|
广外男生是广外程序员网络(前广外女生网络小组)精心制作的一款远程控制软件,是一个专业级的远程控制以及网络监控工具。而广外男生除了具有一般普通木马应该具有的特点以外,还具备独有的特色:1.客户端高度模仿WINDOWS资源管理器.2.强大的文件操作功能.3.运用了"反弹端口原理"与"线程插入"技术.
广外男生利用dll插入线程技术来防止进程被终止,还可以穿透防火墙哦!我就不在详细介绍.
删除方法请参照以下步骤:
1.打开系统注册表键值如下 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,需要查看广外男生运行的EXE文件.该键值并没有完整运行路径,因为可执行文件在system32文件夹中,可以直接运行.删除该自启动键值,然后在system32系统文件夹中删除相应的EXE文件.
2.此步骤很重要,虽然以上删除了自启动项,但下次还会启动的.因为广外男生修改注册表使dll自动运行,而且运行之后dll插入explorer进程中dll是不可以删除,即使你终击explorer进程,但还是会被插入到其他进程中.此步骤你需要知道广外男生dll文件名称,你可以在system32系统文件夹中查找,文件大小为116kB或者115kB.找到广外男生dll之后复制其文件名称,然后打开系统注册表,点击-->编辑-->查找,然后输入你刚复制的dll文件名称,找到此键值之后删除即可.因为广外男生运行之后随机写注册表使dll能够自动运行,注册表位置是变化的.
注意:一定要利用dll文件名查找整个注册表且删除键值,使广外男生不能自动运行.
3.重新启动计算机之后删除system32系统文件夹中的广外男生dll,文件大小为116kB或者115kB.
清除完毕......如果有任何问题,欢迎来信! Email:19821119@vip.sina.com
谢谢你支持广外程序员网络!向Machine Fox表示歉意!
灰鸽子手工清除方法
这个木马具说是才编的,对方是一个专门靠开发木马的狱之门伙,(呵呵,听起还蛮厉害的)我断网后用了现目今所有查木马的软件,包括木马终结者,The Cleaner 3.1,诺盾,金山等都查不出来(但是后来我发现如果用正版KV3000在纯DOS下应该可以查杀,还没试过),此木马运行后除了可以执行Windows所有功来外,甚至连你的一举一动包括你用QQ和别人聊天的内容都可以监听,是有点可怕哈~~!至今为止绝大部分的木马都是在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run键下添加一个键值来让木马自动运行。但该木马却没有这样,在RUN键值下没有任何变化,由于木马是基于远程控制的程序,因此中木马的机器会开有特定的端口。这点是破解的关键,一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网冲浪会有其他端口,这是本机与网上主机通讯时打开的,IE一般会打开连续的端口:1025,1026,1027……,QQ会打开4000、4001……等端口。我在DOS命令行下用netstat -na发现了一个可疑端口被占用8225,此木马为内嵌式木马,运行后会在SYSTEM32.DLL内生成一个和系统文件C:\WINDOWS\system32\vschost.exe很像的文件SVCHOST.EXE,每次开机后这个文件被自动加载,如果和客户端连上后SVCHOST.EXE每一个进程的线程数迅速增加到100个以上。此时系统运行速度非常慢,CPU占用率急速上升,甚至瘫痪。通过用IDA反汇编,发现它还偷窃系统密码并建立 %systemroot%\system\mapis32a.dll,(我QQ就是这样被盗的),实际上这个木马多是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件,没有新的进程,使用常规的方法监测不到它,在正常运行时木马几乎没有任何症状,而一旦木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作,所以说虽然你可以看到VSCHOST.EXE的路C:\WINDOWS\system32\VSCHOST.EXE,但你在这个木录下是跟本查找不到,该木马自带文件捆绑工具,真是很恐怖。黑客可以在网上随便找一个小动画或者小程序,把它作为“寄生”的目标。
下面说说手工清除方法:首先要禁止他开机自动运行,点开始--运行,输入msconfig,点确定。在系统配置实用程序里面选启动项,然后把SVCHOST前面的勾去了,点确定后退出,不要忙着重新启动,当然这一步用WINDOWS优化大师等工具都可以做到。然后再在运行里面输regedit 进入注册表,点编辑---查找--在里面输SVCHOST,把查找到的SVCHOST(注意是大写的),SVchost.ini,mapis32a.dll,%systemroot%,F4.Jpg全删了,如果没找到就一个个的找,然后关机,重启,如果你还不方心可以检查你的8225端口是否开着,如果装的有天网直接就可以看到,没有在DOS下看也可以了,还说一点,木马运行的时候在Windows的任务窗口中是看不到的。不要相信Windows的任务窗口——点任务条上的“开始”、“运行”、“msinfo32”(就是Windows自带的系统信息,在“附件”中)。看其中的软件环境→正在运行的任务。这才是Windows现在全部运行的任务,看看还有没有SVCHOST.EXE。这样就大功告成了!
|
