网站首页/网络技术列表/内容

2种木马手工清除

网络技术2023-09-19阅读
网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。

1.关于广外女生木马的手工清除方法
前几天有一位网友询问自己中了广外女生木马怎么清除,当时由于自己的硬盘被别人使用下流的招数暗算了,正忙于修复所以也就无暇顾及。只能承诺先修复硬盘后再回复如何手工清楚广外女生木马。由于广外女生木马启动方式跟一般的木马不太一样,他非常狡猾把启动项目设置在了注册表的另外位置内,而且自动创建了好几个启动文件关联,这也就是一般杀毒软件不能彻底查杀他的原因之一。 

一.我先简单介绍一下木马喜欢藏身的地方。 
木马基本上采用了windows系统启动时自动加载应用程序的方法,包括有win.ini、system.ini和注册表等。 
1.潜伏在win.ini中 
木马想要达到控制或监视计算机的目的,就必须要运行,在win.in文件中,[WINDOWS]下面“run=”和“load=”行是windows启动时要自动加载运行的程序项目,于是潜伏在win.in中是木马感觉比较惬意的地方。大家不妨打开win.in来看看,在他的[WINDOWS]字段中有启动命令“run=”和“load=”,在正常情况下等号后面应该是空白的,不能有任何程序!如果有程序,比方说: 

run=c:\windows\diagcfg.exe 
load=c:\windows\diagcfg.exe 

这时你就要小心了,这个diagcfg就是广外女生木马! 

2.潜伏在system.ini中 
木马就象你肚子里的蛔虫,什么地方有空他就往什么地方钻。WINDOWS安装目录下的system.ini也是木马喜欢藏身的地方,打开这个文件,在该文件的[boot]字段中,正常情况下有一个shell=Explorer.exe 项(后面不跟任何程序),如果是shell=Explorer.exe diagcfg.exe ,那么恭喜你,你中彩了,后面的“diagcfg.exe”就是木马程序。现在有些木马还将explorer.exe文件与其他进程捆绑成一个文件,在这里是看不出他的破绽,更增加了他的隐蔽性。 
另外,在system.ini中的[386Enh]字段中要注意检查“driver=路径/程序名”这里也有可能被木马所利用。还有system.ini中的[mic]、[drivers32]字段,这些字段是起到加载驱动程序的作用,也是添加木马的好场所,可要注意哦! 

(哦——对了!考虑到有些菜鸟刚入门,在这里我把打开“system.ini”、“win.ini”的方法告诉你:开始/运行,输入msconfig/确定。运行windows自带的“系统配置实用程序”,自己在里面找吧。) 

3.凡是能自动加载的地方,木马都喜欢安家。winstart.bat也是一个能自动被windows加载运行的文件,他多数情况为应用程序及windows自动生成,在执行了win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8健在选择逐步跟踪启动过程方式得知)。由于autoexec.bat的功能可以由winstart.bat代替完成,因此木马完全可以像在autoexec.bat中那样被加载运行,危险由此而来! 

4.内置到注册表中 
由于隐藏到以上方法木马很快就会被人查处,于是木马又打起了注册表的注意。注册表本身就非常庞大复杂,众多的启动项目及易掩人耳目。往往很多书中都会大惊小怪的告戒读者千万别动注册表,那很危险。我本人就很不同意这一观点!是非常不同意!!如果你学不会走路你就永远长不大!你怕摔交你就永远生长在婴儿期!!在windows系统有很多功能只有通过修改注册表才能调整。我建议在修改注册表之前先备份注册表或用ghost给整个系统备份,基本就可高枕无忧了。还是言归正传吧: 
隐蔽性强的木马都喜欢在注册表里做文章,所以一定要检查以下键值: 
HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run 
…………………………………………………………………………………\RunOnce 
…………………………………………………………………………………\RunOnceEx 
…………………………………………………………………………………\RunServices 
…………………………………………………………………………………\RunServicesOnce 

HKEY_CURRENT_USER\software\microsoft\windows\CurrentVersion\Run 
…………………………………………………………………………………\RunOnce 
…………………………………………………………………………………\RunOnceEx 
…………………………………………………………………………………\RunServices 
…………………………………………………………………………………\RunServicesOnce 

HKEY_USERS\.Default\software\microsoft\windows\CurrentVersion\Run 
…………………………………………………………………………………\RunOnce 
…………………………………………………………………………………\RunOnceEx 
…………………………………………………………………………………\RunServices 
…………………………………………………………………………………\RunServicesOnce 

上面这些主键下面的启动项目都可以成为木马的藏生之处,可要小心哦!如果是WINDOWS NT,那还的留心以下键值: 
HKEY_LOCAL_MACHINE\software\SAM ,正常情况SAM里面应该是空的。 


二.手工清除广外女生方法。 
1.广外女生木马是一个驻留、启动方法比较典型性的木马,我以win2000为例直接切入正体。 
如果一不小心运行了广外女生木马服务端会在C:\winnt\system32目录下增加一个文件“diagcfg.exe”,你也可以打开任务管理器查看,会发现其中有一个DIAGCFG。EXE的进程,这就是木马原身。但这时千万不能直接删除diagcfg.exe,否则系统就无法正常运行了。 

再到注册表看看他到底藏在哪儿。(用注册表监察工具regsnap查出,在此不在累述过程,因为这不是本文重点) 
HKEY_LOCAL_MACHINE\software\classes\exefile\shell\open\command\ 
old value:string""%1" %*" 
new value:string:"C:\winnt\system32\DIAGCFG.EXE "%1" %*" 

这个键值由原来的"%1" %*被修改为了C:\winnt\system32\DIAGCFG.EXE "%1" %*,广外女生为什么要这样修改呢?有什么作用呢? 
这就是运行可执行文件格式,被改为C:\winnt\system32\DIAGCFG.EXE "%1" %*之后每次再运行可执行文件时都要先执行C:\winnt\system32\DIAGCFG.EXE 这个程序。 

他的启动方法与一般木马不太一样,一般木马是在HKEY_\software\microsoft\windows\CurrentVersion\Run键值里加载自己的启动项目,但这种方式被杀毒软件所熟知,所以很容易查杀。而广外女生就比较狡猾了,他把启动项目设在了另外的位置,这也就是杀毒软件不容易查杀他的原因之一。 

2.好了,现在就开始手工清除他了,睁大眼睛看着! 
注意:清除广外女生木马的步骤次序不能颠倒,否则无法彻底清楚此木马!!! 

⑴.开始/运行/“regedit”/确定。打开注册表。 
HKEY_LOCAL_MACHINE\software\classes\exefile\shell\open\command\,先不要修改,因为如果这时修改注册表的话,diagcfg.exe进程仍然会立即把他改回来。 

⑵.打开“任务管理器”,找到diagcfg.exe进程,选中他按“结束进程”来关掉这个进程。注意:一定也不要先关进程再打开注册表,否则执行regedit.exe时又会启动diagcfg.exe。前功尽弃! 

⑶.把HKEY_LOCAL_MACHINE\software\classes\exefile\shell\open\command\的键值由原来的 C:\winnt\system32\DIAGCFG.EXE "%1" %*改为“%1” %* 。 

⑷.这时就可以删除C:\winnt\system32\目录下的diagcfg.exe了。切记不可先删除这个文件,否则,就无法在系统中运行任何可执行文件了。 

后述:广外女生木马后台监听端口为6267(默认),至于如何用fport查找广外女生木马端口和该木马如何查找snfw.exe、kav9x.exe的进程,也就是“天网防火墙”和“金山毒霸”的进程,然后将其杀掉。在此我就不多罗嗦了,因为本人很笨,至今还在用“一指禅”在键盘上乱戳,太辛苦了……………… 
欢迎转贴,如果愿意转贴就请保留我的名字。有不对的地方请朋友们指出,谢谢! 

2.把灰鸽子赶尽杀绝 

注意:以下清除顺序不可以随意调整。 

1.删除灰鸽子服务端程序 
由于在Windows环境下灰鸽子的服务端是处于运行状态,无法直接删除,所以必须进入纯DOS状态删除,删除命令如下: 
cd c:\windows\system 
attrib-r-s-h kernel32.exe 
attrib-r-s-h notepod.exe 
del kernel32.exe 
del notepod.exe 
还要注意,如果灰鸽子服务端设置了exe 文件关联的话,将会导致注册表编辑器无法运行,所以在删除服务端之前,先将注册表编辑器重命名,以便以后对注册表进行更改,操作命令如下: 
ren c:\windows\regedit.exe regedit.com 


2.删除注册表中启动键 
由于我们改了注册表编辑器名称,所以要打开注册表编辑器应为:打开”开始“菜单”中的“运行”然后输入“regedit.com".启动注册表编辑器后,依次打开“HKEY—LOCAL—MACHINE\Software\Microsoft\windows\Current Version\Run",在右边的窗口中删除名称为”Loadwindows"的键值就可以了。 

-------------------------------------------------------------------- 
清除文件关联 
灰鸽子可以设置4种文件关联:exe关联,txt关联,ini关联,inf关联,其中exe关联可以和其他三种类型同时存在。 

1.解除exe关联: 
启动注册表编辑器,然后找到HKEY—CLASSES—ROOT\Exefile\shell\Open\Cpmmand主键,查看起默认的键值是不是系统默认的“%1%*”,如果被修改,则改成默认值. 
2.解除txt关联: 
打开注册表的HKEY—CLASSES—ROOT\txtfile\shell\open\command主键,其默认值的正常参数应该为“C:\windows\notepad.exe%1",如果不是,请修改为正确数据。 
3.解除ini关联: 
INI文件的的关联配置保存在注册表HKEY—CLASSES—ROOT\Inffile\shell\Open\Cpmmand主键下,其默值数据也是“C:\windows\notepad.exe%1”,如果被修改的话,也要改回来。 
4解除inf关联: 
打开注册表的HKEY—CLASSES—ROOT\Inffile\shell\Open\Cpmmand主键,和ini,txt文件关联一样,其默认值也是“C:\windows\notepad.exe%1”,如果被修改,也要立刻改回正确的数据。 
至此,灰鸽子已经被你彻底扫地出门了,你不再担心成为别人"盘中餐”了。 

网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。

相关阅读