十大常见木马及其查杀方法
104种常见木马的清除方法
104种木马的清除方法1. 冰河v1.1 v2.2这是国产最好的木马清除木马v1.1打开注册表Regedit点击目录至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run查找以下的两个路径,并删除" C:\windows\system\ kernel32.exe"" C:\windows\system\ sysexplr.exe"关闭Regedit重新启动到MSDOS方式删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序重新启动。
OK清除木马v2.2服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式删除于注册表相对应的木马程序重新启动Windows。
OK2. Acid Battery v1.0清除木马的步骤:打开注册表Regedit点击目录至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer ="C:\WINDOWS\expiorer.exe"关闭Regedit重新启动到MSDOS方式删除c:\windows\expiorer.exe木马程序注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
重新启动。
OK3. Acid Shiver v1.0 + 1.0Mod + lmacid清除木马的步骤:重新启动到MSDOS方式删除C:\windows\MSGSVR16.EXE然后回到Windows系统打开注册表Regedit点击目录至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"关闭Regedit重新启动。
木马查杀大全
常在河边走,哪有不湿脚?所以有时候上网时间长了,很有可能被攻击者在电脑中种了木马。
如何来知道电脑有没有被装了木马呢?一、手工方法:1、检查网络连接情况由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。
具体的步骤是点击“开始”->“运行”->“cmd”,然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。
通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。
2、查看目前运行的服务服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。
我们可以通过点击“开始”->“运行”->“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。
3、检查系统启动项由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。
检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。
七种常见木马破坏表现及清除方法
七种常见木马破坏表现及清除方法木马的出现对我们的系统造成了很大的危害,但是由于木马通常植入得非常隐蔽,很难完全删除,因此,这里我们介绍一些常见木马的清除方法。
一、网络公牛(Netbull)网络公牛是国产木马,默认连接端口23444。
服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:WINDOWSSYSTEM下,下次开机checkdll.exe 将自动运行,因此很隐蔽、危害很大。
同时,服务端运行后会自动捆绑以下文件:win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上,在注册表中网络公牛也悄悄地扎下了根。
网络公牛采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。
这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。
清除方法:1.删除网络公牛的自启动程序C:WINDOWSSYSTEMCheckDll.exe。
2.把网络公牛在注册表中所建立的键值全部删除:3.检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。
如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。
二、Netspy(网络精灵)Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。
木马介绍
清除方案:
进入注册表中的HKEY_LOCAL_MACHINE\Software\microsoft\
windows\CurrentVersion\Run\,删除Netspy项及其键值,然后重新启动计算机即可。
广外女生
广外女生是广东外语外贸大学“广外女生”网络小组编写的一种新出现的远程监控工具,能远程上传、下载、删除文件、修改注册表等,破坏性很大。服务端程序体积小,而且占用系统资源少,隐蔽性好。木马程序运行后,会自动终止“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等防火墙,使基完全失去作用,并能在系统的SYSTEM目录下生成一份自己的拷贝(文件名DIAGCFG.EXE),并关联.EXE文件的打开方式。
2. 在注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run分支下,删除串值“MainBroad BackManager”及其键值C:\WINDOWS\MBBManager.exe;
3.恢复TXT文件关联。将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由C:\WINDOWS\system\editor.exe %1更改为C:\WINDOWS\NOTEPAD.EXE %1,将注册表的HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由C:\WINDOWS\system\editor.exe %1改为C:\WINDOWS\NOTEPAD.EXE %1。
特洛伊木马也叫“Trojan”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。它通过在你的电脑系统隐藏一个会在Windows启动时悄悄运行的程序,采用服务器/客户机的运行方式,从而达到在你上网时监视和控制你的电脑的目的。黑客可以利用它窃取你的口令、浏览你的驱动器、修改你的数据文件和注册表甚至控制鼠标、键盘直至格式化硬盘等等。
木马病毒的检测、清除及其预防
推荐 · 金山毒霸2005正式版 杀毒免费立刻下载
方法 通过网络连接或者系统进程
1.通过网络连接
由于木马的运行常通过网络的连接来实现的,因此如果发现可疑的网络连接就可以推测木马的存在,最简单的办法是利用Windows自带的Netstat命令来查看。
(1)键入DOS命令以重新命名regedit.exe为 (本步骤可选)。
(2)运行注册表程序,找到下列键值 :
HKEY_CLASSES_ROOT exefileshellopencommand。
(3)在这个键值中将Default的值“% windir%SYSTEMWINSVRC.EXE““%1”%*” where %windir%”中““%1”%*”以外部分删除。
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionExplorerShell Folders
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionExplorerUser Shell Folders
(3)启动病毒查杀软件,将查找出的带有TROJ_BADTRANS.A病毒的文件删除 。
3. 通过在注册表中实现。木马只要被加载,尽管有可能会隐藏得比较好,但一般都会在注册表中留下痕迹。一般来说,木马在注册表中自动加载的实现是在HKEY_LOCAL_MACHINESoftware
一般情况下,如果没有进行任何上网操作,在MS-DOS窗口中用Netstat命令将看不到什么信息,此时可以使用“netstat -a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态,而目前又没有进行任何网络服务的操作,那么在监听该端口的很可能是木马。
教你快速地清除电脑系统中各种各样木马病毒-电脑资料
教你快速地清除电脑系统中各种各样木马病毒-电脑资料入侵后要做的事就是上传木马后门,为了能够让上传的木马不被发现,他们会想尽种种方法对其进行伪装,。
而作为被害者,我们又该如何识破伪装,将系统中的木马统统清除掉呢!一、文件捆绑检测将木马捆绑在正常程序中,一直是木马伪装攻击的一种常用手段。
下面我们就看看如何才能检测出文件中捆绑的木马。
1.MT捆绑克星文件中只要捆绑了木马,那么其文件头特征码一定会表现出一定的规律,而MT捆绑克星正是通过分析程序的文件头特征码来判断的。
程序运行后,我们只要单击“浏览”按钮,选择需要进行检测的文件,然后单击主界面上的“分析”按钮,这样程序就会自动对添加进来的文件进行分析。
此时,我们只要查看分析结果中可执行的头部数,如果有两个或更多的可执行文件头部,那么说明此文件一定是被捆绑过的!2.揪出捆绑在程序中的木马光检测出了文件中捆绑了木马是远远不够的,还必须清除其中的木马。
我们可以利用木马专杀工具进行查杀。
二、清除DLL类后门相对文件捆绑运行,DLL插入类的木马显的更加高级,具有无进程,不开端口等特点,一般人很难发觉,电脑资料《教你快速地清除电脑系统中各种各样木马病毒》(https://www.)。
因此清除的步骤也相对复杂一点。
1.结束木马进程由于该类型的木马是嵌入在其它进程之中的,本身在进程查看器中并不会生成具体的项目,对此我们如果发现自己系统出现异常时,则需要判断是否中了DLL木马。
2.查找可疑DLL模块由于一般用户对DLL文件的调用情况并不熟悉,因此很难判断出哪个DLL模块是不是可疑的。
可以利用专门的工具进行查找。
三、彻底的Rootkit检测谁都不可能每时每刻对系统中的端口、注册表、文件、服务进行挨个的检查,看是否隐藏木马。
这时候可以使用一些特殊的工具进行检测。
四、克隆帐号的检测严格意义上来说,它已经不是后门木马了。
但是他同样是在系统中建立了管理员权限的账号,但是我们查看的却是Guest组的成员,非常容易麻痹管理员。
如何识别和防范个人电脑中的木马病
如何识别和防范个人电脑中的木马病个人电脑是我们日常生活和工作中必不可少的工具,但是随着互联网的普及,个人电脑中的木马病也越来越常见。
木马病是一种专门针对计算机的恶意软件,它具有隐藏且独立运行的特点,能够窃取个人隐私信息、远程控制计算机等,给我们的个人和财产带来严重威胁。
本文将介绍如何识别和防范个人电脑中的木马病。
一、识别木马病的常见迹象1. 系统运行缓慢:木马病会占用大量计算机资源,导致系统反应迟缓,开机和关闭时间延长。
2. 弹窗广告频繁:木马病经常通过弹窗广告传播,所以如果你频繁收到各种奇怪的广告弹窗,很有可能是遭受了木马病的感染。
3. 无故跳转网页:个人电脑中的木马病有时会将用户重定向到恶意网站,如果你在浏览网页时频繁出现无故跳转,需要警惕木马病的存在。
4. 防火墙异常: 当你开启防火墙后,发现异常的网络连接或者有新的程序请求网络连接。
这可能是木马病尝试与外界建立通信。
二、防范木马病的有效措施1. 及时更新操作系统和安全补丁:操作系统和各种软件的开发商会不断发布安全更新补丁,这些补丁能够修复已发现的漏洞,提高系统和软件的安全性。
定期检查并更新系统和软件是防范木马病的基本措施。
2. 安装可信赖的杀毒软件和防火墙:选择一款专业可靠的杀毒软件和防火墙来保护个人电脑的安全。
定期更新病毒库,进行全盘扫描,及时清除潜在的威胁。
3. 谨慎下载和安装软件:下载软件时,应该选择官方网站或可信的下载平台,避免下载和安装来路不明的软件。
同时,在安装软件时仔细阅读许可协议,不要随便点击“下一步”。
4. 不轻易点击陌生链接和文件:收到来自陌生人或未知来源的链接和文件时,要谨慎对待。
不轻易点击怀疑链接,不下载不信任的文件,以免被木马病感染。
5. 定期备份重要数据:个人电脑上存储的重要数据,如工作文件、照片等,应该定期备份到外部存储设备或云盘中。
一旦遭遇木马病攻击,也能更好地保护重要数据不被损失。
三、应对个人电脑中木马病的处理办法1. 及时断网:一旦发现个人电脑中存在木马病的迹象,首先要关闭网络连接,以免木马病将个人隐私信息传输到外部服务器。
十大常见木马及其查杀方法
十大常见木马及其查杀方法经过媒体的大量宣传,大家对木马有了一定的认识,但大多数人对木马还是陌生和恐惧的感觉。
其实,木马没有什么可神秘的,只要你能掌握以下国内最流行十大木马查杀,那么对付其它木马程序就很容易了——你会骄傲的说:木马查杀?Easy!名词解释木马其实质只是一个网络客户/服务程序。
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。
作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程。
就我们下面所讲木马来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供服务。
控制端对服务端进行远程控制的一方服务端被控制端远程控制的一方控制端程序控制端用以远程控制服务端的程序木马程序潜入服务端内部,获取其操作权限的程序木马端口即控制端和服务端之间的数据入口,通过这个入口,数据可直达控制端程序或木马程序十大常见木马及其查杀方法冰河冰河可以说是最有名的木马了,就连刚接触电脑的用户也听说过它。
虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。
冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。
一旦运行G-server,那么该程序就会在C:Windowssystem目录下生成Kernel32.exe和sysexplr.exe,并删除自身。
Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。
即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
十大常见木马及其查杀方法经过媒体的大量宣传,大家对木马有了一定的认识,但大多数人对木马还是陌生和恐惧的感觉。
其实,木马没有什么可神秘的,只要你能掌握以下国内最流行十大木马查杀,那么对付其它木马程序就很容易了——你会骄傲的说:木马查杀?Easy!名词解释木马其实质只是一个网络客户/服务程序。
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。
作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程。
就我们下面所讲木马来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供服务。
控制端对服务端进行远程控制的一方服务端被控制端远程控制的一方控制端程序控制端用以远程控制服务端的程序木马程序潜入服务端内部,获取其操作权限的程序木马端口即控制端和服务端之间的数据入口,通过这个入口,数据可直达控制端程序或木马程序十大常见木马及其查杀方法冰河冰河可以说是最有名的木马了,就连刚接触电脑的用户也听说过它。
虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。
冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。
一旦运行G-server,那么该程序就会在C:Windowssystem目录下生成Kernel32.exe和sysexplr.exe,并删除自身。
Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。
即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
清除方法:1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。
2、冰河会在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRun下扎根,键值为C:windowssystemKernel32.exe,删除它。
3、在注册表的HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows CurrentVersionRunservices下,还有键值为C:windowssystemKernel32.exe的,也要删除。
4、最后,改注册表HKEY_CLASSES_ROOT xtfileshellopencommand下的默认值,由中木马后的C:windowssystemSysexplr.exe %1改为正常情况下的C:windowsotepad.exe %1,即可恢复TXT文件关联功能。
广外女生广外女生是广东外语外贸大学“广外女生”网络小组的处女作,是一种新出现的远程监控工具,破坏性很大,远程上传、下载、删除文件、修改注册表等自然不在话下。
其可怕之处在于广外女生服务端被执行后,会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用!该木马程序运行后,将会在系统的SYSTEM目录下生成一份自己的拷贝,名称为DIAGCFG.EXE,并关联.EXE文件的打开方式,如果贸然删掉了该文件,将会导致系统所有.EXE文件无法打开的问题。
清除方法:1、由于该木马程序运行时无法删除该文件,因此启动到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除它;2、由于DIAGCFG.EXE文件已经被删除了,因此在Windows环境下任何.exe文件都将无法运行。
我们找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“”;3、回到Windows模式下,运行Windows目录下的程序(就是我们刚才改名的文件);4、找到HKEY_CLASSES_ROOTexefileshellopencommand,将其默认键值改成"%1" %*;5、找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunServices,删除其中名称为“Diagnostic Configuration”的键值;6、关掉注册表编辑器,回到Windows目录,将“”改回“Regedit.exe”。
7、完成。
Netspy(网络精灵)Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。
在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了!其强大之处丝毫不逊色于冰河和BO2000!服务端程序被执行后,会在C:Windowssystem目录下生成netspy.exe文件。
同时在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRun下建立键值C:windowssystemetspy.exe,用于在系统启动时自动加载运行。
清除方法:1、重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。
在C:windowssystem 目录下输入以下命令:delnetspy.exe 回车!2、进入注册表HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentVersionRun,删除Netspy 的键值即可安全清除Netspy。
SubSevenSubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。
最新版为2.2(默认连接端口27374),服务端只有54.5k!很容易被捆绑到其它软件而不被发现!最新版的金山毒霸等杀毒软件查不到它。
服务器端程序server.exe,客户端程序subseven.exe。
SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此查之很难。
清除方法:1、打开注册表Regedit,点击至:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和RunService下,如果有加载文件,就删除右边的项目:加载器="c:windowssystem***"。
注:加载器和文件名是随意改变的2、打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除之。
3、打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。
4、重新启动Windows,删除相对应的木马程序,一般在c:windowssystem下,在我在本机上做实验时发现该文件名为vqpbk.exe。
黑洞2001黑洞2001是国产木马程序,默认连接端口2001。
黑洞的可怕之处在于它有强大的杀进程功能!也就是说控制端可以随意终止被控端的某个进程,如果这个进程是天网之类的防火墙,那么你的保护就全无了,黑客可以由此而长驱直入,在你的系统中肆意纵横。
黑洞2001服务端被执行后,会在c:windowssystem下生成两个文件,一个是S_Server.exe,S_Server.exe的是服务端的直接复制,用的是文件夹的图标,一定要小心哦,这是个可执行文件,可不是文件夹哦;另一个是windows.exe,文件大小为255,488字节,用的是未定义类型的图标。
黑洞2001是典型的文件关联木马,windows.exe文件用来机器开机时立刻运行,并打开默认连接端口2001,S_Server.exe文件用来和TXT文件打开方式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后,服务端就暂时被关闭,即木马暂时删除,当任何文本文件被运行时,隐蔽的S_Server.exe木马文件就又被击活了,于是它再次生成windows.exe文件,即木马又被中入!清除方法:1)、将HKEY_CLASSES_ROOT xtfileshellopencommand下的默认键值由S_SERVER.EXE %1改为C:WINDOWSNOTEPAD.EXE %12)、将HKEY_LOCAL_MACHINESoftwareCLASSES xtfileshellopencommand下的默认键值由S_SERVER.EXE %1改为C:WINDOWSNOTEPAD.EXE %13)、将HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下的串值windows删除。
4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES下的Winvxd主键删除。
5、到C:WINDOWSSYSTEM下,删除windows.exe和S_Server.exe这两个木马文件。
要注意的是如果已经中了黑洞2001,那么windows.exe这个文件在windows环境下是无法直接删除的,这时我们可以在DOS方式下将它删除,或者用进程管理软件终止windows.exe这个进程,然后再将它删除。
至此就安全的清除黑洞2001了。
WAY2.4(火凤凰、无赖小子)WAY2.4又称火凤凰、无赖小子,是国产木马程序,默认连接端口是8011。
众多木马高手在介绍这个木马时都对其强大的注册表操控功能赞不绝口,也正因为如此它对我们的威胁就更大了。
从我的试验情况来看,WAY2.4的注册表操作的确有特色,对受控端注册表的读写,就和本地注册表读写一样方便!这一点可比大家熟悉的冰河强多了,冰河的注册表操作没有这么直观——每次我都得一个字符、一个字符的敲击出来,WAY2.4在注册表操控方面可以说是木马老大。
WAY2.4服务端被运行后在C:windowssystem下生成msgsvc.exe文件,图标是文本文件的图标,很隐蔽,文件大小235,008字节,文件修改时间1998年5月30日,看来它想冒充系统文件msgsvc32.exe。