冰河木马如何清除
冰河可以说是最有名的木马了。标准版冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626. 一旦运行G-server,那么该程序就会在C:\\Windows\\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。 要清除冰河,首先要删除C:\\Windows\\system下的Kernel32.exe和Sysexplr.exe文件;冰河会在注册表的HKEY_LOCAL_MACHINE\\ software\\ microsoft\\ Windows\\CurrentVersion\\Run分支下扎根,键值为C:\\Windows\\system\\Kernel32. exe,删除它。在注册表的 HKEY_LOCAL_ MACHINE\\ software\\microsoft\\Windows\\Current Version\\Runservices 分支下,还有键值为C:\\Windows\\system\\ Kernel32.exe的,也要删除。 最后,恢复注册表中的TXT文件关联功能,只要将注册表的 HKEY_CLASSES_ROOT\\txtfile\\ shell\\open\\command 下的默认值,由中木马后的C:\\Windows\\system\\ Sysexplr.exe %1改为正常情况下的C:\\Windows\\ notepad.exe %1即可。
请问这是木马程序么?
您好:
这应该是冰河木马病毒,为了您电脑的安全建议您使用腾讯电脑管家对您的电脑进行一下全面的杀毒吧,打开腾讯电脑管家中的杀毒功能选择闪电查杀或者全盘查杀就可以的哦,腾讯电脑管家是采用“4+1”核“芯”杀毒引擎的专业杀毒软件,是完全可以帮助您查杀病毒而且保护您的电脑的哦。
您可以点击这里下载最新版的腾讯电脑管家:最新版腾讯电脑管家下载
腾讯电脑管家企业平台:
Win10中了冰河木马怎么处理
Win10中了冰河木马的解决方法。
方法如下:
方法一:
如果安装了“冰河”服务端的朋友就很简单了。首先在自动扫描中输入自己的IP,看一下扫描结果是否为“OK”,并且左边的“文件管理器”中会出现自己的IP吗?如果有,在“命令控制台”中的“控制类命令”中的“系统控制”中点击“自动卸载冰河”就可以了。
方法二:
如果没有“冰河”这个软件朋友也不用着急,请用下面的.方法查找并解除木马。
运行REGEDIT命令打开注册表编辑器,在KEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 查看键值中没有自己不熟悉的自动启动文件,扩展名为EXE。(一般“冰河”的默认文件名为KERNEL32.EXE,注意此文件的名字可能会被种马的人改变)。
如果有,那我们现在开始进行修改,先删除该键值中这一项,再删除RUNDRIVES这个键值。 一般“冰河”用户端程序的自我保护设为:关联TXT文件或EXE文件,关联的文件为:SYSEXPLR.EXE。
A、在“查看”菜单中选择“文件夹选项”弹出文件夹选项对话框,选择“文件类型” 在“已注册文件类型”框中找到“TXT FILE”这一项,看一下“打开方式”有无变化(一般为:NOTEPAD),如果关联对象不是NOTEPAD,选择“编辑”按钮,在“操作”框中删除“OPEN”这一项,那关联 TXT文件的用户程序就失效了。
B、如果是关联的EXE文件,那打开注册表编辑器,在HKEY_CLASSES_ROOT.exe中把 “默认”的键值随便改成什么(注意看清楚,等会儿要改回来)。
以上这两步做完后,退出WINDOWS,在DOS状态下删除该“冰河”用户端程序,重新启动即可。
注意:要把EXE文件的注册表改回来。 好了,再搜索用木马程序看有没有。
发现一个病毒,不知道怎么删除
我很体谅你现在气愤的心情,你先把网络关闭了(要把网络线也拔了)然后再使用安全软件给查杀,如果没有杀毒软件,也不要紧,用以下方法:1、通过进程找病毒原程序:病毒只要运行,肯定会有一个进程,通过“任务管理器”或“360安全卫士”等,我们可以查看到系统中当前运行的进程。一旦发现特别占用内存或CPU资源的进程,可以初步判断为病毒的原程序。进程名字通常是扩展名为.exe或.com的可执行文件,可以通过操作系统自带的“搜索”功能,查找该可疑进程的位置。由于一些病毒或进程会伪装成系统进程,这样会迷惑用户。例如,一些病毒通常会生成名字为“svch0st.exe”,与系统进程“svchost”的差别在于数字“0”和字母“o”,用户在查找时一定要注意。
说明:如果在系统进程中查找到了可疑的进程,可利用系统的“搜索”功能却没有找到病毒原程序,通常是要查找的进程文件是隐藏文件,可以在搜索选项中查找系统或隐藏文件,这样就能查找到病毒原程序。
2、通过注册表找病毒原程序:病毒一旦感染操作系统,会在注册表中的启动项加载一些进程。在注册表的键值中,自动加载的选项中有文件的路径,这大大方便用户查找病毒的原程序。
通常情况下,病毒原程序的加载位置在注册表的如下位置:
①HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;
②HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;
③HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
查找到病毒的原文件之后,便可以对病毒举起屠刀,结束其生命了。但有时用户删除了病毒原程序后,病毒无意之间又冒了出来,其实之所以会出现这种情况,是因为没有彻底删除病毒原程序及其相关的加载选项。
彻底删除病毒原程序和加载选项
一些病毒通常会感染系统文件,用户在删除该病毒原程序时,系统会弹出“文件正在使用,无法删除”的提示,这种情况之下,要想彻底删除病毒原程序,只能使用特殊方法。下面介绍一下两种常用的删除病毒原程序的方法。
1、安全模式删除:如果遇到病毒原程序无法被删除的情况,用户可以进入安全模式下删除。如果病毒原程序感染了系统文件,必须将感染了病毒的系统文件删除,在删除之前,可以从其他没有感染病毒的机器中复制一个正常的文件替代被感染的病毒文件。
2、终止进程再删除:有些病毒无法删除是因为该文件已经被加载到正常的进程中,要想删除病毒原文件,可以将该进程强行中止,然后删除。
另外,用户可以借助一些第三方的工具删除病毒原程序,经常使用而且效果不错的第三方软件有:killbox、Icesword和unlocker,其中 Icesword当属最得力助手。删除了病毒原程序后,切记不要忘记删除病毒在注册表等处的一些加载选项。病毒除了注册表的Run键值之外,还需要检查以下几个位置并一一删除。
1、启动组:在“开始”菜单的“程序”中有一个启动组,这也是病毒的一个加载地方。一定要删除此处的病毒加载文件。
2、注册表:上文中已经提及,病毒会加载在注册表的Run键中,用户需要一一检查。如病毒原文件名字为loveyou.exe,可以使用注册表的“查找”功能进行查找并一一进行删除。
3、系统文件:win.ini和system.ini两个系统文件也是病毒的最佳藏身之处。打开win.ini后,在它的[windows]字段中有启动命令“load=”和“run=”,病毒通常加载在“=”后面。而在system.ini中,boot字段和driver字段中也是病毒的加载地方。Driver字段后加载的病毒文件,也就是我们通常所说的驱动型病毒。用户要删除上述字段中的病毒的加载选项。
删除了病毒原程序文件,以及病毒在注册表、启动组及系统文件中的加载位置之后,病毒才算真正的被消灭。彻底、完全干净的删除了病毒之后,通常会留下一定的后遗症,手工杀毒之后,还要进行修复工作。
系统修复不容忽视
越来越多的病毒为了躲过杀毒软件的追杀,或者是为了麻痹杀毒软件,通常会感染系统文件,一旦删除了系统文件,操作系统可能会留下诸多的后遗症。例如,正常情况下txt文件的打开方式为notepad.exe文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,著名的冰河木马就是这样的情况。一旦你双击一个txt文件,原本应用notepad打开该文件的,现在却变成启动冰河木马了,删除了冰河木马之后,txt文件关联就错位了。为此,删除病毒之后必须对系统进行修复。
1、复制正常系统文件:通常情况下,病毒会感染rundll32.exe文件,或者是一些扩展名为dll的文件。这种情况下,修复被病毒破坏文件的最佳方法就是从没有感染病毒的系统中复制文件,拷贝到被病毒感染的机器中。拷贝文件成功之后,重新启动计算机就可以了。
2、用恢复命令修复:在Windows XP操作系统中,对于dll文件和一些关键文件都会保存在dllcache目录中,用户可以在DOS提示符下或“运行”中输入sfc /scannow命令恢复这些系统文件。在修复过程中,可能需要插入Windows XP的安装光盘。
3、手工恢复文件关联:删除一些病毒文件后,可能会影响正常的文件关系,用户可以手工恢复文件关联。以修复扩展名为txt的文件为例,打开“文件夹选项”,在“文件类型”选项中查找.txt的文件关联,然后选择删除,点击确定后退出。在硬盘中随便找一个扩展名为.txt的文件,双击会出现一个“选择打开程序”的对话框,选择notepad.exe程序之后,txt文件关联就被恢复了。
不同的病毒对系统文件的破坏程度不同,其修复方法也不同。
怎样使用冰河木马
首先下载冰河,点击冰河主程序(就是图标是小刀的那个文件,文件名G_Client.exe,大小454K),出现主界面: 首先,配置本地服务器程序,单击从右边数过来第三个图标(或在设置-配置服务器程序),弹出服务器设置。
在基本设置中:安装路径指服务器程序运行时,自动安装在哪个文件夹;文件名称指服务器安装后程序的名称,进程名称指按Alt+Ctrl+del三链在“关闭程序”显示的文件名;访问口令指如果您加了密码,访问中此木马的密码;敏感字符指你想要获取对方密码的关键词,比如输入password,冰河服务端将记录password的密码;提示信息指对方运行服务端出现的窗口,比如说此文件已损坏等骗人的话;监听端口指中冰河者打开的端口,您用冰河控制端通过这个端口访问;自动删除安装文件指对方运行服务端后,是否删除本身(就是运行后,程序不见了,而会在其它地方安装了)禁止自动拨号指运行服务端后,是否马上拨号上网连接。
在自我保护中:已经写的很清楚了,不再重复!
在邮件通知中:不再重复。注意SMTP服务器指发送邮件服务器地址,通常申请邮箱时服务商会提供。
根据您的需要配置好服务端,把他发送给对方,最好用捆绑软件捆绑加密一下。
如果您想找现成的中了木马冰河的机器,就用冰河的搜索计算机功能(速度很慢)扫描,扫描后该知道干什么了吧!
注意:使用时,1、自己应当关闭防火墙,否则将失败!
2、小心“小猪快跑”等软件的反追踪!
3、填写密码时,按旁边的应用才会有效!
防黑客冰河木马
提起“冰河”木马,相信没有多少网民不知道。作为国内木马程序的经典之作,它操作简单,功能强大。虽然原作者黄鑫从2.2B版本已经彻底停止了开发,但许多“好事者”却继续在对“冰河”程序进行不断的修改。于是网络上就出现了一些所谓的冰河3.0、5.0、V60、V70、V80、2000、XP以及各种“XX专版”,更有甚者已经开始对修改后的冰河程序进行收费,这引起了原作者黄鑫的注意。
为了防止这种不良影响,他向广大网民免费奉献了一款专门用来对付各类冰河木马的“冰河陷阱”程序,主要有两大功能:一是自动清除所有版本“冰河”被控端程序。二是把自己伪装成“冰河”被控端,记录入侵者的所有操作。
下面我们就来通过一个“冰河”木马入侵者的诱捕实例来看看如何操作。
第一步:清除冰河木马
把压缩包内的文件解压到一个目录,运行“冰河陷阱.exe”,如果当前系统中已经被别人植入了冰河木马的话,这时它会提示你是否自动清除冰河木马被控端程序,当然要选择“是”了,接下来它会显示出这个安装的“冰河”木马的配置信息,点击[确定]按钮,冰河陷阱就会自动彻底地从系统中清除冰河木马,并将其配置信息以及清除情况保存在当前目录的“清除日志.txt”文件中。现在我们要打开该文件查看,注意记下“监听端口”中的数字“7626”(也可能会是其他数字),后面要用到。
另外还要记下“接收IP信箱”后面显示的邮箱,这就是入侵者接收你的IP地址以及密码等信息的信箱,以后你可以向该信箱发出警告信或者请求信箱服务商的管理员帮助。
我在试用中发现如果“冰河陷阱.exe”处于运行状态,冰河木马被控端程序将无法在你的系统中再次运行。而且每次它启动时都会自动检查系统中有无冰河被控端程序,并提示清除。因此建议大家选中“设置”菜单中的“随系统自动启动”选项,让它开机自动运行。
第二步:请君入瓮
接下来利用“冰河陷阱”的伪装功能来诱捕入侵者。运行冰河陷阱后,点击“设置”菜单中的“设置监听端口”,然后输入前面记下的冰河木马被控端监听端口“7626”(一定要与上面显示的数字一样),然后单击工具栏中的[打开陷阱]按钮,再将冰河陷阱最小化到系统托盘。这时冰河陷阱会完全模拟真正的“冰河”被控端程序对入侵者的控制命令进行响应,使入侵者以为你的机器仍处于他的控制之下。
当有入侵者通过“冰河”客户端连接到冰河陷阱所伪装的被控端程序上时,可以在系统托盘中看到冰河陷阱图标不断闪烁报警,同时还有声音报警。双击图标打开“冰河陷阱”主界面,在列表中可以看到入侵者的IP地址、所在地以及登录密码和详细的操作过程。点击[保存记录]按钮可以将显示的入侵记录保存在磁盘上以供分析。
另外,冰河陷阱还有一项特别的功能——冰河信使。点击工具栏中的[冰河信息]按钮,可以直接给入侵者发送一个反击消息,当然越恐怖效果越好,保证让这个入侵者“丢盔弃甲”,落荒而逃,再也不敢冒犯你了。
0条大神的评论