20CN网络安全小组论坛 - 黑客进阶 - 清除冰河木马完全手册

论坛: 黑客进阶标题: 清除冰河木马完全手册

作者: xtwxf [xtwxf]

论坛用户

冰河木马为何物：冰河是一个国产木马，在国内流行极广，几乎每一百台计算机就有两三台寄存着该木马，有些地方的中马比例会更高尤其是网吧。它能让中下这个木马的人能完全控制你的计算机，如看到你的屏幕，盗取密码，删除你电脑中的任何文件，总之就像你使电脑一样方便的控制着您的电脑，危险性极高。如果发现该木马应该立即清除!下面介绍几种清除方法：

（一）注：冰河5.0以后版本清除

由于冰河5.5版，利用病毒原理感染启动项中的exe文件，像天网，瑞星，这样的随机启动程序。必需先将被感染文件删除，才能有效清除。

（二）冰河5.0前版本清除

1.速效清除冰河法“恢愎注册表启动项”(傻瓜式)

方法简单，适合对冰河和注册表不熟识者使用。
当你怀凝自己机器中了冰河，不放心也能用此方法即使没有中冰河也没害处。
下载本站提供的“清除冰河恢愎注册表文件包”。将每个注册表文件在windows下执行一次，再重启。经过恢愎注册表后，冰河就不会再在下次启动出现了。但是，冰河的尸体仍然留存你的c盘，不过它已经死了，不会自动复活的。对你使用机器并不有任何妨碍。这时你大可用杀毒软件放心查杀它。

“恢愎注册表文件包”说明：
exefile.reg:恢愎关联了exe文件。
txtfile.reg:恢愎关联了txt文件。
run.reg:
将注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项恢愎到最基本状态。
runservice.reg:
将注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservice项恢愎到最基本状态。

2.半手工清除冰河

如果冰河关联了exe文件时，现时的一些杀毒软件在清除完冰河后造成exe文件不能使用，(关联txt文件的记事本不能定位)在这种情况下不少人唯有选择重装。
下面讲一个与杀毒软件配合的半手工清除方法：
先执行恢愎注册表文件包中的exefile.reg恢愎关联exe文件。再用杀毒软件查杀。这样就不会有上述情况出现了。

3完全手工清除冰河

如果你熟识冰河和注册表可用下面方法清除
手工删除冰河
清除冰河v1.1
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
查找以下的两个路径，并删除
" C:\windows\system\ kernel32.exe"
" C:\windows\system\ sysexplr.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe

清除冰河v2.2以上版本
服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。
如果是默认的配置清除方法可参照清除冰河v1.1版方法。
否则：察看注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservice两项。把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序

或在WINDOWS下结束相应服务端程序。（如果WIN2000可
在任务管理器中做。如果是WIN9X，可以下载专门的进程管理软件结束它。地址： http://stamplink.go.163.com/blue-hacker/tca.exe）最后，在硬盘中用“查找”，找出对应文件并删除它。

重新启动Windows。OK

地主发表时间: 04-03-06 13:08