當前位置:係統粉 >  係統教程 > 電腦軟件教程 >  怎麽解決中了冰河木馬病毒的問題?清除冰河木馬的方法

怎麽解決中了冰河木馬病毒的問題?清除冰河木馬的方法

時間:2017-07-04 來源:互聯網 瀏覽量:

今天給大家帶來怎麽解決中了冰河木馬病毒的問題?清除冰河木馬的方法,讓您輕鬆解決問題。

  冰河木馬,類似於灰鴿子,其開發初衷雖然隻是一個遠程控製軟件,後成為一款知名的黑客入侵工具,TA不僅可以隨時跟蹤用戶屏幕的變化,還能遠程進行文件操作,還能盜取用戶所有的保存過的口令密碼。閱讀下文了解冰河木馬的功能和清理方法。

  冰河木馬,跟灰鴿子類似,在設計之初,開發者的本意是編寫一個功能強大的遠程控製軟件。但一經推出,就依靠其強大的功能成為了黑客們發動入侵的工具,並結束了國外木馬一統天下的局麵,跟後來的灰鴿子等等成為國產木馬的標誌和代名詞。HK聯盟Mask曾利用它入侵過數千台電腦,其中包括國外電腦。

  冰河木馬功能:

  在2006年之前,冰河在國內一直是不可動搖的領軍木馬,在國內沒用過冰河的人等於沒用過木馬,由此可見冰河木馬在國內的影響力之巨大。

  目的:遠程訪問、控製。

  選擇:可人為製造受害者和尋找“養馬場”,選擇前者的基本上可省略掃描的步驟。

  1、自動跟蹤目標機屏幕變化,同時可以完全模擬鍵盤及鼠標輸入,即在同步被控端屏幕變化的同時,監控端的一切鍵盤及鼠標操作將反映在被控端屏幕(局域網適用);

  2、記錄各種口令信息:包括開機口令、屏保口令、各種共享資源口令及絕大多數在對話框中出現過的口令信息;

  3、獲取係統信息:包括計算機名、注冊公司、當前用戶、係統路徑、操作係統版本、當前顯示分辨率、物理及邏輯磁盤信息等多項係統數據;

  4、限製係統功能:包括遠程關機、遠程重啟計算機、鎖定鼠標、鎖定係統熱鍵及鎖定注冊表等多項功能限製;

  5、遠程文件操作:包括創建、上傳、下載、複製、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠程打開文件(提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式)等多項文件操作功能;

  6、注冊表操作:包括對主鍵的瀏覽、增刪、複製、重命名和對鍵值的讀寫等所有注冊表操作功能;

  7、發送信息:以四種常用圖標向被控端發送簡短信息;

  8、點對點通訊:以聊天室形式同被控端進行在線交談。

  從一定程度上可以說冰河是最有名的木馬了,就連剛接觸電腦的用戶也聽說過它。雖然許多殺毒軟件可以查殺它,但國內仍有幾十萬種冰河的電腦存在!作為木馬,冰河創造了最多人使用、最多人中彈的奇跡,掌握了如何清除標準版,再來對付變種冰河就很容易了。

  冰河的服務器端程序為G-server.exe,客戶端程序為G-client.exe,默認連接端口為7626。一旦運行G-server,那麼該程序就會在C:/Windows/system目錄下生成Kernel32.exe和sysexplr.exe,並刪除自身。 Kernel32.exe在係統啟動時自動加載運行,sysexplr.exe和TXT文件關聯。即使你刪除了Kernel32.exe,隻要你打開 TXT文件,sysexplr.exe就會被激活,它將再次生成Kernel32.exe,於是冰河又回來了!這就是冰河屢刪不止的原因。

  清除冰河木馬的方法:

  方法一:安裝了冰河服務端的用戶:

  如果安裝了“冰河”服務端的朋友就很簡單了。首先在自動掃描中輸入自己的IP,看一下掃描結果是否為“OK”,並且左邊的“文件管理器”中會出現自己的IP嗎?如果有,在“命令控製台”中的“控製類命令”中的“係統控製”中點擊“自動卸載冰河”就可以了。

  方法二:未安裝冰河的用戶:

  如果沒有“冰河”這個軟件朋友也不用著急,請用下麵的方法查找並解除木馬。

  運行REGEDIT命令打開注冊表編輯器,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 查看鍵值中沒有自己不熟悉的自動啟動文件,擴展名為EXE。(一般“冰河”的默認文件名為KERNEL32.EXE,注意此文件的名字可能會被種馬的人改變)。

  如果有,那我們現在開始進行修改,先刪除該鍵值中這一項,再刪除RUNDRIVES這個鍵值。 一般“冰河”用戶端程序的自我保護設為:關聯TXT文件或EXE文件,關聯的文件為:SYSEXPLR.EXE。

  1、在“查看”菜單中選擇“文件夾選項”彈出文件夾選項對話框,選擇“文件類型” 在“已注冊文件類型”框中找到“TXT FILE”這一項,看一下“打開方式”有無變化(一般為:NOTEPAD),如果關聯對象不是NOTEPAD,選擇“編輯”按鈕,在“操作”框中刪除“OPEN”這一項,那關聯 TXT文件的用戶程序就失效了。

  2、如果是關聯的EXE文件,那打開注冊表編輯器,在HKEY_CLASSES_ROOT.exe中把 “默認”的鍵值隨便改成什麼(注意看清楚,等會兒要改回來)。

  以上這兩步做完後,退出WINDOWS,在DOS狀態下刪除該“冰河”用戶端程序,重新啟動即可。

  注意:要把EXE文件的注冊表改回來。 好了,再搜索用木馬程序看有沒有(沒有了吧,偷著笑吧^_^,不用格式化硬盤了)

  附:如果關聯的是其它類型的文件,修改同上。

  以上便是關於冰河木馬的功能和清理方法,冰河木馬相對年代比較久了,一般很多殺毒軟件都可以查殺,但變種的木馬就不一定了。

以上就是怎麽解決中了冰河木馬病毒的問題?清除冰河木馬的方法教程,希望本文中能幫您解決問題。

我要分享:
版權信息

Copyright @ 2011 係統粉 版權聲明 最新發布內容 網站導航