昨晚一位很要好的網友向我告急,說己中了廣外女生木馬怎麼清除,這可是老家伙啦,想當年這馬的功力竟然與冰河齊驅共架。而且要徹底清除的確也挺麻煩的!!花了一晚上時間終於幫朋友搞定了,總結了一下經驗,來這也撒一把~``呵呵 由於廣外女生木馬啟動方式跟一般的木馬不太一樣,他非常狡猾把啟動項目設置在了注冊表的另外位置內,自學教程,而且自動創建了好幾個啟動文件關聯,這也就是一般殺毒軟件不能徹底查殺他的原因之一。 一,我先簡單介紹一下木馬喜歡藏身的地方。 木馬基本上采用了windows系統啟動時自動加載應用程序的方法,包括有win.ini、system.ini和注冊表等。 1.潛伏在win.ini中 木馬想要達到控制或監視計算機的目的,就必須要運行,在win.in文件中,[WINDOWS]下面“run=”和“load=”行是windows啟動時要自動加載運行的程序項目,於是潛伏在win.in中是木馬感覺比較惬意的地方。大家不妨打開win.in來看看,在他的[WINDOWS]字段中有啟動命令“run=”和“load=”,在正常情況下等號後面應該是空白的,不能有任何程序!如果有程序,比方說: run=c:\windows\diagcfg.exe load=c:\windows\diagcfg.exe 這時你就要小心了,這個diagcfg就是廣外女生木馬! 2.潛伏在system.ini中 木馬就象你肚子裡的蛔蟲,什麼地方有空他就往什麼地方鑽。WINDOWS安裝目錄下的system.ini也是木馬喜歡藏身的地方,打開這個文件,在該文件的[boot]字段中,正常情況下有一個shell=Explorer.exe 項(後面不跟任何程序),如果是shell=Explorer.exe diagcfg.exe ,那麼恭喜你,你中彩了,後面的“diagcfg.exe”就是木馬程序。現在有些木馬還將explorer.exe文件與其他進程捆綁成一個文件,在這裡是看不出他的破綻,更增加了他的隱蔽性。 另外,在system.ini中的[386Enh]字段中要注意檢查“driver=路徑/程序名”這裡也有可能被木馬所利用。還有system.ini中的[mic]、[drivers32]字段,這些字段是起到加載驅動程序的作用,也是添加木馬的好場所,可要注意哦! (哦——對了!考慮到都是搶慣肉了對殺馬滅蟲等還不太熟悉~```,在這裡我把打開“system.ini”、“win.ini”的方法告訴你:開始/運行,輸入msconfig/確定。運行windows自帶的“系統配置實用程序”,自己在裡面找吧。windows2000裡沒這個東西,你也可以在運行裡輸入:sysedit 來打開) 3.凡是能自動加載的地方,木馬都喜歡安家。winstart.bat也是一個能自動被windows加載運行的文件,他多數情況為應用程序及windows自動生成,在執行了win.com並加載了多數驅動程序之後開始執行(這一點可通過啟動時按F8健在選擇逐步跟蹤啟動過程方式得知)。由於autoexec.bat的功能可以由winstart.bat代替完成,因此木馬完全可以像在autoexec.bat中那樣被加載運行,危險由此而來! 4.內置到注冊表中 由於隱藏到以上方法木馬很快就會被人查處,於是木馬又打起了注冊表的注意。注冊表本身就非常龐大復雜,眾多的啟動項目及易掩人耳目。往往很多書中都會大驚小怪的告戒讀者千萬別動注冊表,那很危險。我本人就很不同意這一觀點!是非常不同意!!如果你學不會走路你就永遠長不大!你怕摔交你就永遠生長在嬰兒期!!在windows系統有很多功能只有通過修改注冊表才能調整。我建議在修改注冊表之前先備份注冊表或用ghost給整個系統備份,基本就可高枕無憂了。還是言歸正傳吧: 隱蔽性強的木馬都喜歡在注冊表裡做文章,所以一定要檢查以下鍵值: HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run …………………………………………………………………………………\RunOnce …………………………………………………………………………………\RunOnceEx …………………………………………………………………………………\RunServices …………………………………………………………………………………\RunServicesOnce HKEY_CURRENT_USER\software\microsoft\windows\CurrentVersion\Run …………………………………………………………………………………\RunOnce …………………………………………………………………………………\RunOnceEx …………………………………………………………………………………\RunServices …………………………………………………………………………………\RunServicesOnce HKEY_USERS\.Default\software\microsoft\windows\CurrentVersion\Run …………………………………………………………………………………\RunOnce …………………………………………………………………………………\RunOnceEx …………………………………………………………………………………\RunServices …………………………………………………………………………………\RunServicesOnce 上面這些主鍵下面的啟動項目都可以成為木馬的藏生之處,可要小心哦!如果是WINDOWS NT系統,那還的留心以下鍵值: HKEY_LOCAL_MACHINE\software\SAM ,正常情況SAM裡面應該是空的。 (我這裡說的NT系統就是平常我們用的2000啦XP啦等..這些都屬於NT平台) 二.手工清除廣外女生方法。 1.廣外女生木馬是一個駐留、啟動方法比較典型性的木馬,我以win2000為例直接切入正體。 因為我只用2000,別的系統也差不多的啦,自己參照一下吧~````` 如果一不小心運行了廣外女生木馬服務端會在C:\winnt\system32目錄下增加一個文件“diagcfg.exe”,你也可以打開任務管理器查看,會發現其中有一個DIAGCFG。EXE的進程,這就是木馬原身。但這時千萬不能直接刪除diagcfg.exe,否則系統就無法正常運行了。 再到注冊表看看他到底藏在哪兒。(用注冊表監察工具regsnap查出,在此不在累述過程,因為這不是本文重點) HKEY_LOCAL_MACHINE\software\classes\exefile\shell\open\commandold value:string""%1" %*"
new value:string:"C:\winnt\system32\DIAGCFG.EXE "%1" %*" 這個鍵值由原來的"%1" %*被修改為了C:\winnt\system32\DIAGCFG.EXE "%1" %*,廣外女生為什麼要這樣修改呢?有什麼作用呢? 這就是運行可執行文件格式,被改為C:\winnt\system32\DIAGCFG.EXE "%1" %*之後每次再運行可執行文件時都要先執行C:\winnt\system32\DIAGCFG.EXE 這個程序。 他的啟動方法與一般木馬不太一樣,一般木馬是在HKEY_\software\microsoft\windows\CurrentVersion\Run鍵值裡加載自己的啟動項目,但這種方式被殺毒軟件所熟知,所以很容易查殺。而廣外女生就比較狡猾了,他把啟動項目設在了另外的位置,這也就是殺毒軟件不容易查殺他的原因之一。 2.好了,現在就開始手工清除他了,睜大眼睛看著! 注意:清除廣外女生木馬的步驟次序不能顛倒,否則無法徹底清楚此木馬!!! 1/.開始/運行/“regedit”/確定。打開注冊表。 HKEY_LOCAL_MACHINE\software\classes\exefile\shell\open\command\,5自學網,先不要修改,因為如果這時修改注冊表的話,diagcfg.exe進程仍然會立即把他改回來。 2/.打開“任務管理器”,找到diagcfg.exe進程,選中他按“結束進程”來關掉這個進程。注意:一定也不要先關進程再打開注冊表,否則執行regedit.exe時又會啟動diagcfg.exe。前功盡棄! 3/.把HKEY_LOCAL_MACHINE\software\classes\exefile\shell\open\command\的鍵值由原來的 C:\winnt\system32\DIAGCFG.EXE "%1" %*改為“%1” %* 。 4/.這時就可以刪除C:\winnt\system32\目錄下的diagcfg.exe了。切記不可先刪除這個文件,否則,就無法在系統中運行任何可執行文件了。 最後說一下:廣外女生木馬後台監聽端口為6267(默認),至於如何用fport查找廣外女生木馬端口和該木馬如何查找snfw.exe、kav9x.exe的進程,也就是“天網防火牆”和“金山毒霸”的進程,然後將其殺掉。在此我就不多羅嗦了,因為本人很笨,一直以來都很少用過殺毒軟件,最多也是幫別人裝的時候用過一下。