|
|
不知为什么很多杀毒软件都能卸载这个木马了!但有朋友说还是不行,当运行记事部或某某文件时木马又死灰复燃了,到底是什么回事!叫我教他们怎么做,并写个过程给他们。
在OICQ上把过程打出来发给对方是很不方便的,我想既然这样就写篇东西放到我网站上吧,也希望能帮助那些刚上网和开始玩弄木马的朋友们了解点情况吧。但我绝对不赞成利用此类软件不经同意而进入别人的电脑里,更不能随意删除别人文件和恶意破坏对方电脑硬件,毕竟大家都是中国兄弟(美国和日本例外,进入日本的电脑我极力推荐大家尽其自己最凶狠的一面出力砍下去,我提议用江民模似炸弹或海盗盖茨之眼)更不能偷看对方文件,毕竟有私隐权的嘛,你有,我有,大家都有,希望大家能做到这点,就当是给我花了半个小时找卸载方法和自己中了三次木马的回报吧!
好了,废话一大堆,你不觉我烦我都觉自己烦了,现在进入正题,先给大家说说“冰河”的特性吧。冰河以其功能强大,操作简单,运行稳定而大受灰客们的青瞄。在中国“冰河”也率先做出了文件关联的木马软件来,和国外拥有同样功能的木马软件“SUB7”齐名。“冰河”有两种SERVER关联的方法,一种是TXTFILE关联,另一种是EXEFILE关联!现在我先说说最容易解决的TXTFILE关联的下载方法(以下方法也能卸载国产新秀“黑洞2K”)
首先是让大家知道我是怎么查看自己有没有中木马的办法,在确定没连上网,没有打开防火墙或浏览器,没安装服务器软件的情况下(最好重启一次)打开“DOS”窗口,键人Netstat -a,这个命令是用来查看本机上有没有端口是打开的,如没有将不会显示任何数字,如果“冰河”SERVER端在没改变端口设置的情况下被运行后,显示如下图:
可以看到端口7626是处在监听状态中,还把SERVER端改为设置时写的名字并复制到系统文件夹里同时在注册表的:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
两项中写入其每次电脑启动时一起启动的对应文件,如下图:(注:以后所见图片中的文件名"Michael"是应设置时所设名字和所在文件夹而有所改变的,现在就先用我的名字来做实验吧,请自行应变)
现在知道大概后我们就来进行删除的步骤了,先把上面在注册表里的两项"Michael"删除(不要删我啊,救命啊!)(告网络新手们:有经验的灰客不会把文件名改得象"Michael"这么容易看出来的名字,他们会用如Systam.exe,Noteped.exe等这些让你错觉为系统文件的名字而让你不敢删除的名字)!A,台下有位人兄怎么叫现在重启就行了呢!先不急现在就去睡觉,让电脑放上一天,等鼠标凉了再继续,否则鼠标磨得太久会坏的,哈哈哈,说笑,现在继续下去吧。
是的先不急重启,来打开“我的电脑”,选“查看”-“文件夹选项”-“文件类型”(ME和2000有所不同)查找“文本文档”项。如下图:
看到了吗?有什么改变?对,怎么变成了"MICHAEL"了!现在我们按右方的“编辑”,再按下方的“编辑”,在框里把“C:\WINDOWS\SYSTEM\Michael.exe”改为“C:\WINDOWS\Notepad.exe”确定好了现在才到重启的时候,重启后就到"Windows\System里把"Michael.exe"这个文件删除了,这样就清初了TXTFILE文件关联的“冰河”了,简单吧!
好,现在来说说与EXEFILE关联的“冰河”是怎么卸载的!有朋友问照上面的方法不行吗?他们不是一样的关联方法吗?问得好,先不要打杈,看下去就知道了!
我们现在按上面的办法把注册表里的两项删除,再到“文件类型”中查找“应用程序”,如下图:
“打开方式”也是"MICHAEL",大家看到有什么不同了吗?右边的“编辑”现在是灰色的了,这就是不同之处!现在怎么办,台下大喊:注册表~~~~~~~!!!真聪明,我们就到注册表看看吧(告电脑新手:注册表是系统的核心部分,请找高手帮你解决问题,不然搞坏了我可不负责)现在到注册表管理执行文件的项去吧:
HKEY_CLASSES_ROOT\exefile\shell\open\command
是的,已出现了变化,如下图:
找对了,看出他的变化了吧,我们来修理他。双击“默认”把他改回为“"%1" %*”(不用大双引号)重启,再到windows\system里删除"Michael"文件,OK!
|
|
IP卡
狗仔卡
发表于 2003-8-28 22:19:35
收藏
支持
反对
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡