实验七 BO2K木马实验
木马攻击实验
木马攻击实验应用场景计算机病毒是一个程序,一段可执行码,对计算机的正常使用进行破坏,使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。
就像生物病毒一样,计算机病毒有独特的复制能力。
计算机病毒可以很快地蔓延,又常常难以根除。
它们能把自身附着在各种类型的文件上。
当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
这种程序不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。
轻则影响机器运行速度,使机器不能正常运行;重则使机器处于瘫痪,会给用户带来不可估量的损失。
通常就把这种具有破坏作用的程序称为计算机病毒。
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。
当你看到病毒载体似乎仅仅表现在文字和图像上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。
若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。
病毒往往会利用计算机操作系统的弱点进行传播,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。
病毒与反病毒将作为一种技术对抗长期存在,两种技术都将随计算机技术的发展而得到长期的发展。
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。
它是指通过一段特定的程序(木马程序)来控制另一台计算机。
木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。
植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。
实验八 木马病毒清除实验
实验八木马病毒清除实验1.实验目的(1)熟悉BO2K木马的源代码。
(2)熟悉BO2K木马的原理和用法2.实验所需条件和环境1、硬件HPDX23582、Windows32操作系统,Visual Studio 7.0 编译环境3.实验步骤1、从随书资源目录\Experiment\Antitrojan\,文件为Antitrojan.sln为工程文件,使用Antitrojan.exe观察效果。
2、设计思路:1. 设计1.1功能本程序利用开放主机端口号和各个木马程序使用端口的对应关系,判断主机是否已中木马,中了何种木马(目前能查找一百余种),并能根据所中木马的类型,对其中的二十几种进行杀灭。
此外,用户可自行追加数据库,增加能查找病毒的种类。
1.2程序流程1.3核心数据结构本程序的数据文件Trojan.txt使用了TROJAN结构来保存木马的名称,对应打开端口号和查杀代码:TROJAN:字段名称字段类型字段说明nPort 数字该木马所使用的端口号。
TroName 字符串该木马的名称。
nKillno 数字该木马的查杀号,杀除函数调用。
pnext 指针用于构成链表结构指针在Trojan.txt中,每行为一个木马项,格式为2. 关键技术2.1技术背景一般情况下,特定木马在运行时都会打开特定的端口和主控端进行通信,利用木马的这个特征,我们可以通过建立一个已知木马的名称和其使用端口的对应数据库来检测主机是否感染了木马,一旦得知了木马名称,就可以调用针对此木马的杀灭手段进行消除。
本程序就是利用了木马这样的特性进行编写,在windows系统中,netstat命令可以很轻松的取得本地打开端口的列表,我们可以在程序中用system函数调用此命令,并读取保存的结果,就可以取得主机所有打开的端口(包括tcp和udp)。
对于杀除木马,通常通过以下一系列手段进行:消灭主机中运行的木马进程。
消灭主机中存在的木马文件。
删除木马在主机注册表中添加的项。
《计算机病毒》木马实现技术实验
《计算机病毒》木马实现技术实验实验报告题目:木马实现技术实验姓名:王宇航学号:09283020实验环境:主机:Windows 7 虚拟机:Windows xp操作系统:windows系统XP(√)2003()其他:软件:visual C++6.0 ,VMware ,远程连接工具:硬件环境:CPU主频()内存()实验内容:实验一:木马程序实验将Server程序放到受害者计算机上,然后诱骗他们执行一次木马程序。
在得到目标机的IP后,启动client程序,连接到目标机的777端口,连接成功后,就可以操作目标机,输入命令。
实验二:测试注册表加载型木马door1 用VC++编译door的代码,运行编译的程序,查看注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]2 分析代码,给出防御策略实验三:测试服务级木马svchost1 编译代码2 安装、卸载木马程序,观察系统服务状况。
3 分析程序,给出防御策略实验过程:实验一:1 打开给的实验文件,其中SocketListener 目录下是木马Server 端源代码,SocketCommand目录下是木马Client 端源代码。
2 用Visual Studio 6.0 环境分别编译这两部分代码3 运行SocketListener 应用程序,也就是启动了木马被控制端4 运行SocketCommand 应用程序,也就是启动了木马的控制端,可以在控制端执行命令来控制被控制端实验二:测试注册型加载木马door1、编译指定代码后,查看注册表的变化,多了一项door2、可以使用第三方的系统查看工具,例如IceSword 工具,查看启动组,也能发现注册表加载的所有程序。
实验三:测试服务级木马svchost1、编译并运行木马,若安装服务成功,运行windows 服务命令“net start system”查看启动的系统服务或是在“控制面板”的“管理工具”中“服务”查看已经启动的服务。
科学实验旋转木马教程
科学实验旋转木马教程
在科学实验中,旋转木马是一个非常有趣且常用的工具。
通过旋转木马,我们可以展示许多物理学原理,例如离心力、惯性等。
在本文中,我们将介绍如何进行科学实验中旋转木马的制作和使用。
1. 材料准备
在制作旋转木马之前,我们需要准备以下材料: - 木板 - 直径适中的圆盘 - 旋转轴 - 绳子或链条 - 小型电动机
2. 制作
1.将木板固定在水平台面上,确保木板表面光滑。
2.在木板的中央位置固定圆盘,作为旋转的平台。
3.将旋转轴固定在圆盘中心,确保可以顺畅旋转。
4.将电动机安装在木板的一侧,用绳子或链条连接电动机和旋转轴。
3. 实验操作
1.将实验材料(如小球)放置在旋转木马的平台上。
2.启动电动机,让旋转木马开始旋转。
3.观察实验材料在旋转木马上的运动情况。
4.可以调整旋转速度或实验材料的位置,观察不同条件下的运动变化。
通过这个简单的科学实验,我们可以直观地感受到离心力、惯性等物理原理在现实中的运用。
旋转木马不仅能够增加实验的趣味性,也可以帮助我们更好地理解物理学知识。
结语
科学实验旋转木马是一个有趣而有教育意义的实验工具,通过制作和操作旋转木马,我们可以更深入地理解物理学原理。
希望通过本教程,您能够在科学实验中更加灵活地运用旋转木马,丰富实验内容,提高实验效果。
木马攻击与防御系列实验07-木马攻击实验
图5 G_CLIENT所在目录此时如果弹出“windows安全警报窗口”,点击“解除阻止”,则可打开控制端。
图7 冰河主界面单击快捷工具栏中的“添加主机”按钮,如教材图8所示图8 添加主机按钮则弹出如下窗口,如教材图9所示图9 添加计算机显示名称:填入显示在主界面的名称,即VPC1的ip地址主机地址:填入服务器端主机的IP地址访问口令:填入每次访问主机的密码,“空”即可监听端口:冰河默认的监听端口是7626获取VPC1的IP地址在VPC1中点击开始——运行,即可出现如教材图10所示窗口图11 命令行窗口在如教材图9所示窗口中填写VPC1的IP地址,并点击确定,即可以看到主机界面上添加了192.168.12.47的主机,如教材图12所示图14 控制类命令“捕获屏幕”:这个功能可以使控制端使用者查看远程主机的屏幕,好像远程主机就在自己面前一样,这样更有利于窃取各种信息,单击“查看屏幕”按钮,然后就染成了远程主机的屏幕。
可以看到,远程主机屏幕上的内容就显示在本机上了,显示内容不是动态的,而是每隔一段时间传来一幅。
“发送信息”:这个功能可以使你向远程计算机发生Windows标准的各种信息,在“信息正文”中可以填入要发给对方的信息,在图表类型中,可以选择“普通”,“警告”,“询问”,“错误”等类型。
按钮类型可以选择“确定”“是”“否”等类型。
“进程管理”:这个功能可以使控制着查看远程主机上所有的进程“窗口管理”:这个功能可以使远程主机上的窗口进行刷新,最大化,最小化,激活,隐藏等操作。
“系统管理”:这个功能可以使远程主机进行关机,重启,重新加载“冰河”自动卸载“冰河”的操作“鼠标控制”:这个功能可以使远程主机上的鼠标锁定在某个范围内“其他控制”:这个功能可以使远程主机进行自动拨号禁止,桌面隐藏,注册表锁定等操作网络类命令点击“命令控制台”,点击“网络类命令”前面的“+”即可展开网络类命令,如教材图16所示“文件浏览”,“文件查找”,“文件压缩”,“文件删除”,“文件打开”等菜单可以查看,查找,压缩,删除,打开远程主机上某个文件。
木马实现技术实验实验报告
实验一:木马程序实验
1打开给的实验文件,其中SocketListener目录下是木马Server端源代码,SocketCommand目录下是木马Client端源代码。
2用Visual Studio 6.0环境分别编译这两部分代码
3运行SocketListener应用程序,也就是启动了木马被控制端
3、在“系统服务”管理界面中,找到那些服务后,双击打开,在“常规”选项卡中的可执行文件路径中可以看到服务的可执行文件位置,一般正常安装的程序,比如杀毒,MSN,防火墙,等,都会建立自己的系统服务,不在系统目录下,如果有第三方服务指向的路径是在系统目录下,那么他就是“木马”。选中它,选择表中的“禁止”,重新启动计算机即可。
实验报告
题目:木马实现技术实验
姓名
学号
实验环境:VMware workstation 9.0
操作系统:windows系统XP(√)2003()其他:
软件:Visual Studio 6.0编程环境
硬件环境:CPU主频()内存()
实验内容:
1、木马程序实验
3、测试服务级木马svchost
通过以上三个实验,给出木马类病毒的防治策略和方法的总结。
查看服务可发现system服务已删除
对于类似svchost类型自动加载系统服务木马的防御,我们可以从系统服务检查入手,使用windowsXP系统自带的服务查看工具,从控制面板----管理----服务查看,运行后,可以看到“system”服务,如果用户对windows系统服务不是很熟悉的话,很难发现这个木马。
实验三:测试服务级木马Байду номын сангаасvchost
1编译代码
2运行木马,同时加上安装服务参数-i
计算机网络课程设计-木马程序设计与实现
长沙理工大学《计算机网络技术》课程设计报告学 院专 业 班 级 学 号 学生姓名 指导教师 课程成绩 完成日期课程设计成绩评定学院专业班级学号学生姓名指导教师完成日期指导教师对学生在课程设计中的评价指导教师对课程设计的评定意见课程设计任务书城南学院通信工程专业木马程序的设计与实现学生姓名:指导老师:摘要本文在研究著名木马BO2K技术的基础上设计了一款远程控制木马。
该木马程序能够通过客户端对远程主机进行控制和监视,服务端可以自动连接客户端.另外该木马程序还包括远程文件操作(文件复制、拷贝、删除、下载、上传等),远程系统控制(重启、屏幕锁定、启动项管理),网络连接控制,远程进程管理和键盘监控等功能。
最后本文实现了这一款木马程序,并对其进行了测试.测试结果显示该木马程序实现了所有的功能,能够对远程主机进行控制.关键字客户端/服务端;BO2K;远程控制1 引言随着互联网技术的迅猛发展,网络给人们带来了很多便利,日益发达的网络产品越来越多。
伴随这样的发展,随之而来的是越来越多的帐号与密码,而这些帐号与密码背后伴随的是很多的经济价值.在这种状况下,很多人想尽一切办法的去找取配套的密码与帐号,所以为了使帐号与密码更加安全,有必要去研究木马的工作原理.1.1 课程设计目的(1)掌握木马编程的相关理论,理解木马工作的基本原理,学会运用C++进行编程实现.(2)加深对课本知识的理解,并运用所学理论和方法进行一次综合性的设计训练,同时掌握工程设计的具体步骤和方法,从而培养独立分析问题和解决问题的能力,提高实际应用水平。
(3)以所学知识为基础,针对具体设计问题,充分发挥自己的主观能动性,独立地完成课程设计分配的各项任务,并通过课程设计培养严谨的科学态度和认真的工作作风.1.2 课程设计内容(1)查找木马程序主要技术及相应软件;(2)比较他们的技术及优缺点;(3)实现一个简单的木马程序;(4)提交文档;1.3 课程设计要求(1)按要求编写课程设计报告书,能正确阐述设计结果。
实验七、第四代木马_广外男生
第四代木马--广外男生实验概述【实验目的及要求】了解并掌握反向端口连接技术木马的工作原理。
需要2台Windows主机 关闭防火墙、杀毒软件。
【实验原理】该技术利用服务器端主机防火墙默认情况下防外不防内的特性 连接请求不会被受害主机上的防火墙屏蔽掉。
【实验环境】在计算机上生成文件 然后在虚拟机上进行运行操作.实验内容【实验方案设计】1.在计算机上生成一个扩展名为.exe的文件 然后把它放在虚拟机里面2.然后运行 在广外男生客户端软件中会出现虚拟机的ip地址3.在远程登录注册表中也可以看到虚拟机的信息4.在进程与服务里面可以关闭或写在对方的计算机5.在虚拟机中执行运行命令,输入一些命令。
【实验过程】 (实验步骤、记录、数据、分析)1.在计算机上生成一个扩展名为.exe的文件,然后把它放在虚拟机里面2.然后运行,在广外男生客户端软件中会出现虚拟机的ip地址4.在远程登录注册表中也可以看到虚拟机的信5.在进程与服务里面可以关闭或写在对方的计算机6.在虚拟机中执行运行命令。
【结论】试验成功!个人总结通过这次试验我了解并掌握反向端口连接技术木马的工作原理,广外男生属于反向端口连接技术木马,它是服务器端主机中木马后主动与黑客所在的客户机连接。
该技术利用服务器端主机防火墙默认情况下防外不防内的特性,连接请求不会被受害主机上的防火墙屏蔽掉。
使用广外程序员独创的“线程插入”技术。
基于成功的“广外幽灵”的先进技术,服务端运行时没有进程!所有网络操作均插入到其他应用程序的进程中完成。
也就是说,即使受控端安装的防火墙拥有“应用程序访问权限”的功能,也不能对广外男生的服务端进行有效的警告和拦截,使对方的防火墙形同虚设!广外男生是广外程序员网络(前广外女生网络小组)精心制作的一款远程控制软件,是一个专业级的远程控制以及网络监控工具。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验七BO2K木马实验1.实验目的(1)熟悉BO2K木马的源代码。
(2)熟悉BO2K木马的原理和用法2.实验所需条件和环境1、硬件HPDX23582、Windows32操作系统,Visual Studio 6.0 编译环境3.实验步骤1、从随书资源目录\Experiment\BO2k,文件为工程文件bo2k.dsw,使用Visual Studio6.0 编译该工程,编译过程中需要修改配置2、链接生成bo2k.exe可执行程序及客户端程序bo_client.exe。
执行bo2k.exe和bo_client.exe观察执行源码观察实验效果。
3、设计思路:1. 设计1.1功能本程序利用开放主机端口号和各个木马程序使用端口的对应关系,判断主机是否已中木马,中了何种木马(目前能查找一百余种),并能根据所中木马的类型,对其中的二十几种进行杀灭。
此外,用户可自行追加数据库,增加能查找病毒的种类。
1.2程序流程1.3核心数据结构本程序的数据文件Trojan.txt使用了TROJAN结构来保存木马的名称,对应打开端口号和查杀代码:TROJAN:字段名称字段类型字段说明nPort 数字该木马所使用的端口号。
TroName 字符串该木马的名称。
nKillno 数字该木马的查杀号,杀除函数调用。
pnext 指针用于构成链表结构指针在Trojan.txt中,每行为一个木马项,格式为2. 关键技术2.1技术背景一般情况下,特定木马在运行时都会打开特定的端口和主控端进行通信,利用木马的这个特征,我们可以通过建立一个已知木马的名称和其使用端口的对应数据库来检测主机是否感染了木马,一旦得知了木马名称,就可以调用针对此木马的杀灭手段进行消除。
本程序就是利用了木马这样的特性进行编写,在windows系统中,netstat命令可以很轻松的取得本地打开端口的列表,我们可以在程序中用system函数调用此命令,并读取保存的结果,就可以取得主机所有打开的端口(包括tcp和udp)。
对于杀除木马,通常通过以下一系列手段进行:消灭主机中运行的木马进程。
消灭主机中存在的木马文件。
删除木马在主机注册表中添加的项。
删除木马在其他文件中添加的自启动项。
2.2技术细节netstat命令有一个很强大的参数-a,使用了这个参数,我们可以获得主机所有开放的端口,包括tcp端口和udp端口,也包括活动的和非活动的端口。
通过在VC中使用system("netstat -a >c:\\log.txt")函数,我们可以将netstat命令获得结果保存在c:\log.txt中,随即读取此文件,通过数据过滤,得到本地主机所有的开放端口。
在过滤log.txt数据的过程中,由于保存的格式都是:所以我们要调用gethostbyaddr函数来获得主机名返回的HOSTENT就包括主机名,当传入的地址是空指针时,函数就返回本地主机的名称。
而当我们取得主机名后,就可以根据log.txt的格式获的各个打开得端口了。
在杀除木马的部分,我们首先要做的是消灭主机中运行的木马进程,只有杀灭了木马进程,随后的清理工作才会有意义,否则木马重新在注册表和系统文件中添加自启动项。
消除木马进程的过程分为三步:提升本程序权限,使其能够杀除木马进程,主要是通过AdjustTokenPrivileges函数来完成。
当DisableAllPrivileges设为FALSE,而且NewState中的属性为SE_PRIVILEGE_ENABLED时,我们就可以提升权限了。
枚举进程,获得木马进程的进程号码。
我们首先通过EnumProcesses函数来枚举系统中所有运行的进程。
当获得所有进程的进程号以后,枚举每一个进程所包含的模块,这里使用EnumProcessModules函数:通过返回的模块信息,我们可以利用GetModuleFileNameEx来取得此模块调用文件的文件名:杀除木马进程:如果取得文件名和木马的名称一样,则调用TerminateProcess函数杀除木马进程。
在杀除木马的进程以后,就可以删除木马文件,删除注册表项和删除文件中的自启动项的操作了,其中涉及到几个注册表操作函数:1.RegOpenKeyEx:用来打开注册表项。
2.RegQueryValueEx:用来查询特定注册表项中的键值3.RegDeleteValue:当我们查找到的键名和其含有的键值与木马添加的内容一致时,就可以调用该函数删除此键。
对于木马文件,本程序调用DeleteFile函数来删除。
3. 附录(本程序能杀灭的木马及杀除方法)1.AttackFTP清除步骤:打开win.ini文件在[WINDOWS]下面有load=wscan.exe删除wscan.exe ,正确是load=保存退出win.ini。
打开注册表Regedit,点击目录至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除Reminder="wscan.exe /s"关闭Regedit,重新启动到MSDOS系统中删除C:\windows\system\wscan.exe2.BackDoor v2.00 - v2.03清除步骤:打开注册表Regedit,点击目录至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的‘c:windowsnotpa.exe /o=yes‘关闭Regedit,重新启动到MSDOS系统中删除c:windowsnotpa.exe注意:不要删除真正的notepad.exe笔记本程序3.BladeRunner清除木马的步骤:打开注册表Regedit,点击目录至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run可以找到System-Tray = "c:\something\something.exe"右边的路径可能是任何东西,这时不需要删除它,因为木马会立即自动加上,只要记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。
重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。
4.DeepThroat v1.0 - 3.1 + Mod (Foreplay)清除木马的步骤:打开注册表Regedit,点击目录至:HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run版本1.0删除右边的项目‘System32‘=c:windowssystem32.exe版本2.0-3.1删除右边的项目‘SystemTray‘= ‘Systray.exe‘保存Regedit,重新启动Windows版本1.0:删除c:\windows\system32.exe版本2.0-3.1:删除c:\windows\system\systray.exe5.Doly v1.1 - v1.5这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到Win.ini项目。
首先,进入MS-DOS方式,删除三个木马程序,但V1.35版本多一个木马文件mdm.exe。
把下列各项全部删除:C:\WINDOWS\SYSTEM\tesk.sysC:\Program Files\MStesk.exeC:\Program Files\Mdm.exe重新启动Windows。
接着,打开win.ini文件,找到[WINDOWS]下面load=c:windowssystemtesk.exe项目,删除路径,改变为load=,保存win.ini文件。
最后,修改注册表Regedit找到以下两个项目并删除它们:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下Ms tesk = "C:\Program Files\MStesk.exe"HKEY_USER\./Default\Software\Microsoft\Windows\CurrentVersion\Run下Ms tesk = "C:\Program Files\MStesk.exe"再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss 这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。
关闭保存Regedit。
还有打开C:AUTOEXEC.BAT文件,删除@echo off copy c:\sys.lon c:\windows\StartMenu\Startupdel c:win.reg关闭保存autoexec.bat。
6.GateCrasher清除步骤:打开注册表Regedit ,点击目录至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的项目:Explore=‘c:\windows\explore.exe‘关闭保存Regedit,重新启动Windows然后,删除相应的木马程序。
7.Girlfriend v1.3x (Including Patch 1 and 2)清除步骤:打开注册表Regedit,点击目录至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的项目:Windll.exe ="C:\windows\windll.exe"Regedit里也保存着服务器的数据HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\General删除General项目标题关闭保存Regedit,重新启动Windows然后,找到相应的木马程序,并删除。
8.Hack99 KeyLogger清除步骤:打开注册表Regedit,点击目录至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的项目:HKeyLog = "C:\Windows\System\HKeyLog.exe"关闭保存Regedit,重新启动Windows删除C:\Windows\System\HKeyLog.exe9.iniKiller v1.2 - 3.2 Pro清除步骤:打开注册表Regedit,点击目录至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的项目:Explore="C:\windows\bad.exe "关闭保存Regedit,重新启动Windows删除C:\windows\bad.exe10.Masters Paradise清除步骤:打开注册表Regedit,点击目录至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项目:SYSEDIT = c:\windows\sysedit.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 删除右边的项目:Explorer = c:\......agent.exe关闭保存Regedit,重新启动Windows,查找到木马程序,并删除它们。