="c:\windows\system\trjp.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\system\trjp.exe
OK
50. Kuang logger
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:K2logas.task ="C:\WINDOWS\SYSTEM\K2logas.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\SYSTEM\K2logas.exe
51. Kuang Original - 0.34
清除木马v Original版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:Temp$1.task = "c:\windows\system\temp$1.exe"
清除木马v 0.20-0.21版本:
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:K2PS.task = "c:\windows\system\k2ps.exe"
清除木马v 0.30-0.34版本:
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项
目:K2PS_full.task = "c:\windows\system\k2ps_full.exe"
关闭保存Regedit,重新启动Windows
查找相对应的木马程序,并删除。
OK
52. Logger
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删
冰河木马如何清除
冰河可以说是最有名的木马了。标准版冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626. 一旦运行G-server,那么该程序就会在C:\\Windows\\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。 要清除冰河,首先要删除C:\\Windows\\system下的Kernel32.exe和Sysexplr.exe文件;冰河会在注册表的HKEY_LOCAL_MACHINE\\ software\\ microsoft\\ Windows\\CurrentVersion\\Run分支下扎根,键值为C:\\Windows\\system\\Kernel32. exe,删除它。在注册表的 HKEY_LOCAL_ MACHINE\\ software\\microsoft\\Windows\\Current Version\\Runservices 分支下,还有键值为C:\\Windows\\system\\ Kernel32.exe的,也要删除。 最后,恢复注册表中的TXT文件关联功能,只要将注册表的 HKEY_CLASSES_ROOT\\txtfile\\ shell\\open\\command 下的默认值,由中木马后的C:\\Windows\\system\\ Sysexplr.exe %1改为正常情况下的C:\\Windows\\ notepad.exe %1即可。
中了冰河木马病毒怎么办?怎么清除冰河木马
楼主你好!
外挂木马 下载后,一般会截取用户的信息!破环用户电脑软件 ,导致电脑出现卡顿 信息流失,蓝屏等问题,如果你觉得电脑中毒了,你可以下载腾讯电脑管家,它不仅永久免费,还更QQ绑定 可以加速提高QQ等级,最主要是它的强大的“鹰眼”杀毒功能,采用新一代机器学习技术,顺应了本地杀毒引擎的未来发展趋势。资源占用少,病毒识别率提高10%等功能。
冰河木马怎么使用啊?
目前网络上“菜鸟”(初学者)很多,稍不留神就会中了“冰河”,冰河凭借其强大的功能、简单的操作而广泛流传,目前国内中此木马者最多,许多人想了解木马冰河,但又不知如何下手,所以小弟整理了一下资料,以供大家参阅,由于时间仓促,本书有很多不足之处,望各位高手指点。
首先下载冰河,点击冰河主程序(就是图标是小刀的那个文件,文件名G_Client.exe,大小454K),出现主界面: 首先,配置本地服务器程序,单击从右边数过来第三个图标(或在设置-配置服务器程序),弹出服务器设置。
在基本设置中:安装路径指服务器程序运行时,自动安装在哪个文件夹;文件名称指服务器安装后程序的名称,进程名称指按Alt+Ctrl+del三链在“关闭程序”显示的文件名;访问口令指如果您加了密码,访问中此木马的密码;敏感字符指你想要获取对方密码的关键词,比如输入password,冰河服务端将记录password的密码;提示信息指对方运行服务端出现的窗口,比如说此文件已损坏等骗人的话;监听端口指中冰河者打开的端口,您用冰河控制端通过这个端口访问;自动删除安装文件指对方运行服务端后,是否删除本身(就是运行后,程序不见了,而会在其它地方安装了)禁止自动拨号指运行服务端后,是否马上拨号上网连接。
在自我保护中:已经写的很清楚了,不再重复!
在邮件通知中:不再重复。注意SMTP服务器指发送邮件服务器地址,通常申请邮箱时服务商会提供。
根据您的需要配置好服务端,把他发送给对方,最好用捆绑软件捆绑加密一下。
如果您想找现成的中了木马冰河的机器,就用冰河的搜索计算机功能(速度很慢)扫描,扫描后该知道干什么了吧!
注意:使用时,1、自己应当关闭防火墙,否则将失败!
2、小心“小猪快跑”等软件的反追踪!
3、填写密码时,按旁边的应用才会有效!
--------------------------------------------------------------------------------
冰河凭借着简单易用、功能强大,而且国内感染率最高,深受广大菜鸟的喜欢,万能密码05181977的出现更吸引了无数的崇拜者,而且前些时候冰河第一站(http://knifes.126.com)发布冰河有重大的漏洞(本站电脑安全文章也有此篇文章“不需要任何密码就能到达中了冰河的机器”),更一步使冰河广泛应用。
自从2000年3月17日原作者“黄鑫”发布冰河V2.2[DARKSUN专版]以后,作者就停止了开发,然而网络便有一些人开展了冰河的后续版本,如冰河V2.2改良版本、冰河V3.0[YZKZERO专版]、冰河V3.3[OICQBOY专版]、冰河V4.0[Hyne专版]等等等等。然而笔者容笑惊奇地发现,这些版本,作者都声称没有万能密码,但事实却摆在眼前,都给自己留了一条后路,把万能密码改了一下!见下图:
2.2版:Can you speak Chinese? (容笑试了没用,可能是另外一个版本)
2.2版:05181977
3.0版:yzkzero!
3.3版:******?*(*号代表空格)
4.0版:05181977
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq20000!
这只是一小部分,实际上只要通过一个最常用的工具,就能使它们的万能密码显出原形,而且操作非常方便,就算刚刚学会电脑的人也会操作,根本不用什么跟踪软件等等。
方法如下:
准备两个版本冰河的服务端(就是木马,你自己不能点击的那个,文件名一般为G_server.exe,微软的图标,就是平时文件没有指定程序打开出现的图标,下载地址:http://www.heihoo.com/反正下载地址多的是,哪方便、哪速度快就下载去吧!)和UltraEdit(一个文本编辑器,http://www.inhua.com有下载,而且有汉化包)。
首先用ultraEdit打开两个服务端程序(注意:可不是双击它们的图标,否则自己中木马了,一定要用UltraEdit打开,切记!切记!)然后“文件→比较文件”,再跳出的窗口中,在“不同之处不同颜色、忽略空行和空格、只显示彼此不同的行”前面的对钩打上。
然后,按一下比较文件按钮。看到了没有,万能密码出来了!
阿酷注:此简单方法对于改动大的冰河改本比较麻烦,可能一时找不出万能密码,这是因为不同处太多,一时无法找到,但容笑相信肯定会显示出来的!
冰河出现到现在,使用得如此之广,影响如此之大。
却万万没有人想到冰河服务端竟然存在着如此严重的漏洞:“不需要任何密码就可以将本地文件在远程机器上打开!!!”
漏洞一:不需要密码远程运行本地文件漏洞。
具体操作:工具用相应的冰河客户端,2.2版以上服务端用2.2版客户端,1.2版服务端需要使用1.2版客户端控制。打开客户端程序G_Client,进入文件管理器,展开“我的电脑”选中任一个本地文件按右键弹出选择菜单,选择“远程打开”这时会报告口令错误,但是文件一样能上传并运行!!!
我们只要利用这个漏洞上传一个冰河服务端就可以轻松获得机器的生死权限了。(当然也可以上传任何一个木马程序的服务端实现)
漏洞二:不需要密码就能用发送信息命令发送信息,(不是用冰河信使,而是用控制类命令的发发送信息命令)。
这些漏洞都是本人在实际使用冰河时发现的,在此之前也是万万没想过冰河竟是 如此的不堪一击!
安全警告:大家不要用冰河作远程传送,管理程序用,就算是设密码,改端口,只要端口一露,就完完了。 有不少人到现在还在用冰河作远程管理程序用,千万不要迷信设有密码就能高枕无忧了,只要扫到了冰河打开的端口,就连通用的密码也省了,就能进入,进入后再把先前的那个服务端手工删除掉,这台机就是你一个人的了(当然是排除了中了几个木马的情况,就是中了几个木马你也可以手工删除,得以实现的)。
后话:冰河自从黄鑫出了DARKSUN2.2专版后,陆续有人以此版为蓝本修改冰河服务端,于是有了3.0,3.1,3.3,3.4,3.5,v9.9,4.0,4.1各种版本其中大部分都只是改了服务端的通用密码,并且每个修改者都说自己改的是无通用密码版,一当自己改版被破解又出个所谓的“无通用密码版”,现在的冰河服务端都会有通用密码,试问有那个修改者,在修改时不把通用密码换成自己的。更让人气的是有不少冰河版本只将通用密码改成自己的,然后在公布时大声宣称此版为“无通用密码版”,知道这些内幕后我们不必去追求这些自私自利人改的无密码版。何况,冰河存在着现在这样的一个严重漏洞!
附:冰河各版本的通用密码
2.2版:Can you speak Chinese?
2.2版:05181977
3.0版:yzkzero!
4.0版:05181977
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq20000!
冰河有许多版本,导致卸载冰河无一“绝对”方法。
(1)清除冰河V1.1的方法
找开注册表Regedit;
打开HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN,删除“C:\WINDOWS\SYSTEM\KERNEL32.EXE”和"C:\WINDOWS\SYSTEM\SYSEXPLR.EXE"两项。
如果有进程软件,就用进程软件把KERNEL32.EXE和SYSEXPLR.EXE终止;删除C:\WINDOWS\SYSTEM\KERNEL32.EXE和C:\WINDOWS\SYSTEM\SYSTEM\SYSEXPLR.EXE(因为程序正在运行,无法删除,所以先要终止)
如果没有进程软件,就重新启动到DOS窗口,删除(DEL)C:\WINDOWS\SYSTEM\KERNEL32.EXE和C:\WINDOWS\SYSTEM\SYSTEM\SYSEXPLR.EXE。
(2)清除冰河V2.2[DARKSUN专版]方法
因为冰河2.2以上版本服务端程序名称、文件存放路径、写入注册表的键名等等都可以随自己意愿改变,所以查杀难度复杂,以默认的配置为例,查看注册表HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN和HEKY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICE两项,把陌生的文件路径删除(要有一定的WINDOWS的基础才能删除),然后根据路径按照V1.1的方法删除文件。
(3)清除盗版冰河(就是改变万能密码的冰河版本)的方法
盗版冰河与冰河[DARKSUN专版]仅是多了一个文件,原来冰河V2.2[DARKSUN专版]在HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN和HEKY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICE只启动一个程序,现在启动两个程序,另外多出的一个程序的功能就是恢复第一个程序(即服务端),所以清除的时候把另外多出的程序也删除。
上次介绍的方法只能在默认的方法下使用,所以很难奏效!下面介绍几种方法可以彻底查杀!
一、自杀行动!
就是下载相应的版本的冰河,利用控制端来卸载服务端。方法如下:启动控制端,在添加主机里添加127.0.0.1(就是脱机状态下的默认IP地址),按应用,如果链接成功,在命令控制台→控制类命令→系统控制→自动卸载冰河,把冰河成功卸载,如果状态栏显示口令错误,无法链接(这是因为在你电脑植入冰河木马的人加了密码,有密码才能链接),试试下面的万能密码:
2.2版:Can you speak Chinese?
2.2版:05181977
3.0版:yzkzero!
4.0版:05181977
3.0版:yzkzero.51.net
3.3版:******?*(*号代表空格)
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2杀手专版:05181977
2.2杀手专版:dzq20000!
如果成功了按上面的方法,卸载冰河!
二、杀毒软件
用杀毒软件把冰河服务端卸载掉,容笑推荐大家用金山毒霸把服务端卸载掉(因为据容笑测试,金山毒霸对各种版本的冰河查杀率最高),杀毒以后,可能文件文件或EXE(可执行文件)不能打开,所以杀毒前最好先检查一下冰河有没有把文本文件关联,如果关联了,先恢复,查看方法是在我的电脑的菜单栏“查看”→“文件夹选项”→“文件类型”,找到文本文件图标查看是否用C:\WINDOWS\Notepad.exe程序打开,如果不是,大概是冰河木马关联了文本文件!恢复方法是在打开方式中选择C:\WINDOWS\Notepad.exe程序打开即可或直接按住SHIFT,用鼠标右键单击文本文件,在右键上选择打开方式,选择C:\WINDOWS\Notepad.exe,而且在“始终使用该程序打开这种类型的文件”前面的钩打开,确定即可。如果感染了EXE文件,恢复的办法,最最简单的方法就是恢复注册表,如果感染冰河在5天以内,可在DOS状态下用scanreg/restore命令恢复,时间长一点,导入以前备份的注册表(备份注册表很重要,容笑建议经常备份注册表)。此方法对于屡屡升级的冰河,可能作用不大!
三、我想关键问题还是在于预防,备份重要数据和系统文件;不要随意打开邮件的附件(最好不要用OE5.0或5.5),因为它们有一个漏洞,就是可以自动执行附件;下载软件一定要到大的网站去下载,它们有专门人员负责杀毒,减低风险!笔者建议大家装三个软件,一、天网防火墙(即使您中了冰河木马,有天网保护,谁有进不了您的电脑)、Regrun II(一个实时监控制软件,只要木马在电脑的各项启动程序中添加,它就会报警,还有终止进程的功能)、Relive(一个比较前后文件的数量,它让你知道,您的电脑中多了什么不明程序[如木马程序]),有此三法宝在,您就很轻松地卸载冰河木马了,也可以是大部分木马!
上次本人和大家讲了用UltraEdit-32比较两个服务端程序而得到冰河的万能密码,其实冰河的各个版本都是原作者黄鑫冰河的“盗版”,而且制作方法很简单,不用几分钟,一个属于自己的“盗版冰河”就产生了!
方法如下:
本次实验准备两个程序:UltraEdit、冰河远程控制软件(最好用正版[即黄鑫的冰河])!
首先我们先改变冰河服务端的万能密码:用UltraEdit打开冰河的服务端,然后查找万能密码“05181977”(如果您用的冰河是其它版本,请先按上次的方法,得出万能密码,然后查找这个万能密码),然后替换成自己的万能密码,随便自己填!
服务端已经基本修改好了,接下来就是对控制端进行个性修改了,用UltraEdit打开冰河的控制端程序,然后根据上面的方法。
第一步,修改标题就是那个“冰河V2.2 [DARKSUN专版]”和启动画面文字,查找“v2.2”,看到了吗!把“V2.2”这几个字改成您的版本号就可以了,如“V9.9”,保存,然后在查找DARKSUN,其实就是V2.2旁边,把它改成自己的专版就可以了,如“WWWRONG”最好英文字母个数和原版一样,以免发生错误,然后保存,先看看自己的杰作,标题上显示就是冰河 V9.9 [WWWRONG专版],启动画面的文字也变成[WWWRONG 专版]。
第二步,修改帮助菜单栏中“关于‘冰河’”画面的修改,主要是修改“作者:黄鑫、网址、软件完成日期”,作者仅以修改作者姓名为例:按照上面的方法查找“黄”,找到“黄”,一定要看到旁边有一个鑫字才可修改,否则改了其它代码,程序就不能运行了,好了替换成自己的大名就可以了。
第三步,如果您想要改其它的项目,按照上面简单的方面可以实现您的目的,但是要记住,一定要先备份一份,以免出现错误还可重新来过.
Win10系统中了冰河木马病毒怎么解决
请勿访问陌生网站,在陌生网站浏览下载很可能导致中毒。
若电脑中存在木马或者病毒程序,安装一款安全软件(例如:电脑管家等)。使用安全软件进行扫描全盘即可发现病毒并删除。
若手机中存在木马或者病毒程序,安装一款安全软件(例如:手机管家等)。以手机管家为例,打开手机管家,点击主界面上的一键体检即可自动检测手机中存在的病毒,点击一键清除即可删除。
怎么彻底清除特洛伊木马病毒
其实这样的问题很简单也很容易解决,但是需要一点病毒的基础知识,在下不才,提示一些注意的方面,旨在给新手一些提醒,并希望达到抛砖引玉的效果,请各位DX以及老前辈们不吝赐教。现在,请各位听我慢慢道来。
早在win95盛行的年代,流行在机器上的病毒,也不过就是一些文件型病毒和引导区型病毒,最大的破坏效果也就是导致系统运行变慢、文件不能运行,遇到BT一点的,还会删除或者格式化硬盘和破坏硬盘分区表。那时的网络没有现在这样普及,个人上网还是一件“奢侈”的事情。NTFS分区也没有应用到个人家庭的PC中(仅仅在NT操作系统中应用)。所以那个时候病毒也没有现在这样厉害,在传播性和杀伤程度上都不如现在,也没有很多的木马病毒,最多也就是“冰河木马”和“ BO ”。但是由于他们的病毒机制和语言编写方面的原因,导致他们的客户端隐蔽性不好,可以在按下“ctrl+alt+del”键的时候,被用户发现运行在内存中。对于注册表的修改,也仅仅限于修改启动项目,使自己可以开机加载。在那个年代,我们防范病毒的意识也仅仅停留在D版软件和软盘的使用方面。到现在我还清楚的记得,当时学校机房的老师不允许使用自己的软盘时的情景――脸拉的老长,在每个人身边渡来渡去的,要是被发现谁偷偷使用,轻者遭到横眉冷对,重者会被“驱逐出境”。而且在不了解内情的情况下,还会遭到“千夫指”――众多同学认为你是害群之马,抛以鄙夷的眼光。(其实是老师生气,不许玩那时经典的、盼望以久的、打发时间的好游戏-“玛力兄弟”)
在那个时候杀毒也显得是那么简单(技术方面)的事情,插入张D版的K***的软盘(那时玩电脑的人手一张,代替计算机系学生证了),启动机器,一阵硬盘配合小喇叭(那时没有音箱)“滴、滴..”的声音响过,和满屏幕的“found xxxx virus ,killed!!不停的闪过,病毒就解决完了。
但是现在的病毒远远没有那么简单,不论是传播方法还是杀伤力,都更胜一筹。由于操作系统的不断升级(98--98se--me--2000--xp),病毒也在不断的升级。过去DOS下的引导区病毒已经不是病毒世界的中心(有消息说最近引导型病毒有回升的趋势),开始发展到以木马病毒为主的局面。由于现在网络的飞速发展和普及,几乎每个人都可以上网,所以给病毒带来了传播的“温床”。以哲学角度看问题,这些都是不可避免的(事物个有利弊么),唯有加紧防范。而现在的木马病毒远非最初的“冰河”和“BO”那么简单。开后门、监听端口、自我隐藏、复制、偷取游戏密码、银行、股票账号及机器上其他重要信息、恶意删除文件、甚至是偷偷干掉正在运行的各种实时杀毒监控程序……等等,让我们感到防不胜防。
最初的木马不过是通过文件合并器合并成其他类型的文件引诱用户运行或者D版软件盘上本身携带,通过邮件传播的都很少。但是现在的网络安全随着我们网络更加平民化显得更加脆弱。多少年前,我们从没有想到过浏览一个网站,就会使机器中毒的事情,现在层出不穷、笔笔皆是。(很多网友莫名其妙的中毒也是由于此类恶意网站所至)如何防范网络安全,如何使自己免受病毒困扰,成了现在每个人关心的话题。毕竟病毒带给我们的损失太大了。当年CIH病毒肆虐的时候导致主板报废的消息,震惊了多少业界人士。
在这里我提醒大家注意的一点就是:“千万不要以为杀毒软件是万能的,有了正版杀毒软件和最新病毒库就‘无敌'了!”这是极其错误的概念。毕竟病毒数据库都是在出现新病毒之后,分析出病毒代码填充的,才可以查杀。万一哪天“横走江湖”的你正好“倒霉”,遇见“新品种”,偏偏又是一个“狠角”%#……^#¥^#%#…… 恐怕到时候预哭无泪啊!杀毒软件永远是跑在病毒后面的“追捕”,而不是预知灾难和未来的“先知”。先有鸡和先有蛋的问题也许我们永远也弄不清楚,但是病毒和杀毒软件两者,永远是病毒在先!请大家时刻注意自我安全防范。谨记!!
病毒的简单发展和危害,我想给大家介绍的差不多了,接着就是要回答大家提出的为什么有些病毒“杀不掉”或者“再次回来”这个问题。其实这两个问题涉及的完全是同一个方面,就是是如何杀毒?别笑,杀毒不是每个人都会的。有人认为“不就是简单的WIN操作么?在windows下运行瑞星就可以了,我常常那么杀,也没有什么问题啊?”实际非也。我只能说那是你老兄运气好,运气不好的可是大多数。绝对不要在带毒环境下杀毒,那样做几乎是零效果。
现在拥有电脑的朋友们,很多没有经历过DOS时代(绝非以老卖老),仅仅是在图形桌面和鼠标点击下成长的,所以对于引导区、病毒的传染、复制方面不是很了解,有的甚至跟本就不了解。甚至是谈“毒”色变,把机器一切不正常现象都归于-“是有病毒了吧?”非也,告诉大家病毒很简单,人做的程序而已,别怕。其实病毒机理无非就是“感染-》优先运行-》自我复制-》隐藏、破坏-》传播”几个步骤。熟悉了这些,我们就可以知道,杀毒到底要从什么方面入手。先就简单的说说病毒的感染和传播方法。
1、 引导区型病毒 感染启动扇区(包括软盘),在每次开机时读区引导区也就激活了病毒 加入内存。传播方式是通过软盘的读写。
2、 文件型病毒 感染 .exe \.com为扩展名的可执行文件,常驻内存,感染此后加载到内存的应用程序。修改程序文件,导致文件不能使用。
3、 破坏型病毒 恶意删除文件或者格式化硬盘,第一时间加入内存,实行破坏活动
4、 木马型病毒 自我复制、自我隐藏、开机加载、窃取破坏于一身的病毒
5、 恶意网站 通过恶意代码和IE漏洞侵害用户,偷偷下载和运行带有木马的程序
剩下的宏病毒和脚本病毒先不讨论
不难发现,所有病毒的感染方式都是以第一时间占领机器,取得领导权,并且常驻内存,感染所有今后进入内存的程序为目的。所以对他们下手,也就有了初步的思路。这就是你和病毒之间,到底谁能先拥有机器的“领导权”问题。如果先让病毒占领机器,无疑你就是“攻击战”,攻击战看似简单,但是可惜和病毒使用的武器是同一个东东――“你的爱机”。如果你的爱机先听了病毒的指挥,恐怕攻击战不好打啊,既要夺“武器”,又要“擒贼首”,太被动了。有的时候,爱机跟本不会帮你解决问题,就是因为病毒先占领了机器。
举个例子,比如很多时候,我们杀毒时遇见“文件正在使用“或者”清除失败”这样的报告,原因就是如此,病毒先占领了机器,启动了windows。Windows是决不会允许你对正在运行的程序进行杀毒和删除的。(加一个特殊情况:当检查到压缩文件的时候,瑞星可能提示,需要解压缩之后才可以删除病毒。因为瑞星不能改变你的压缩文件内部结构,所以你最好乖乖的听话,把这个压缩文件解压到一个临时目录下 杀毒后 再次压缩打包就可以了。如果这个压缩文件不是很重要,就直接删除好了,再次去下载新的无毒的压缩文件,不要解压的时候处理不善 造成病毒泄露)
而很多病毒在当时被报告“已清除”但是再次开机或者过几天再次出现的原因是因为病毒有复制功能,并且先占领机器并执行了自己,只要让它先拥有了机器的“领导权”,他会再次将自己复制,并再次感染。这样的恶梦循环不断。所以这就是为什么常常我们在windows下杀毒杀不掉或者杀掉之后再次感染的原因。
既然问题分析清楚了,那么解决的办法也应运而生,那就是脱离windows环境杀毒,争取第一时间取得机器领导权是首要问题。也就是我们常说的使用DOS启动盘杀毒(瑞星A盘)。为什么使用DOS启动盘杀毒就可以真正的杀掉病毒呢?不是启动盘里的瑞星更厉害,而是用软盘启动的时候,不通过硬盘引导,不启动windows。Windows启动的时候根据注册表加载了大量的程序,其中就包括病毒程序,因为经过病毒的修改,启动项目和其他驱动一样被写进了注册表启动项目。但是一但通过软盘引导系统,就不会执行windows注册表配置,病毒自然也就无法第一时间占领机器了。机器已经归我们所有了,病毒只能是束手就擒。同志们!杀啊!杀 杀!!解气去!!
有很多朋友是浏览网页的时候,不知不觉的中了“招”。解决办法只能是防范第一,杀毒第二。主要是打开瑞星监控并及时的把IE的补丁打上,升级最高版本。打上系统补丁。但是对于病毒,我们始终只能是防范,而不是先知。所以给各位常在网上走的朋友提个醒“防患于未然,多多提高警惕吧”!
回答一些朋友的问题
很多朋友说我的机器是2000系统和XP系统 系统分区是NTFS的,据我看瑞星说明书,瑞星A盘具有杀NTFS分区的功能,请各位放心好了。
还有朋友说自己的机器上没有软驱怎么办?我只能说很遗憾,也许你可以杀毒(安全模式),但是远不如DOS下杀的更彻底。我在这里建议大家配机器的时候,给自己的机器加个软驱有利无害!大家肯定都懂得什么是有备无患,真正遇见问题的时候,我想远不是几十块钱钞票可以解决的吧,钞票不能恢复数据,不能杀毒,不能启动!还是加个软驱吧。
看了很多朋友的回复帖子,发现很多人建议在安全模式下杀毒。我一直对这个方法持不赞成态度。实际安全模式也仅仅是不加载一些驱动程序,当你执行安全模式的时候,相信你也能看见一大堆.dll文件执行了(2000和xp)。对于是不是所有病毒都不会运行在安全模式,这个有待考证。我只能说这个方法是没有软驱朋友的唯一可行方案,但不是其他朋友的最佳方案。强烈建议DOS下杀毒,尽管麻烦,尽管慢 ,但是出于安全角度考虑,牺牲这点时间还是值得的。