本帖由 [BearKing] 从 << 菜鸟乐园>> 转移而来今天测试了一下广外男生木马程序。
测试的版本是gwboy092A。
简单配制了一下(按默认配制做的),产生了一个服务器程序。
运行服务器后,发现在系统目录下(c:\winnt\system32)产生 gwboy.exe 和 gwboydll.dll 两个文件。其中 gwboy.exe 文件可以随意删除,而 gwboydll.dll 文件由于使用了线程插入技术,被插入到了其他应用程序的进程中,不能被删除。
其中 gwboy.exe 被写到注册表启动项中(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。
gwboydll.dll 也在注册表中有键值(基本上在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\下随机产生,搜索注册表可找出来)。
清除木马的方法:
一开始,我照书上介绍的方法,手工开始清除,删除了gwboy.exe,又删除了注册表中的gwboy.exe和gwboydll.dll后,重新启动计算机,发现广外木马照样被加载。清除工作看来很困难,仔细想了想,一定是gwboydll.dll在退出时发现了gwboy.exe被删除后,又从新加载gwboy.exe程序,并添加了注册表启动项。
想看想去,我只好在删除gwboy.exe和注册表相关项后,迅速拔下了电脑主机的电源插座#%$#$%#%^,想利用突然断电,来清除木马。
果然重新启动电脑后,发现木马服务器端没有被加载。虽后我删除了系统目录中的gwboydll.dll,到此,木马清除工作完毕。
注:如果木马改了名字的话,你可以去系统目录中搜索文件大小为115KB、116KB的DLL文件,一般怀疑为木马程序!!
|
论坛用户
论坛用户
论坛: 病毒专区
标题: 木马广外男生的一种清除方法!!