论坛: 黑客进阶 标题: 清除冰河木马完全手册 复制本贴地址    
作者: 默默奉献 [xtwxf]    论坛用户   登录
冰河木马为何物:冰河是一个国产木马,在国内流行极广,几乎每一百台计算机就有两三台寄存着该木马,有些地方的中马比例会更高尤其是网吧。它能让中下这个木马的人能完全控制你的计算机,如看到你的屏幕,盗取密码,删除你电脑中的任何文件,总之就像你使电脑一样方便的控制着您的电脑,危险性极高。如果发现该木马应该立即清除!下面介绍几种清除方法:

(一)注:冰河5.0以后版本清除

由于冰河5.5版,利用病毒原理感染启动项中的exe文件,像天网,瑞星,这样的随机启动程序。必需先将被感染文件删除,才能有效清除。

(二)冰河5.0前版本清除


1.速效清除冰河法“恢愎注册表启动项”(傻瓜式)

方法简单,适合对冰河和注册表不熟识者使用。
当你怀凝自己机器中了冰河,不放心也能用此方法即使没有中冰河也没害处。
下载本站提供的“清除冰河恢愎注册表文件包”。将每个注册表文件在windows下执行一次,再重启。经过恢愎注册表后,冰河就不会再在下次启动出现了。但是,冰河的尸体仍然留存你的c盘,不过它已经死了,不会自动复活的。对你使用机器并不有任何妨碍。这时你大可用杀毒软件放心查杀它。

“恢愎注册表文件包”说明:
exefile.reg:恢愎关联了exe文件。
txtfile.reg:恢愎关联了txt文件。
run.reg:
将注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项恢愎到最基本状态。
runservice.reg:
将注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservice项恢愎到最基本状态。

2.半手工清除冰河


如果冰河关联了exe文件时,现时的一些杀毒软件在清除完冰河后造成exe文件不能使用,(关联txt文件的记事本不能定位)在这种情况下不少人唯有选择重装。
下面讲一个与杀毒软件配合的半手工清除方法:
先执行恢愎注册表文件包中的exefile.reg恢愎关联exe文件。再用杀毒软件查杀。这样就不会有上述情况出现了。

3完全手工清除冰河


如果你熟识冰河和注册表可用下面方法清除
手工删除冰河
清除冰河v1.1
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
查找以下的两个路径,并删除
" C:\windows\system\ kernel32.exe"
" C:\windows\system\ sysexplr.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe

清除冰河v2.2以上版本
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
如果是默认的配置清除方法可参照清除冰河v1.1版方法。
否则:察看注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservice两项。把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序

或在WINDOWS下结束相应服务端程序。(如果WIN2000可
在任务管理器中做。如果是WIN9X,可以下载专门的进程管理软件结束它。地址: http://stamplink.go.163.com/blue-hacker/tca.exe)最后,在硬盘中用“查找”,找出对应文件并删除它。

重新启动Windows。OK



地主 发表时间: 04-03-06 13:08

回复: wangsong [wangsong]   论坛用户   登录
网上多的是
不过还不错

B1层 发表时间: 04-03-07 09:57

回复: wangsong [wangsong]   论坛用户   登录
虽然这样可以清楚但是它修改注册表有地方有10处(可能还有很多)


B2层 发表时间: 04-03-16 10:37

回复: 青蛙 [qwhacker]      登录
呵呵,冰河就是厉害,不过魔高一尺道高一丈。

B3层 发表时间: 04-03-28 20:11

回复: 阿Q [kailangq]   版主   登录


B4层 发表时间: 04-04-02 03:29

论坛: 黑客进阶

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号