大名鼎鼎的冰河木馬。雖然許多殺毒軟體可以查殺它但國內仍有幾十萬中冰河的電腦存在這裏介紹的其標準版。
冰河的伺服器端程式為 G-server.ex 客戶端程式為 G-client.ex 默認連接端口為 7626
一旦運行 G-server 那麼該程式就會在 C:Windowssystem 目錄下生成 Kernel32.ex 和 sysexplr.ex 並刪除自身。 Kernel32.ex 系統啟動時自動加載運行, sysexplr.ex 和 TXT 檔關聯。
即使你刪除了 Kernel32.ex 但只要你打開 TXT 檔, sysexplr.ex 就會被啟動,將再次生成 Kernel32.ex 於是冰河又回來了這就是冰河屢刪不止的原因。
清除方法:
1 刪除 C:Windowssystem 下的 Kernel32.ex 和 Sysexplr.ex 檔。
2 冰河會在註冊表 HKEY_LOCA L_MA CHINEsoftwaremicrosoftwindows
CurrentVersionRun 下紮根,鍵值為 C:windowssystemKernel32.ex 刪除它
3 註冊表的 HKEY_LOCA L_MA CHINEsoftwaremicrosoftwindows
CurrentVersionRunservic 下,還有鍵值為 C:windowssystemKernel32.ex 也要刪除。
4 最後,改註冊表 HKEY_CLA SSES_ROOT xtfileshellopencommand 下的默認值,由中木馬後的 C:windowssystemSysexplr.exe%1 改為正常情況下的 C:windows
otepad.ex %1 即可恢復 TXT 檔關聯
要清除冰河,首先要刪除C:\Windows\system下的Kernel32.exe和Sysexplr.exe檔;冰河會在註冊表的HKEY_LOCAL_MacHINE\ software\ microsoft\ Windows\CurrentVersion\Run分支下紮根,鍵值為C:\Windows\system\Kernel32. exe,刪除它。在註冊表的HKEY_LOCAL_ MACHINE\ software\microsoft\Windows\Current Version\Runservices分支下,還有鍵值為C:\Windows\system\ Kernel32.exe的,也要刪除。
最後,恢復註冊表中的TXT檔關聯功能,只要將註冊表的HKEY_CLASSES_ROOT\txtfile\ shell\open\command下的默認值,由中木馬後的C:\Windows\system\ Sysexplr.exe %1改為正常情況下的C:\Windows\ notepad.exe %1即可。
其他種類木馬清除
木馬病毒專殺工具,有中招的請下載
各種木馬專殺點擊流覽該檔
QQ尾巴病毒專殺點擊流覽該檔
專業木馬專殺軟體綠色版點擊流覽該檔
木馬殺客最新版綠色點擊流覽該檔
1. 冰河v1.1 v2.2
這是國產最好的木馬
清除木馬v1.1
打開註冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
查找以下的兩個路徑,並刪除
" C:windowssystem kernel32.exe"
" C:windowssystem sysexplr.exe"
關閉Regedit
重新啟動到MSDOS方式
刪除C:windowssystem kernel32.exe和C:windowssystem sysexplr.exe木馬程式
重新啟動。OK
清除木馬v2.2
伺服器程式、路徑用戶是可以隨意定義,寫入註冊表的鍵名也可以自己定義。
因此,不能明確說明。
你可以察看註冊表,把可疑的檔路徑刪除。
重新啟動到MSDOS方式
刪除於註冊表相對應的木馬程式
重新啟動Windows。OK
2. Acid Battery v1.0
清除木馬的步驟:
打開註冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊的Explorer ="C:WINDOWSexpiorer.exe"
關閉Regedit
重新啟動到MSDOS方式
刪除c:windowsexpiorer.exe木馬程式
注意:不要刪除正確的ExpLorer.exe程式,它們之間只有i與L的差別。
重新啟動。OK
3. Acid Shiver v1.0 + 1.0Mod + lmacid
清除木馬的步驟:
重新啟動到MSDOS方式
刪除C:windowsMSGSVR16.EXE
然後回到Windows系統
打開註冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊的Explorer = "C:WINDOWSMSGSVR16.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊的Explorer = "C:WINDOWSMSGSVR16.EXE"
關閉Regedit
重新啟動。OK
重新啟動到MSDOS方式
刪除C:windowswintour.exe然後回到Windows系統
打開註冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊的Wintour = "C:WINDOWSWINTOUR.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊的Wintour = "C:WINDOWSWINTOUR.EXE"
關閉Regedit
重新啟動。OK
4. Ambush
清除木馬的步驟:
打開註冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun刪除右邊的zka
= "zcn32.exe"
關閉Regedit
重新啟動到MSDOS方式
刪除C:Windows zcn32.exe
重新啟動。OK
5. AOL Trojan
清除木馬的步驟:
啟動到MSDOS方式
刪除C: command.exe(刪除前取消檔的隱含屬性)
注意:不要刪除真的command.com檔。
刪除C: americ~1.0uddyl~1.exe(刪除前取消檔的隱含屬性)
刪除C: windowssystem
orton~1
egist~1.exe(刪除前取消檔的隱含屬性)
打開WIN.INI檔
在[WINDOWS]下麵“run=”和“load=”都加載者特洛伊木馬程式的路徑,必須清除它們
:
run=
load=
保存WIN.INI
還要改正註冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊的WinProfile = c:command.exe |