【推荐】国内最流行十大木马查杀

独孤飘零

<b>本贴提供下载......见附件!&nbsp;&nbsp;:P</b><br /><br /><br /><br /><b>冰河</b> <br /><br />　　冰河可以说是最有名的木马了，就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它，但国内仍有几十万中冰河的电脑存在！作为木马，冰河创造了最多人使用、最多人中弹的奇迹！现在网上又出现了许多的冰河变种程序，我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。<br /><br />　　冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。<br /><br /> <br /><br />　　清除方法：<br /><br />　　1、删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。<br /><br />　　2、冰河会在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\<br />CurrentVersion\Run下扎根，键值为C:\windows\system\Kernel32.exe，删除它。<br /><br />　　3、在注册表的HKEY_LOCAL_MACHINE\software\microsoft\windows\<br />CurrentVersion\Runservices下，还有键值为C:\windows\system\Kernel32.exe的，也要删除。<br /><br />　　4、最后，改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，由中木马后的C:\windows\system\Sysexplr.exe %1改为正常情况下的C:\windows\notepad.exe %1，即可恢复TXT文件关联功能。<br /><br /><br /><br /><b>广外女生 </b> <br /><br />　　广外女生是广东外语外贸大学“广外女生”网络小组的地球作，是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之地球生服务端被执行后，会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！<br /><br />　　该木马程序运行后，将会在系统的SYSTEM目录下生成一份自己的拷贝，名称为DIAGCFG.EXE，并关联.EXE文件的打开方式，如果贸然删掉了该文件，将会导致系统所有.EXE文件无法打开的问题。<br /><br /><br /><br /> <br /><br />　　清除方法：<br /><br />　　1、由于该木马程序运行时无法删除该文件，因此启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它；<br /><br />　　2、由于DIAGCFG.EXE文件已经被删除了，因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表[wiki]编辑器[/wiki]“Regedit.exe”，将它改名为“Regedit.com”；<br /><br />　　3、回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改名的文件）；<br /><br />　　4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command，将其默认键值改成&quot;%1&quot; %*；<br /><br />　　5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\<br />CurrentVersion\ RunServices，删除其中名称为“Diagnostic Configuration”的键值；<br /><br />　　6、关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe”。<br /><br />　　7、完成。<br /><br /><br /><br /><br /><br /> <b>Netspy（网络精灵） </b><br /><br />　　Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了！其强大之处丝毫不逊色于冰河和BO2000！服务端程序被执行后，会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe，用于在系统启动时自动加载运行。<br /><br /> <br /><br />　　清除方法：<br /><br />　　1、重新启动机器并在出现Staring windows提示时，按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令：del netspy.exe 回车！ <br /><br />　　2、进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\，删除Netspy的键值即可安全清除Netspy。<br /><br /> <br /><br /> <br /><b>SubSeven</b><br /><br />　　SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374)，服务端只有54.5k！很容易被捆绑到其它软件而不被发现！最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。SubSeven服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此查之很难。　<br /><br /> <br /><br />　　清除方法：<br /><br />　　1、打开注册表Regedit，点击至：<br />HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService下，如果有加载文件，就删除右边的项目：加载器=&quot;c:\windows\system\***&quot;。注：加载器和文件名是随意改变的<br /><br />　　2、打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之。<br /><br />　　3、打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有将它删除。<br /><br />　　4、重新启动Windows，删除相对应的木马程序，一般在c:\windows\system下，在我在本机上做实验时发现该文件名为vqpbk.exe。<br /> <br /><br /><br /><br /><br /><b>黑洞2001 </b><br /><br /><br />　　黑洞2001是国产木马程序，默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能！也就是说控制端可以随意终止被控端的某个进程，如果这个进程是天网之类的防火墙，那么你的保护就全无了，黑客可以由此而长驱直入，在你的系统中肆意纵横。<br /><br />　　黑洞2001服务端被执行后，会在c:\windows\system下生成两个文件，一个是S_Server.exe，S_Server.exe的是服务端的直接复制，用的是文件夹的图标，一定要小心哦，这是个可执行文件，可不是文件夹哦；另一个是windows.exe，文件大小为255,488字节，用的是未定义类型的图标。黑洞2001是典型的文件关联木马，windows.exe文件用来机器开机时立刻运行，并打开默认连接端口2001，S_Server.exe文件用来和TXT文件打开方式连起来(即关联)！当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后，服务端就暂时被关闭，即木马暂时删除，当任何文本文件被运行时，隐蔽的S_Server.exe木马文件就又被击活了，于是它再次生成windows.exe文件，即木马又被中入！<br /><br /> <br /><br />　　清除方法：<br /><br />　　1)、将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1<br /><br />　　2)、将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1<br /><br />　　3)、将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\<br />CurrentVersion\RunServices\下的串值windows删除。<br /><br />　　4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。<br /><br />　　5、到C:\WINDOWS\SYSTEM下，删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001，那么windows.exe这个文件在windows环境下是无法直接删除的，这时我们可以在DOS方式下将它删除，或者用进程管理软件终止windows.exe这个进程，然后再将它删除。<br /><br />　　至此就安全的清除黑洞2001了。<br /> <br /> <br /><br /><br /><b>WAY2.4（火凤凰、无赖小子）</b><br /><br />　　WAY2.4又称火凤凰、无赖小子，是国产木马程序，默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口，也正因为如此它对我们的威胁就更大了。从我的试验情况来看，WAY2.4的注册表操作的确有特色，对受控端注册表的读写，就和本地注册表读写一样方便！这一点可比大家熟悉的冰河强多了，冰河的注册表操作没有这么直观——每次我都得一个字符、一个字符的敲击出来，WAY2.4在注册表操控方面可以说是木马老大。<br /><br />　　WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件，图标是文本文件的图标，很隐蔽，文件大小235,008字节，文件修改时间1998年5月30日，看来它想冒充系统文件msgsvc32.exe。同时，WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask，其键值为C:\WINDOWS\SYSTEM\msgsvc.exe。此时如果用进程管理工具查看，你会发现进程C:\windows\system\msgsvc.exe赫然在列！<br /><br /> <br /><br />　　清除方法：<br /><br />　　要清除WAY，只要删除它在注册表中的键值，再删除C:\windows\system下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了！<br /><br />　　在删除前请做好备份。