一.104种清除木马完全攻略
1. 冰河v1.1 v2.2
冰河是国产最好的木马
清除木马v1.1
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
查找以下的两个路径,并删除
" C:\windows\system\ kernel32.exe"
" C:\windows\system\ sysexplr.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序
重新启动。OK
清除木马v2.2
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows。OK
2. Acid Battery v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer ="C:\WINDOWS\expiorer.exe"
关闭Regedit
重新启动到MSDOS方式
删除c:\windows\expiorer.exe木马程序
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
重新启动。OK
3. Acid Shiver v1.0 + 1.0Mod + lmacid
清除木马的步骤:
重新启动到MSDOS方式
删除C:\windows\MSGSVR16.EXE
然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
关闭Regedit
重新启动。OK
重新启动到MSDOS方式
删除C:\windows\wintour.exe然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
关闭Regedit
重新启动。OK
4. Ambush
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的zka = "zcn32.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\Windows\ zcn32.exe
重新启动。OK
5. AOL Trojan
清除木马的步骤:
启动到MSDOS方式
删除C:\ command.exe(删除前取消文件的隐含属性)
注意:不要删除真的command.com文件。
删除C:\ americ~1.0\buddyl~1.exe(删除前取消文件的隐含属性)
删除C:\ windows\system\norton~1\regist~1.exe(删除前取消文件的隐含属性)
打开WIN.INI文件
在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径,必须清除它们:
run=
load=
保存WIN.INI
还要改正注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的WinProfile = c:\command.exe
关闭Regedit,重新启动Windows。OK
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木马的步骤:
注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件
在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
如果不是"explorer.exe",那么那个文件就是木马程序,把它查找出来,删除。
保存退出system.ini
打开win.ini文件
在[WINDOWS]下面有个run=
如果你看到=后面有路径文件名,必须把它删除。
正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。
保存退出win.ini。
OK
7. AttackFTP
清除木马的步骤:
打开win.ini文件
在[WINDOWS]下面有load=wscan.exe
删除wscan.exe ,正确是load=
保存退出win.ini。
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Reminder="wscan.exe /s"
关闭Regedit,重新启动到MSDOS系统中
删除C:\windows\system\ wscan.exe
OK
8. Back Construction 1.0 - 2.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的"C:\WINDOWS\Cmctl32.exe"
关闭Regedit,重新启动到MSDOS系统中
删除C:\WINDOWS\Cmctl32.exe
OK
9. BackDoor v2.00 - v2.03
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的‘c:\windows\notpa.exe /o=yes‘
关闭Regedit,重新启动到MSDOS系统中
删除c:\windows\notpa.exe
注意:不要删除真正的notepad.exe笔记本程序
OK
10. BF Evolution v5.3.12
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的(Default)=" "
关闭Regedit,再次重新启动计算机。
将C:\windows\system\ .exe(空格exe文件)
OK
11. BioNet v0.84 - 0.92 + 2.21
0.8X版本是运行在Win95/98
0.9X以上版本有运行在Win95/98 和WinNT上两个软件
客户-服务器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑NT被感染的系统完全一样。
清除木马的步骤:
首先准备一张98的启动盘,用它启动后,进入c:\windows目录下,用attrib libupd~1.exe -h
命令让木马程序可见,然后删除它。
抽出软盘后重新启动,进入98下,在注册表里找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
的子键WinLibUpdate = "c:\windows\libupdate.exe -hide"
将此子键删除。
12. Bla v1.0 - 5.03
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Systemdoor = "C:\WINDOWS\System\mprdll.exe"
关闭Regedit,重新启动计算机。
查找到C:\WINDOWS\System\mprdll.exe和
C:\WINDOWS\system\rundll.exe
注意:不要删除C:\WINDOWS\RUNDLL.EXE正确文件。
并删除两个文件。
OK
13. BladeRunner
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
可以找到System-Tray = "c:\something\something.exe"
右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。
重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。
14. Bobo v1.0 - 2.0
清除木马v1.0
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的DirrectLibrarySupport ="C:\WINDOWS\SYSTEM\Dllclient.exe"
关闭Regedit,重新启动计算机。
DEL C:\Windows\System\Dllclient.exe
OK
清除木马v2.0
打开注册表Regedit
点击目录至:
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/
ICQ Accel是一个“假象“的主键,选中ICQ Accel主键并把它删除。
重新启动计算机。OK
15. BrainSpy vBeta
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
右边有 ??? = "C:\WINDOWS\system\BRAINSPY .exe"
???标签选是随意改变的。
关闭Regedit,重新启动计算机
查找删除C:\WINDOWS\system\BRAINSPY .exe
OK
16. Cain and Abel v1.50 - 1.51
这是一个口令木马
进入MS-DOS方式
查找到C:\windows\msabel32.exe
并删除它。OK
17. Canasson
清除木马的步骤:
打开WIN.INI文件
查找c:\msie5.exe,删除全部主键
保存win.ini
重新启动计算机
删除c:\msie5.exe木马文件
OK
18. Chupachbra
清除木马的步骤:
打开WIN.INI文件
[Windows]的下面有两个行
run=winprot.exe
load=winprot.exe
删除winprot.exe
run=
load=
保存Win.ini,再打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的‘System Protect‘ = winprot.exe
重新启动Windows
查找到C:\windows\system\ winprot.exe,并删除。
OK
19. Coma v1.09
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的‘RunTime‘ = C:\windows\msgsrv36.exe
重新启动Windows
查找到C:\windows\ msgsrv36.exe,并删除。
OK
20. Control
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的Load MSchv Drv = C:\windows\system\MSchv.exe
保存Regedit,重新启动Windows
查找到C:\windows\system\MSchv.exe,并删除。
OK
21. Dark Shadow
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\RunServices
删除右边的winfunctions="winfunctions.exe"
保存Regedit,重新启动Windows
查找到C:\windows\system\ winfunctions.exe,并删除。
OK
22. DeepThroat v1.0 - 3.1 + Mod (Foreplay)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
版本1.0
删除右边的项目‘System32‘=c:\windows\system32.exe
版本2.0-3.1
删除右边的项目‘SystemTray‘ = ‘Systray.exe‘
保存Regedit,重新启动Windows
版本1.0删除c:\windows\system32.exe
版本2.0-3.1
删除c:\windows\system\systray.exe
OK
23. Delta Source v0.5 - 0.7
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的项目:DS admin tool = C:\TEMPSERVER.exe
保存Regedit,重新启动Windows
查找到C:\TEMPSERVER.exe,并删除它。
OK
24. Der Spaeher v3
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的项目:explore = "c:\windows\system\dkbdll.exe "
保存Regedit,重新启动Windows
删除c:\windows\system\dkbdll.exe木马文件。
OK
25. Doly v1.1 - v1.7 (SE)
清除木马V1.1-V1.5版本:
这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到Win.ini项目。
首先,进入MS-DOS方式,删除三个木马程序,但V1.35版本多一个木马文件mdm.exe。
把下列各项全部删除:
C:\WINDOWS\SYSTEM\tesk.sys
C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe
c:\Program Files\MStesk.exe
c:\Program Files\Mdm.exe
重新启动Windows。
接着,打开win.ini文件
找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目,删除路径,改变为load=
保存win.ini文件。
最后,修改注册表Regedit
找到以下两个项目并删除它们
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = "C:\Program Files\MStesk.exe"
和
HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = "C:\Program Files\MStesk.exe"
再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss
这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。
关闭保存Regedit。
还有打开C:\AUTOEXEC.BAT文件,删除
@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Items\
del c:\win.reg
关闭保存autoexec.bat。
OK
清除木马V1.6版本:
该木马运行时,将不能通过98的正常操作关闭,只能RESET键。彻底清除步骤如下:
1.打开控制面板——添加删除程序——删除memory manager 3.0,这就是木马程序,但是它并不会把木马的EXE文件删除掉。
2.用98或DOS启动盘启动(用RESET键)后,转入C:\,编辑AUTOEXEC。BAT,把如下内容删除:
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
保存AUTOEXEC。BAT文件并返回DOS后,在C:\根目录下删除木马文件:
del sys.lon
del windows\startm~1\programs\startup\mdm.exe
del progra~1\mdm.exe
3.抽出软盘重新启动,进入98后,把c:\program files\目录下的memory manager 目录删除。
清除木马V1.7版本:
首先,打开C:\AUTOEXEC.BAT文件,删除
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
关闭保存autoexec.bat
然后打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
找到c:\windows\system\mdm.exe路径并删除这个项目
点击目录至:
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到"C:\windows\system\kernal32.exe"路径并删除这个项目
关闭保存Regedit。重新启动Windows。
最后,删除以下木马程序:
c:\sys.lon
c:\iecookie.exe
c:\windows\start menu\programs\startup\mdm.exe
c:\program files\mdm.exe
c:\windows\system\mdm.exe
c:\windows\system\kernal32.exe
注意:kernal32是A
OK
26. Donald Dick v1.52 - 1.55
清除木马V1.52-1.53版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\VxD\VMLDIR\
删除右边的项目:StaticVxD = "vmldir.vxd"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\System\vmldir.vxd
OK
清除木马V1.54-1.55版本:
这两个版本跟上面的版本只是默认文件名不同,其它都一样,
把vmldir.vxd改为intld.vdx即可。
27. Drat v1.0 - 3.0b
清除木马的步骤:
打开注册表Regedit
点击目录至:hkey_classes_root\exefile\shell\open\command
找到@=SHELL32 \"%1\" %*把它更改为@="%1" %*
关闭保存Regedit,重新启动Windows。
查找c:\windows\下shell32.*文件,并删除它。
OK
28. Eclipse 2000
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:bybt = "c:\windows\system\eclipse2000.exe"
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\
删除右边的项目:cksys = "c:\windows\system\ could be anything .exe"
关闭保存Regedit,重新启动Windows
查找到eclipse2000.exe木马文件,并删除
29. Eclypse v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Rnaapp ="C:\WINDOWS\SYSTEM\rmaapp.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\SYSTEM\rmaapp.exe
注意:不要删除Rnaapp.exe
OK
30. Executer v1
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
在右边的项目查找到"C:\windows\sexec.exe",并删除。
关闭保存Regedit,重新启动Windows
相应删除木马程序文件。
OK
31. FakeFTP beta
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Rundll32 = rundll3.tww /h
关闭保存Regedit,重新启动Windows
找到C:\windows\文件夹下的三个文件并删除它们
rundll3.bat - 9x.reg - nt.reg
OK
32. Forced Entry
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:MicrosoftRegistration32 = "C:\somepath \trojanhrs.exe"
关闭保存Regedit,重新启动Windows
由于路径容易改变,只要查找到trojanhrs.exe,并删除它。
33. GateCrasher v1.0 - 1.2
清除木马v1.0:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Explore=‘c:\windows\explore.exe‘
关闭保存Regedit,重新启动Windows
然后,删除相应的木马程序。
OK
清除木马v1.1:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Inet=‘EXPLORE.EXE‘
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
清除木马v1.2:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Command = ‘c:\windows\system.exe‘
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
34. Girlfriend v1.3x (Including Patch 1 and 2)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Windll.exe ="C:\windows\windll.exe"
Regedit里也保存着服务器的数据
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\General
删除General项目标题
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
35. Golden Retreiver v1.1b
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Task Manager="c:\mstask.exe"
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
36. Hack`a`Tack 1.0 - 2000
清除木马v1.0-1.2:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Explorer32 ="C:\windows\Expl32.exe"
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
清除木马v2000:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Configuration Wizard = c:\windows\cfgwiz32.exe
关闭保存Regedit,重新启动Windows
删除c:\windows\cfgwiz32.exe
OK
37. Hack99 KeyLogger
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:HKeyLog = "C:\Windows\System\HKeyLog.exe"
关闭保存Regedit,重新启动Windows
删除C:\Windows\System\HKeyLog.exe
OK
38. HostControl v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:RegClean = "c:\windows\inf\regcle32.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\inf\regcle32.exe
OK
39. Hvl Rat v5.30
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Explorer = "C:\WINDOWS\system\MSGSVR16.EXE"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\system\MSGSVR16.EXE
OK
40. ik97 v1.2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:ik = ‘c:\progra~1\ik\ik.exe‘
关闭保存Regedit,重新启动Windows
删除C:\Program Files\ik\ik.exe
OK
41. InCommand v1.0 - 1.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
找到右边的项目:AdvancedSettings = *
注意:*表示就是木马的存放路径与文件名,记下后删除此键。
关闭保存Regedit,重新启动Windows
按照刚才记下的木马路径与文件名删除木马程序。
42. IndocTrination v0.1 - v0.11
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce\
每项标题都包括Msgsrv16 ="Msgsrv16"项目
删除每个项目
关闭保存Regedit,重新启动Windows
删除C:\windows\system\msgserv16.exe
OK
43. inet v2.0 - 2.0n
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Explorer = "C:\WINDOWS\system\inet.exe"
关闭保存Regedit,重新启动Windows
删除"C:\WINDOWS\system\inet.exe"
删除"C:\WINDOWS\system\inet.dll"
OK
44. Infector v1.0 - 1.42
清除木马的步骤:
打开system.ini文件
找到shell=explorer.exe c:\path\to\trojan.exe项目
改为:shell=explorer.exe
保存关闭system.ini文件,重新启动Windows
删除c:\path\to\trojan.exe
OK
45. iniKiller v1.2 - 3.2 Pro
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Explore="C:\windows\bad.exe "
关闭保存Regedit,重新启动Windows
删除C:\windows\bad.exe
OK
46. Intruder
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:PPModule1 = ‘ppmod1.sys‘
关闭保存Regedit,重新启动Windows
删除C:\windows\system\ ppmod1.sys
删除C:\windows\system\ ppmod2.sys
OK
47. IRC3
清除木马的步骤:
打开win.ini文件
找到load=closew项目,更改为:load=
保存关闭win.ini,重新启动Windows
查找这两个文件‘rundlls.exe‘ 、‘closew.bat‘
并删除它们。
OK
48. Kaos v1.1 - 1.3
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Sys="c:\windows\shell32.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\shell32.exe
OK
49. Khe Sanh v2.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:TBoot0001="c:\windows\system\trjp.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\system\trjp.exe
OK
50. Kuang logger
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:K2logas.task ="C:\WINDOWS\SYSTEM\K2logas.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\SYSTEM\K2logas.exe
OK
51. Kuang Original - 0.34
清除木马v Original版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Temp$1.task = "c:\windows\system\temp$1.exe"
清除木马v 0.20-0.21版本:
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:K2PS.task = "c:\windows\system\k2ps.exe"
清除木马v 0.30-0.34版本:
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:K2PS_full.task = "c:\windows\system\k2ps_full.exe"
关闭保存Regedit,重新启动Windows
查找相对应的木马程序,并删除。
OK
52. Logger
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:??? = "C:\windows\system\logged.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\SYSTEM\ logged.exe
OK
53. Magic Horse
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SpoolerService="c:\windows\spoolsrv.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\spoolsrv.exe
OK
54. Malicious
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Policies\
删除右边的五个项目:DisableRegistryTools NoRun NoFind NoDesktop NoClose
关闭保存Regedit,重新启动Windows
OK
55. Masters Paradise
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SYSEDIT = c:\windows\ sysedit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的项目:Explorer = c:\......\agent.exe
关闭保存Regedit,重新启动Windows
查找到木马程序,并删除它们。
注意:c:\windows\system\下面的sysedit.exe文件是不是19KB,如果不是说明以被木马感染,删除它。
OK
56. Matrix v1.0 - 2.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:??? ="C:\WINDOWS\Wincfg.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\Wincfg.exe
OK
57. MBK
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
查找并删除右边的项目:Explorer =" "后面是"mbt.exe"
关闭保存Regedit,重新启动Windows
查找mbt.exe并删除
OK
58. Millenium v1.0 - 2.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Millenium = "C:\windows\system\reg66.exe "
关闭保存Regedit,重新启动Windows
删除C:\windows\system\reg66.exe
OK
59. Mine
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目: Windows = ‘c:\msdos98.exe‘
关闭保存Regedit,重新启动Windows
删除c:\msdos98.exe
打开win.ini文件
查找到run=c:\windows\uninstallms.exe
更改为:run=
关闭保存win.ini,重新启动Windows
del c:\msdos98.exe
del c:\windows\uninst~1.exe
del c:\windows\system\mine.exe
OK
60. MoSucker
清除木马的步骤:
打开system.ini文件
查找到shell=Explorer.exe unin0686.exe
更改为:shell= Explorer.exe
关闭保存system.ini,重新启动Windows
删除C:\windows\unin0686.exe
OK
61. Naebi v2.12 - 2.40
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\ICQ
v2.12删除右边的项目:path= "C:\windows\msramgr.exe "
v2.15删除右边的项目:path= "C:\windows\ msdll32.exe "
v2.19删除右边的项目:path= "C:\windows\ naebi219.exe "
v2.xx删除右边的项目:path= "C:\windows\ naebi219.exe "文件名可能还是naebi.exe , ns220.exe, ns227, ns231, ns234
关闭保存Regedit
v2.34和上面相同,但它在win.ini增加了启动
打开win.ini文件
把run=后面的路径删除
关闭保存win.ini,重新启动Windows
查找相应的木马程序,并删除
OK
62. NetController v1.08
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:System = ‘c:\windows\system.exe‘
关闭保存Regedit,重新启动Windows
删除c:\windows\system.exe
OK
63. NetRaider v0.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Rsrcnrs = ‘C:\windows\rsrcnrs.exe‘
关闭保存Regedit,重新启动Windows
删除C:\windows\rsrcnrs.exe
OK
64. NetSphere v1.0 - 1.31337
清除木马v1.0-1.30:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:NSSX ="C:\WINDOWS\system\nssx.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\****\Software\Microsoft\Windows\CurrentVersion\Run
删除项目同上。
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\system\nssx.exe
OK
清除木马v1.30-1.31337:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:ExecPowerProfile ="C:\WINDOWS\system\epp32.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\system\epp32.exe
OK
最新更新主题
月度关注热点
最新回复
≈☆缘☆≈ (2008-9-24 11:54:15)
清除木马v1.0:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SysProtect = "c:\windows\system\system.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\system\system.exe
OK
清除木马v2.0:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Netspy = "netspy.exe"
关闭保存Regedit,重新启动Windows
查找到netspy.exe,并删除
OK
66. NetTrojan v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:*** = "C:\WINDOWS\System\glide16.exe"
关闭保存Regedit
打开win.ini文件
查找到run=c:\windows\fxp.exe
把run=后面的路径删除
关闭保存win.ini,重新启动Windows
查找相应的木马程序,并删除
OK
67. Nirvana / VisualKiller v1.94 - 1.95
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:TheDoor = ‘c:\windows\fonts\ariel.exe‘
关闭保存Regedit,重新启动Windows
删除c:\windows\fonts\ariel.exe
OK
68. Phaze Zero v1.0b + 1.1
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:MsgServ = "msgsvr32.exe"
关闭保存Regedit,重新启动Windows
查找相应的木马程序,并删除
OK
69. Prayer v1.2 - 1.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SysFiles = "C:\WINDOWS\System\dlls32.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SysFiles = "C:\WINDOWS\System\dlls32.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\System\dlls32.exe
OK
70. PRIORITY (Beta)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
\
删除右边的项目:"PServer"= C:\Windows\System\PServer.exe
关闭保存Regedit,重新启动Windows
删除C:\Windows\System\PServer.exe
OK
71. Progenic Password Thief / Keylogger v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:pwt ="C:\WINDOWS\SYSTEM\pwt.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\SYSTEM\pwt.exe
OK
72. Progenic v1.0 -3.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Scandisk = "C:\WINDOWS\scandiskvr.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\scandiskvr.exe
OK
73. Prosiak beta - 0.70 b5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:Microsoft DLL Loader = "windll32.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\ windll32.exe
OK
74. Retrieve v1.3
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Microsoft Access ="C:\WINDOWS\access.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\access.exe
OK
75. Revenger v1.0 - 1.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:AppName ="C:\...\server.exe"
关闭保存Regedit,重新启动Windows
在c:\windows查找相应的木马程序server.exe,并删除
OK
76. Ripper
清除木马的步骤:
打开system.ini文件
将shell=explorer.exe sysrunt.exe
改为shell= explorer.exe
关闭保存system.ini,重新启动Windows
在c:\windows查找相应的木马程序sysrunt.exe,并删除
OK
77. Satans Back Door v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:sysprot protection ="C:\windows\sysprot.exe"
关闭保存Regedit,重新启动Windows
删除C:\windows\sysprot.exe
OK
78. Schwindler v1.82
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:User.exe = "C:\WINDOWS\User.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\User.exe
OK
79. Setup Trojan (Sshare) +Mod Small Share
这个共享隐藏C盘的木马
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\
选择右边有‘C$‘的项目,并全部删除
关闭保存Regedit,重新启动Windows
OK
80. ShadowPhyre v2.12.38 - 2.X
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:WinZipp = "C:\WINDOWS\SYSTEM\WinZipp.exe /nomsg"
或者WinZip = "C:\WINDOWS\SYSTEM\WinZip.exe /nomsg"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\ WinZipp.exe或者C:\WINDOWS\ WinZip.exe
OK
81. Share All
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\
这里你将看到所有被木马共享出来的你的硬盘符号,把它们一个个删除掉。
82. ShitHeap
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:recycle-bin = "c:\windows\system\recycle-bin.exe"
或者recycle-bin = "c:\windows\system.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\system\recycle-bin.exe或者c:\windows\system.exe
OK
83. Snid v1 - 2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:System-tray = ‘c:\windows\temp$01.exe‘
关闭保存Regedit,重新启动Windows
删除c:\windows\temp$01.exe
OK
84. Softwarst
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:NetApp = C:\windows\system\winserv.exe
关闭保存Regedit,重新启动Windows
删除C:\windows\system\winserv.exe
OK
85. Spirit 2000 Beta - v1.2 (fixed)
清除木马v Beta版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:internet = "c:\windows\netip.exe "
关闭保存Regedit
打开win.ini文件
查找到run=c:\windows\netip.exe
更改为:run=
关闭保存win.ini,重新启动Windows
删除c:\windows\netip.exe和c:\windows\netip.exe
OK
清除木马v 1.2版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SystemTray = "c:\windows\windown.exe "
关闭保存Regedit,重新启动Windows
删除c:\windows\windown.exe
OK
清除木马v 1.2(fixed)版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Server 1.2.exe = "c:\windows\server 1.2.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\server 1.2.exe
OK
86. Stealth v2.0 - 2.16
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Winprotect System = "C:\WINDOWS\winprotecte.exe
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\winprotecte.exe
OK
87. SubSeven - Introduction
清除木马v1.0 - 1.1:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SystemTrayIcon = "C:\WINDOWS\SysTrayIcon.Exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\SysTrayIcon.Exe
OK
清除木马v1.3 - 1.4 - 1.5:
打开win.ini文件
查找到run=nodll
更改为run=
关闭保存win.ini,重新启动Windows
删除c:\windows\nodll.exe
OK
清除木马v1.6:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SystemTray = "SysTray.Exe"
关闭保存Regedit,重新启动Windows
删除C:\windows\systray.exe
OK
清除木马v1.7:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
\
查找到右边的项目:C:\windows\kernel16.dl,并删除
关闭保存Regedit,重新启动Windows
删除C:\windows\kernel16.dl
OK
清除木马v1.8:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
\
查找到右边的项目:c:\windows\system.ini.,并删除
关闭保存Regedit。
打开win.ini文件
查找到run= kernel16.dl
更改为run=
关闭保存win.ini。
打开system.ini文件
查找到shell=explorer.exe kernel32.dl
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除C:\windows\kernel16.dl
OK
清除木马v1.9 - 1.9b:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
\
删除右边的项目:RegistryScan = "rundll16.exe"
关闭保存Regedit,重新启动Windows
删除C:\windows\rundll16.exe
OK
清除木马v2.0:
打开system.ini文件
查找到shell=explorer.exe trojanname.exe
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除c:\windows\rundll16.exe
OK
清除木马v2.1 - 2.1 Gold + SubStealth- 2.1.3 Mod + 2.1.3 MUIE + 2.1 Bonus:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
\
删除右边的项目:WinLoader = MSREXE.EXE
hkey_classes_root\exefile\shell\open\command
将右边的项目更改为:@="\"%1\" %*"
关闭保存Regedit。
打开win.ini文件
查找到run=msrexe.exe和
load=msrexe.exe
更改为run=
load=
关闭保存win.ini。
打开system.ini文件
查找到shell=explore.exe msrexe.exe
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除C:\windows\ msrexe.exe
C:\windows\system\systray.dll
OK
清除木马v2.2b1:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
删除右边的项目:加载器 = "c:\windows\system\***"
注:加载器和文件名是随意改变的
关闭保存Regedit。
打开win.ini文件
更改为run=
关闭保存win.ini。
打开system.ini文件
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除相对应的木马程序
OK
88. Telecommando 1.54
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SystemApp="ODBC.EXE"
关闭保存Regedit,重新启动Windows
删除C:\windows\system\ ODBC.EXE
OK
89. The Unexplained
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:InetB00st = "C:\WINDOWS\TEMPINETB00ST.EXE"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\TEMPINETB00ST.EXE
OK
90. Thing v1.00 - 1.60
清除木马v1.00-1.12:
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:(Default) = "C:\some\path\here\thing.exe"
也有一些是在:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\SessionManager\Known16DLLs\
删除右边的项目:wsasrv.exe = "wsasrv.exe"
关闭保存Regedit,重新启动Windows
删除C:\some\path\here\thing.exe
OK
清除木马v 1.20版本:
进入MS_DOS方式:
del winspc13.exe
del ms097.exe
打开system.ini文件
查找到shell=explorer.exe ms097.exe
更改为:shell=explorer.exe
关闭保存system.ini,重新启动Windows
OK
清除木马v1.50版本:
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
这个项目的路径和文件名是随机改变的,察看有可疑的文件路径,将它删除。
关闭保存Regedit。
打开system.ini文件
查找到shell=explorer.exe后面是木马文件
更改为:shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除相应的木马文件
OK
清除木马v1.50版本:
进入MS_DOS方式:
del winspc13.exe
del ms097.exe
打开system.ini文件
查找到shell=explorer.exe后面是木马文件
更改为:shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除相应的木马文件
OK
91. Transmission Scount v1.1 - 1.2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Kernel16" = C:\WINDOWS\Kernel16.exe
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\Kernel16.exe
OK
92. Trinoo
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目: System Services = service.exe
关闭保存Regedit,重新启动Windows
删除C:\windows\system\service.exe
OK
93. Trojan Cow v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SysWindow = "C:\WINDOWS\Syswindow.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\Syswindow.exe
OK
94. TryIt
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Rc5Dec = C:\Program Files\Internet Explorer\_.exe -guistart
关闭保存Regedit,重新启动Windows
删除C:\Program Files\Internet Explorer\_.exe
OK
95. Vampire v1.0 - 1.2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Sockets ="c:\windows\system\Sockets.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\system\Sockets.exe
OK
96. WarTrojan v1.0 - 2.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Kernel32 = "C:\somepath\server.exe"
关闭保存Regedit,重新启动Windows
删除C:\somepath\server.exe
OK
97. wCrat v1.2b
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:MS Windows System Explorer ="C:\WINDOWS\sysexplor.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\sysexplor.exe
OK
98. WebEx (v1.2, 1.3, and 1.4)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:RunDl32 = "C:\windows\system\task_bar"
关闭保存Regedit,重新启动Windows
删除C:\windows\system\task_bar.exe和c:\windows\system\msinet.ocx
OK
99. WinCrash v2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:WinManager = "c:\windows\server.exe"
关闭保存Regedit
打开win.ini文件
查找到run=c:\windows\server.exe
更改为:run=
保存关闭win.ini,重新启动Windows
删除c:\windows\server.exe
OK
100. WinCrash
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:MsManager ="SERVER.EXE"
关闭保存Regedit,重新启动Windows
删除C:\windows\system\ SERVER.EXE
OK
101. Xanadu v1.1
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SETUP = "c:\somepath\setup.exe"
关闭保存Regedit,重新启动Windows
删除c:\somepath\setup.exe
OK
102. Xplorer v1.20
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:PCX = "C:\WINDOWS\system\PCX.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\system\PCX.exe
OK
103. Xtcp v2.0 - 2.1
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:msgsv32 = "C:\WINDOWS\system\winmsg32.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\system\winmsg32.exe
OK
104. YAT
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:Batterieanzeige = ‘c:\pathnamehere\server.exe /nomsg‘
关闭保存Regedit,重新启动Windows
删除c:\pathnamehere\server.exe
OK
≈☆缘☆≈ (2008-9-24 11:55:41)
csrss.exe病毒的清除方法,这里给出两个手动清除方法。
注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。
首先先看下csrss.exe进程的说明:
Code:
进程文件:csrss or csrss.exe
进程名称:Client/Server Runtime Server Subsystem
进程类别:系统进程
进程描述:客户端服务子系统,用以控制Windows图形相关子系统。
csrss.exe病毒按病毒分类属于蠕虫病毒,它会以csrss.exe为文件名拷贝自己的副本文件到Windows目录下,并添加下面的注册表键值,以便每次Windows启动蠕虫会自动运行:HKLMSoftwareMicrosoftWindowsCurrentVersionRunSystemSARS32, with value "C:WINNTcsrss.EXE"。
好了,了解完它的背景,该来对付这个小东西了^-^
方法一:
第一步,结束病毒进程csrss.exe,注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。
第二步,找到以下文件并删除(这些文件并非都有,可能只有几个,但只要有,就删!)
Code:
>> System\dxdiag.com
>> System\finder.com
>> System\msconfig.com
>> C:\autorun.inf
>> Programfiles\Internet Explorer\iexplore.com
>> Programfiles\Common Files\iexplore.pif
>> Windows\1.com
>> Windows\csrss.exe
>> Windows\ExERoute.exe
>> Windows\explorer1.com
>> Windows\finder.com
>> Windows\Debug\Debug\Program.exe
>> system\command.pif
>> Systemr\egedit.com
>> System\rundll32.com
同时查看“开始”---“程序”中是否有以下连接安全测试.lnk、计算机安全中心.lnk、系统信息管理器.ink,删!
第三步,打开注册表编辑器:
(1)分别查找“finder.com”、“rundll32.com”、“command.pif”的信息,把找到值中的“finder.com”、“rundll32.com”、“command.pif”改为“rundll32.exe”
(2)查找“iexplore.com”的信息,把找到值中的“iexplore.com”改为“iexplore.exe”;查找“iexplore.pif”的信息,把找到值中类似“%ProgramFiles%\Common Files\iexplore.pif”的信息改为类似“%ProgramFiles%\Internet Explorer\iexplore.exe”
(3)查找“explorer1.com”的信息,把找到值中的“explorer1.com”改为“explorer.exe”
第四步,删除病毒启动项:
Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\CSRSS.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\CSRSS.exe"
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
删除[HKEY_CLASSES_ROOT\Applications\iexplore.com]项和[HKEY_CLASSES_ROOT\winfiles]项
第五步,重启计算机,完成。
方法二:
大家都有WINRAR吧?找到Windows\csrss.exe,在csrss.exe上右击鼠标,选择“添加到压缩文件”,这时WINRAR会出现提示窗“压缩文件名和参数”,选择“压缩后删除源文件”,确定,生成压缩文件,这时发现csrss.exe没了,不要高兴太早,现在只是把冲在最前面的病毒体删掉了,而那些幕后指使者们还在逍遥自在。运行注册表医生(要英文原版的,菜单单词都很简单),选择扫描修复所有错误,待修复完成后,重新启动计算机,csrss.exe病毒就被彻底赶出你的爱机了
≈☆缘☆≈ (2008-9-24 11:56:52)
第一步:制作免疫补丁(P处理内容)
echo > c:\windows\Logo1.exe
echo > c:\windows\Logo_1.exe
echo > c:\windows\Logo1_1.exe
echo > c:\windows\Logo1_.exe
echo > c:\windows\0Sy.exe
echo > c:\windows\1Sy.exe
echo > c:\windows\2Sy.exe
echo > c:\windows\3Sy.exe
echo > c:\windows\4Sy.exe
echo > c:\windows\5Sy.exe
echo > c:\windows\6Sy.exe
echo > c:\windows\7Sy.exe
echo > c:\windows\8Sy.exe
echo > c:\windows\9Sy.exe
echo > c:\windows\1.com
echo > c:\windows\rundll32.exe
echo > c:\windows\rundl132.exe
echo > c:\windows\vDll.dll
echo > c:\windows\exerouter.exe
echo > c:\windows\EXP10RER.com
echo > c:\windows\finders.com
echo > c:\windows\Shell.sys
echo > c:\windows\smss.exe
echo > c:\windows\kill.exe
echo > c:\windows\sws.dll
echo > c:\windows\sws32.dll
echo > c:\windows\tool.exe
echo > c:\windows\tool2005.exe
echo > c:\windows\tool2006.exe
echo > c:\windows\tools.exe
echo > c:\windows\finders.exe
attrib c:\windows\Logo1.exe +s +r +h
attrib c:\windows\Logo_1.exe +s +r +h
attrib c:\windows\Logo1_1.exe +s +r +h
attrib c:\windows\Logo1_.exe +s +r +h
attrib c:\windows\0Sy.exe +s +r +h
attrib c:\windows\1Sy.exe +s +r +h
attrib c:\windows\2Sy.exe +s +r +h
attrib c:\windows\3Sy.exe +s +r +h
attrib c:\windows\4Sy.exe +s +r +h
attrib c:\windows\5Sy.exe +s +r +h
attrib c:\windows\6Sy.exe +s +r +h
attrib c:\windows\7Sy.exe +s +r +h
attrib c:\windows\8Sy.exe +s +r +h
attrib c:\windows\9Sy.exe +s +r +h
attrib c:\windows\1.com +s +r +h
attrib c:\windows\rundl132.exe +s +r +h
attrib c:\windows\rundll32.exe +s +r +h
attrib c:\windows\vDll.dll +s +r +h
attrib c:\windows\exerouter.exe +s +r +h
attrib c:\windows\EXP10RER.com +s +r +h
attrib c:\windows\finders.com +s +r +h
attrib c:\windows\Shell.sys +s +r +h
attrib c:\windows\smss.exe +s +r +h
attrib c:\windows\kill.exe +s +r +h
attrib c:\windows\sws.dll +s +r +h
attrib c:\windows\sws32.dll +s +r +h
attrib c:\windows\tool.exe +s +r +h
attrib c:\windows\tool2005.exe +s +r +h
attrib c:\windows\tool2006.exe +s +r +h
attrib c:\windows\tools.exe +s +r +h
attrib c:\windows\finders.exe +s +r +h
==================================================================
第二步:巩固免疫补丁,禁止免疫补丁运行。(注册表内容)
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地
User\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun]
"**delvals."=" "
"1"="Logo1.exe"
"2"="Logo_1.exe"
"3"="Logo1_1.exe"
"4"="Logo1_.exe"
"5"="0Sy.exe"
"6"="1Sy.exe"
"7"="2Sy.exe"
"8"="3Sy.exe"
"9"="4Sy.exe"
"10"="5Sy.exe"
"11"="6Sy.exe"
"12"="7Sy.exe"
"13"="8Sy.exe"
"14"="9Sy.exe"
"15"="1.com"
"16"="rundll32.exe"
"17"="rundl132.exe"
"18"="vDll.dll"
"19"="exerouter.exe"
"20"="EXP10RER.com"
"21"="finders.com"
"22"="Shell.sys"
"23"="smss.exe"
"24"="kill.exe"
"25"="sws.dll"
"26"="sws32.dll"
"27"="tool.exe"
"28"="tool2005.exe"
"29"="tool2006.exe"
"30"="tools.exe"
"31"="finders.exe"
===============================================
第三步,加强系统自身安全性(P处理内容)
@echo off
echo 程序运行中......
echo y|cacls e:\ /p everyone:r
echo y|cacls f:\ /p everyone:r
(P处理内容说明:禁止在E盘,F盘跟目录下创建任何文件及文件夹)
===========================================================
第四步:增强文件权限安全,防止病毒感染(P处理内容)
e:
cd e:\netgames
cacls *.exe /t /e /g /everyone:r
cacls *.exe /t /e /p /everyone:r
cacls *.dll /t /e /g /everyone:r
cacls *.dll /t /e /p /everyone:r
(P处理内容说明:该批处理会把e:\netgames文件夹下所有的exe和dll文件属性设为只读,同步更新软件会复制文件的只读属性,文件在只读状态下无法修改和保存,但不影响更新和删除(服务器上也必须做这一步)
附:有人问了,用了第三步,那管理员要在其盘符下创建文件夹怎么办?不用着急,运行下面的P处理就解决了。
@echo off
echo 程序运行中......
echo y|cacls e:\ /g everyone:f
echo y|cacls f:\ /g everyone:f
≈☆缘☆≈ (2008-9-24 11:57:49)
手工删除:
一、 结束病毒进程
鼠标右键点击“任务栏”,选择“任务管理器”。点击菜单“查看”->“选择列”,在弹出的对话框中选择“PID(进程标识符)”,并点击“确定”。
找到映象名称为“LSASS.exe”,并且用户名不是“SYSTEM”的一项,记住其PID号。
点击“开始”-》“运行”,输入“CMD”,点击“确定”打开命令行控制台。输入“ntsd –c q -p (PID)”,比如我的计算机上就输入“ntsd –c q -p 1464”。
二、 删除病毒文件
打开“我的电脑”,设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件:
C:\Program Files\Common Files\INTEXPLORE.pif、
C:\Program Files\Internet Explorer\INTEXPLORE.com、
C:\WINDOWS\EXERT.exe、
C:\WINDOWS\IO.SYS.BAK、
C:\WINDOWS\LSASS.exe、
C:\WINDOWS\Debug\DebugProgram.exe、
C:\WINDOWS\system32\dxdiag.com、
C:\WINDOWS\system32\MSCONFIG.COM、
C:\WINDOWS\system32\regedit.com
如果硬盘有其他分区,则在其他分区上点击鼠标右键,选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件。
三、删除注册表中的其他^^信息
这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。
将Windows目录下的“regedit.exe”改名为“regedit.com”并运行,删除以下项目:
HKEY_CLASSES_ROOT\WindowFiles、
HKEY_CURRENT_USER\Software\VB and VBA Program Settings、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项、
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项。
将HKEY_CLASSES_ROOT\.exe的默认值修改为“exefile”
将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command的默认值修改为“C:\Program Files\Internet Explorer\IEXPLORE.EXE”
将HKEY_CLASSES_ROOT\ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\htmlfile\shell\open\command和HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默认值修改为“IEXPLORE.EXE”。
重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕。
≈☆缘☆≈ (2008-9-24 11:58:35)
1.网卡出现2个IP一个本机IP。一个为网关IP!引起网内IP冲突。导致断线!
2.运行arp-a 查看1次,网关MAC地址就变1次
3.在各个盘根目录生成autorun.inf和setup.exe 2个文件
4.病毒长时间运行后,机器变卡!并且弹出运行7.exe文件错误信息
5.系统出现1.exe和CMD.DLL 等进程
6.打开IE,先经过http://a.d3a.us/……才转入正确网址。或者直接关闭IE!
7.不定时弹出一些sex站和广告站!具体发现2个:http://35012.com/tj.htm和http://www.22595.com/sms.htm
8.在C:\WINDOWS\下生成或改动
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\system.ini
C:\WINDOWS\win.log
C:\WINDOWS\mppds.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\wsvs.exe
C:\WINDOWS\wiaservc.log
C:\WINDOWS\wiadebug.log
C:\WINDOWS\0.log
C:\WINDOWS\
在C:\WINDOWS\Registration\下生成或改动
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{19668ED0-5E6D-4522-82F9-8272DE3CD759}.crmlog
在C:\WINDOWS\system\下生成或改动
C:\WINDOWS\system\1.exe
C:\WINDOWS\system\CMD.DLL
C:\WINDOWS\system\taskmgr.exe.tmp
C:\WINDOWS\system\IceHBO.dll
C:\WINDOWS\system\taskmgr.exe
C:\WINDOWS\system\7.exe
C:\WINDOWS\system\C.dll
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\system\internat.exe.tmp
C:\WINDOWS\system\internat.exe
C:\WINDOWS\system\SYSTEM32.vxd
C:\WINDOWS\system\WPC..DLL
C:\WINDOWS\system\icedate.dat
在C:\WINDOWS\system32\下生成或改动
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\ProcSpy.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\wsvs.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32C:\WINDOWS\system32\
9.传播速度特快!本网吧80台机!基本是1台中毒!30分钟内感染全网!草死造毒的全家
10.数据包异常!发送包明显小于接收包,无动作观察5分钟。发送为9000左右,接收为430万之多
11.和本机器用户名密码极其服务好象没关系,全关(设置复杂密码)一样中!
12.不能穿透还原(我用DF6.0测试)
13.有时候IE在正常网站上方会出现一个广告图片(SEX类,打开后链接地址为http://www.86vod.com/index.htm)
14.正常网站出现广告链接图片!原因病毒是在网页源文件最上行增加:<iframe src=http://a.d3a.us/1/ width=0 height=0 frameborder=0></iframe> 代码
解决办法:
不用拔网线.也不用断电!
1.路由中封掉下面2个IP:
222.180.137.22
58.215.65.146
≈☆缘☆≈ (2008-9-24 11:59:39)
这个病毒的新变种,盗取几个流行游戏的密码,瑞星防火墙挡不住,杀毒可以发现,一旦运行直接破坏瑞星,(关闭服务,并用乱码填写瑞星的exe文件进行破坏)即使杀毒后不修复注册表系统仍然无法正常使用....
病毒症状
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上.
该病毒新建如下文件:
c:\program files\common files\INTEXPLORE.pif
c:\program files\internet explorer\INTEXPLORE.com
%SYSTEM\debug\debugprogram.exe
%SYSTEM\system32\Anskya0.exe
%SYSTEM\system32\dxdiag.com
%SYSTEM\system32\MSCONFIG.com
%SYSTEM\system32\regedit.com
%SYSTEM\system32\LSASS.exe
%SYSTEM\system32\EXERT.exe
解决方法
1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-》“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)",比如我的计算机上就输入"ntsd –c q -p 1064".
2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.
删除如下几个文件:
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.
3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。
将Windows目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目:
HKEY_CLASSES_ROOT\WindowFiles
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
下面的 Check_Associations项
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下面的ToP项
将HKEY_CLASSES_ROOT\.exe的默认值修改为
"exefile"(原来是windowsfile)
将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
的默认值修改为
"C:\Program Files\Internet Explorer\iexplore.exe" %1"
(原来是intexplore.com)
将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
\shell\OpenHomePage\Command 的默认值修改为
"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com)
将HKEY_CLASSES_ROOT \ftp\shell\open\command
和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1"
(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
将HKEY_CLASSES_ROOT \htmlfile\shell\open\command
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为
"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)
重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕.
≈☆缘☆≈ (2008-9-24 12:00:29)
解决方法:
1 杀毒前关闭系统还原:
右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件:
打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
重启计算机 然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[进入安全模式:重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
2 SREng 删除如下各项:
启动项目 -->注册表 的如下项
[
Code:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ravtask><C:\Progra~1\Eset\iexpl0re.exe> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{1A404685-7563-4d02-B0F6-58B308A406A9}><c:\docume~1\admini~1\locals~1\temp\vyvorqfe.dll> []
启动项目 -->服务-->Win32服务应用程序下的
Code:
[Windows DHCP Service / WinDHCPsvc]
<C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
手动删除如上涉及的病毒文件
Code:
C:\Progra~1\Eset\iexpl0re.exe
c:\docume~1\admini~1\locals~1\temp\vyvorqfe.dll
c:\windows\windhcp.ocx
≈☆缘☆≈ (2008-9-24 12:01:29)
关于木马病毒Trojan.PSW.Misc(LSASS)的分析
这个病毒具有木马病毒双重性质.不过说是木马较为贴切些。(以下测试结果在XP系统下所得)
下面是对此木马的分析报告:
技术特点分析:
1.采用系统文件隐藏方式隐藏程序文件.
2.采用多种启动方式,主要有:文件关联、autorun.inf、程序文件关联启动
3.注册表中添加启动项目
4.停止杀软实时监控模式.
如果删除方法不当将导致如下情况 : (这些状况也可以认为此木马带有病毒性质了)
1.导致D盘无法双击打开
2.导致浏览器无法打开.
3.导致所有exe程序无法打开.
4.导致杀软监控模块损坏.
木马运行过程分析:
1.生成如下文件:
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Winsock32.DLL.SCF
D:\autorun.inf
D:\command.com
2.在注册表中生成如下项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open\command
3.在注册表中添加如下项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\shell\open\command\: ""C:\Program Files\common~1\INTEXPLORE.pif""
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif\LocalizedString: 49 4E 54 45 58 50 4C 4F 52 45 00 00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ToP: "C:\WINDOWS\LSASS.exe"
4.在注册表中修改如下键值: (上面的项目是原来的,紧靠着的下面的是修改之后的值)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\: "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\: "WindowFiles"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\: ""C:\Program Files\Internet Explorer\INTEXPLORE.com" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\: ""C:\Program Files\Internet Explorer\iexplore.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\: ""C:\Program Files\Internet Explorer\INTEXPLORE.com""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command\: ""C:\Program Files\Internet Explorer\INTEXPLORE.com" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command\: ""C:\Program Files\Internet Explorer\INTEXPLORE.com" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command\: ""C:\Program Files\common~1\INTEXPLORE.pif" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command\: ""C:\Program Files\common~1\INTEXPLORE.pif" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\: "IEXPLORE.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\: "INTEXPLORE.pif"
注意压缩包解压后,里面的文件有文件是隐藏模式下的,请取消所有隐藏模式方才可以看见.
产生一个进程c:\windows\lsass进程.任务管理器可见
Trojan.PSW.Misc.Gen专杀工具 2006-5-23更新 下载http://www.mys530.com/rs/zs/Trojan.PSW.Misc.Gen.rar
近日发现Trojan.PSW.Misc.Gen出现N多变种,由于我最近一直在筹备病毒应急中心,所以专杀工具可能无法及时更新,请大家把病毒样本及时上报给各大杀毒厂商!
此病毒对瑞星杀毒及防火墙有极强的杀伤力!并且修改注册表系统无法正常运行!本专杀可以清除病毒,并修复系统.
≈☆缘☆≈ (2008-9-24 12:02:32)
症状:D盘双击打不开,里面有autorun.inf和pagefile.com文件
做这个病毒的人也太强了,在安全模式用Administrator一样解决不了!经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个,搞得你无法双击打开D盘。C盘里盘里的就多了!
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe(忘了是不是这个名字了,红色图标有传奇世界图标的)
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
对了,看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不要运行任何程序,要不就又启动了,包括双击磁盘
还有一个头号文件!WINLOGON.EXE!做了这么多工作目的就是要干掉她!!!
C:\Windows\WINLOGON.EXE
这个在进程里可以看得到,有两个,一个是真的,一个是假的。
真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM,
而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。
这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会
呆在你的进程里! 我现在所知道的就这些,要是不放心,就最好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的, 连系统还原夹里都有!! 这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,所有的这些文件全会自己补充回来!
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!
然后注销! 重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了,不知这个是真还是假,小心为好。 到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把autorun.inf和pagefile.com删掉,
然后再到C盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过! 然后再注销。
我在奋战过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
然后,到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com 嘿嘿 我也会用com文件,然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*
这样exe文件就可以运行了。 如果不会打命令,只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。
但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。(应该是Windows下的1.com文件。),最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件“1.com”的方法:
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
≈☆缘☆≈ (2008-9-24 12:04:34)
档案编号:CISRT2006081
病毒名称:Worm.Win32.Delf.bf(Kaspersky)
病毒别名:Worm.Nimaya.d(瑞星)
Win32.Trojan.QQRobber.nw.22835(毒霸)
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播
技术分析
==========
又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
%System%\drivers\spoclsv.exe
创建启动项:
[Copy to clipboard]
CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
修改注册表信息干扰“显示所有文件和文件夹”设置:
[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
在各分区根目录生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
[Copy to clipboard]
CODE:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
结束一些对头的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令删除管理共享:
[Copy to clipboard]
CODE:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone
将自身捆绑在被感染文件前端,并在尾部添加标记信息:
QUOTE:
.WhBoy{原文件名}.exe.{原文件大小}.
与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。
另外还发现病毒会覆盖少量exe,删除.gho文件。
病毒还尝试使用弱密码访问局域网内其它计算机:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%\drivers\spoclsv.exe3. 删除病毒文件:
%System%\drivers\spoclsv.exe4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:\setup.exe
X:\autorun.inf5. 删除病毒创建的启动项:
[Copy to clipboard]
CODE:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
≈☆缘☆≈ (2008-9-24 12:05:07)
下面让我们看看这个病毒的详细分析
作者:killvirus
setup.exe
File size:22886 bytes
SHA-160: 5D3222D8AB6FC11F899EFF32C2C8D3CD50CBD755
MD5 : 9749216A37D57CF4B2E528C027252062
CRC-32 : DE81BD8A
加壳方式:UPack
编写语言:Borland Delphi 6.0 - 7.0
感染方式:恶意网页传播,其它木马下载,局域网传播,感染移动存储设备
尝试关闭窗口
QQKav
QQAV
天网防火墙进程
VirusScan
网镖杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
木馬清道夫
QQ病毒注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
小沈Q盗杀手
pjf(ustc)
IceSword
尝试关闭进程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
删除以下启动项
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting
ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
禁用以下服务
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc
搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件,并记有标记
WINDOWS
Winnt
System Volume Information
Recycled
Windows NT
Windows Update
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus
Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
删除.GHO文件 <-------注意这点
添加以下启动位置
\Documents and Settings\All Users\Start Menu\Programs\Startup\Documents and Settings\All Users\「开始」菜单\程序\启动\WINDOWS\Start Menu\Programs\Startup\WINNT\Profiles\All Users\Start Menu\Programs\Startup\
监视记录QQ和访问局域网文件记录:c:\test.txt,试图QQ消息传送
试图用以下口令访问感染局域网文件(GameSetup.exe)
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
aaaa
patrick
pat
administrator
root
sex
god
foobar
secrettest
test123
temp
temp123
win
pc
asdf
pwd
qwer yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
Administrator
Guest
admin
Root
所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
删除隐藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y
创建启动项:
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe
禁用文件夹隐藏选项
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
海色最新测试过结果:病毒22,886字节,头部写入病毒代码22,838字节,并在最尾部添加.WhBoy原文件名.exe.原文件字节数
≈☆缘☆≈ (2008-9-24 12:07:59)
下面给大家介绍些安全工具
最佳的75个安全工具
在2000年的5、6月间,nmap-hackers邮件列表中发起了最佳安全工具的评选活动,活动取得了成功,最终由1200名Nmap用户评选出了50个最佳安全工具,评选结果发布在insecure.org网站,得到了网友们的普遍认可。时隔三年,nmap-hackers邮件列表中又发起了同样的评选活动,1854个用户参与了此次活动,每个用户最多可以选择8个最佳工具,并且这次评选出的最佳安全工具由50个增加到了75个。
因为是在nmap-hackers邮件列表中做出的评选,因此没有把nmap安全扫描器(http://www.insecure.org/nmap/)评选在内。这次评选出来的75个最佳安全工具在网络安全领域都是一些很有代表性的软件,对于那些在网络安全方面不知从何处开始的新手们来说,这对他们有相当的参考价值。
工具:Nessus(最好的开放源代码风险评估工具)
网址:http://www.nessus.org/
类别:开放源码
平台:Linux/BSD/Unix
简介:Nessus是一款可以运行在Linux、BSD、Solaris以及其他一些系统上的远程安全扫描软件。它是多线程、基于插入式的软件,拥有很好的GTK界面,能够完成超过1200项的远程安全检查,具有强大的报告输出能力,可以产生HTML、XML、LaTeX和ASCII文本等格式的安全报告,并且会为每一个发现的安全问题提出解决建议。
工具:Ethereal(网络协议检测工具)
网址:http://www.ethereal.com/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Ethereal是一款免费的网络协议分析程序,支持Unix、Windows。借助这个程序,你既可以直接从网络上抓取数据进行分析,也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。你能交互式地浏览抓取到的数据包,查看每一个数据包的摘要和详细信息。Ethereal有多种强大的特征,如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。
工具:Snort(免费的入侵检测系统)
网址:http://www.snort.org/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Snort是一款轻量级的网络入侵检测系统,能够在IP网络上进行实时的流量分析和数据包记录。它不仅能进行协议分析、内容检索、内容匹配,而且能用于侦测诸如缓冲溢出、隐秘端口扫描、CGI攻击、SMB探测、操作系统指纹识别等大量的攻击或非法探测。Snort使用灵活的规则去描述哪些流量应该被收集或被忽略,并且提供一个模块化的探测引擎。
工具:Netcat(网络瑞士军刀)
网址:http://www.atstake.com/research/tools/network_utilities/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:一个简单而有用的工具,透过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具,能够直接由其它程序和脚本轻松驱动。同时,它也是一个功能强大的网络调试和探测工具,能够建立你需要的几乎所有类型的网络连接,还有几个很有意思的内置功能。
工具:TCPDump/WinDump(用于网络监测和数据收集的优秀嗅探器)
网址:http://www.tcpdump.org/,http://windump.polito.it/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Tcpdump是一款众人皆知和受人喜欢的基于命令行的网络数据包分析和嗅探工具。它能把匹配规则的数据包的包头给显示出来。你能使用这个工具去查找网络问题或者去监视网络上的状况。WinDump是Tcpdump在Windows平台上的移植版。
工具:Hping2(类似ping的网络探测工具)
网址:http://www.hping.org/
类别:开放源码
平台:Linux/BSD/Unix
简介:hping2能发送自定义的ICMP/UDP/TCP包到目标地址并且显示包的响应情况。它有一个方便的traceroute模式,并且支持IP分片。这个工具在traceroute、ping和探测防火墙后的主机时特别有用。
工具:DSniff(一流的网络审计和渗透测试工具)
网址:http://naughty.m&#111nkey.org/~dugsong/dsniff/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:DSniff是由Dug Song开发的一套包含多个工具的软件套件。其中,dsniff、filesnarf、mailsnarf、msgsnarf、rlsnarf和webspy可以用于监视网络上我们感兴趣的数据(如口令、e-mail、文件等),arpspoof、dnsspoof和macof能很容易地载取到攻击者通常难以获取的网络信息(如二层交换数据),sshmitm和webmitm则能用于实现重写SSH和HTTPS会话达到m&#111nkey-in-the-middle攻击。在http://www.datanerds.net/~mike/dsniff.html可以找到Windows平台上的移植版。
工具:GFI LANguard(商业化的网络安全扫描软件)
网址:http://www.gfi.com/lannetscan/
类别:商业
平台:Windows
简介:LANguard扫描网络并且得出诸如每台机器的服务包等级、缺少的安全补丁、打开的共享、开放的端口、正在运行的服务和应用程序、注册表键值、弱口令、用户和组等扫描信息的报告。扫描结果输出为一个HTML格式的报告,报告能够自定义。
工具:Ettercap(为你的交换环境提供更多的安全)
网址:http://ettercap.sourceforge.net/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Ettercap是一款以太网环境下的网络监视、拦载和记录工具,支持多种主动或被动的协议分析(甚至跟加密相关的SSH、HTTPS等),有数据插入、过滤、保持连接同步等多种功能,也有一个能支持多种嗅探模式的、强大而完整的嗅探套件,支持插件,能够检查网络环境是否是交换局域网,并且能使用主动或被动的操作系统指纹识别技术让你了解当前局域网的情况。
工具:Whisker/Libwhisker(CGI缺陷扫描软件和库)
网址:http://www.wiretrip.net/rfp/p/doc.asp/d21.htm
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Whisker是一款非常好的HTTP服务器缺陷扫描软件,能扫描出大量的已知安全漏洞,特别是些危险的CGI漏洞。Libwhisker是一个用perl编写的由Whiskerr使用的程序库,通过它你可以创建自己HTTP扫描器。
工具:John the Ripper(格外强大、灵活、快速的多平台哈希口令破解器)
网址:http://www.openwall.com/john/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:John the Ripper是一个快速的口令破解器,支持多种操作系统,如Unix、DOS、Win32、BeOS和OpenVMS等。它设计的主要目的是用于检查Unix系统的弱口令,支持几乎所有Unix平台上经crypt函数加密后的口令哈希类型,也支持Kerberos AFS和Windows NT/2000/XP LM哈希等。
工具:OpenSSH/SSH(访问远程计算机的一种安全方法)
网址:http://www.openssh.com/,http://www.ssh.com/commerce/index.html
类别:开放源码/商业
平台:Linux/BSD/Unix/Windows
简介:SSH(Secure Shell)是一款用来登录远程服务器并在远程服务器上执行命令的程序,在缺少安全防护的网络上它能给两台互不信任的主机间提供安全可靠的加密通讯。X11连接和其他任意的TCP/IP端口连接都可以通过SSH进行数据封装转发到一个安全的通道里。SSH开发的本意是用于代替rlogin、rsh和rcp这些不安全的程序,以及为rdist和rsync提供安全通道。需要注意的是,OpenSSH是SSH的替代软件,SSH对于某些用途是要收费的,但OpenSSH总是免费。
工具:Sam Spade(Windows平台上的免费网络查询工具)
网址:http://www.samspade.org/ssw/
类别:免费软件
平台:Windows
简介:SamSpade提供了一个友好的GUI界面,能方便地完成多种网络查询任务,它开发的本意是用于追查垃圾邮件制造者,但也能用于其它大量的网络探测、网络管理和与安全有关的任务,包括ping、nslookup、whois、dig、traceroute、finger、raw HTTP web browser、DNS zone transfer、SMTP relay check、website search等工具,在它的网站还有大多数查询工具的一个在线版本(http://www.samspade.org/t/)。
工具:ISS Internet Scanner(应用层风险评估工具)
网址:http://www.iss.net/products_services/enterprise_protection
/vulnerability_assessment/scanner_internet.php
类别:商业
平台:Windows
简介:互联网扫描器(Internet Scanner)始于1992年一个小小的开放源代码扫描器,它是相当不错的,但价格昂贵,使用开源软件Nessus来代替它也是一个不错的选择。
工具:Tripwire(功能强大的数据完整性检查工具)
网址:http://www.tripwire.com/
类别:商业
平台:Linux/BSD/Unix/Windows
简介:Tripwire是一款文件和目录完整性检查工具,它能帮助系统管理员和用户监视一些重要文件和目录发生的任何变化。通过制定一些基本的系统策略,在文件遭到破坏或篡改时由Tripwire通知系统管理员,从而能及时地做出处理。Tripwire的商业版本非常昂贵,在Tripwire.Org网站有一个免费的开放源代码的Linux版本,UNIX用户也可能需要考虑AIDE(http://www.cs.tut.fi/~rammer/aide.html),它是Tripwire的免费替代品。
工具:Nikto(一款非常全面的web扫描器)
网址:http://www.cirt.net/code/nikto.shtml
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Nikto是一款能对web服务器多种安全项目进行测试的扫描软件,能在200多种服务器上扫描出2000多种有潜在危险的文件、CGI及其他问题。它也使用LibWhiske库,但通常比Whisker更新的更为频繁。
工具:Kismet(强大的无线嗅探器)
网址:http://www.kismetwireless.net/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Kismet是一款802.11b网络嗅探和分析程序,功能有:支持大多数无线网卡,能通过UDP、ARP、DHCP数据包自动实现网络IP阻塞检测,能通过Cisco Discovery协议列出Cisco设备,弱加密数据包记录,和Ethereal、tcpdump兼容的数据包dump文件,绘制探测到的网络图和估计网络范围。
工具:SuperScan(Windows平台上的TCP端口扫描器)
网址:http://www.foundstone.com/index.htm?subnav=resources/
navigation.htm&subcontent=/resources/proddesc/superscan.htm
类别:免费
平台:Windows
简介:SuperScan是一款具有TCP connect端口扫描、Ping和域名解析等功能的工具,能较容易地做到对指定范围内的IP地址进行ping和端口扫描。源代码不公开。
工具:L0phtCrack 4(Windows口令审计和恢复程序)
网址:http://www.atstake.com/research/lc/
类别:商业
平台:Linux/BSD/Unix/Windows
简介:L0phtCrack试图根据从独立的Windows NT/2000工作站、网络服务器、主域控制器或Active Directory上正当获取或者从线路上嗅探到的加密哈希值里破解出Windows口令,含有词典攻击、组合攻击、强行攻击等多种口令猜解方法。
工具:Retina(eEye公司的风险评估扫描工具)
网址:http://www.eeye.com/html/Products/Retina/index.html
类别:商业
平台:Windows
简介:像上面提到的Nessus和ISS Internet Scanner一样,Retina的功能也是用于扫描网络内所有的主机并且报告发现的每一个缺陷。
工具:Netfilter(当前Linux内核采用的包过滤防火墙)
网址:http://www.netfilter.org/
类别:开放源码
平台:Linux
简介:Netfilter是一款功能强大的包过滤防火墙,在标准的Linux内核内得到实现,iptables是防火墙配置工具。它现在支持有状态或无状态检测的包过滤,支持所有种类的NAT和包分片。相应的,对于非Linux平台上的防火墙,OpenBSD平台上有pf,UNIX平台上有ipfilter,Windows平台上有Zone Alarm个人防火墙。
工具:traceroute/ping/telnet/whois(基本命令)
网址:
类别:免费
平台:Linux/BSD/Unix/Windows
简介:当我们使用大量的高水平的工具来辅助安全审计工作时,别忘了这几个最基本的工具。我们每个人都应非常熟悉这几个工具的用法,几乎所有的操作系统上都附带有这几个工具,不过Windows平台上没有whois工具,并且traceroute改名为tracert。
工具:Fport(增强的netstat)
网址:http://www.foundstone.com/index.htm?subnav=resources/
navigation.htm&subcontent=/resources/proddesc/fport.htm
类别:免费
平台:Windows
简介:Fport能显示主机上当前所有打开的TCP/IP、UDP端口和端口所属的进程,因此通过使用它能即刻发现未知的开放端口和该端口所属的应用程序,是一款查找木马的好工具。不过,Fport仅支持Windows系统,在许多UNIX系统上有一个netstat命令实现类似功能,Linux系统上用"netstat -pan"命令。源代码不公开。
工具:SAINT(安全管理员的综合网络工具)
网址:http://www.saintcorporation.com/saint/
类别:商业
平台:Linux/BSD/Unix
简介:Saint是一款商业化的风险评估工具,但与那些仅支持Windows平台的工具不同,SAINT运行在UNIX类平台上,过去它是免费并且开放源代码的,但现在是一个商业化的产品。
工具:Network Stumbler(免费的Windows平台802.11嗅探器)
网址:http://www.stumbler.net/
类别:免费
平台:Windows
简介:Netstumbler是最有名的寻找无线接入点的工具,另一个支持PDA的WinCE平台版本叫Ministumbler。这个工具现在是免费的,仅仅支持Windows系统,并且源代码不公开,而且该软件的开发者还保留在适当的情况下对授权协议的修改权。UNIX系统上的用户可以使用Kismet来代替。
工具:SARA(安全管理员的辅助工具)
网址:http://www-arc.com/sara/
类别:开放源码
平台:Linux/BSD/Unix
简介:SARA是一款基于SATAN安全扫描工具开发而来的风险评估工具,每月更新两次。
工具:N-Stealth(web服务器扫描工具)
网址:http://www.nstalker.com/nstealth/
类别:商业
平台:Windows
简介:N-Stealth是一款商业化的Web服务器安全扫描软件,通常它比whisker、nikto等免费的web扫描器升级的更为频繁。N-Stealth开发商宣称的"超过20,000条的缺陷和exploit数据"和"每天新增大量的缺陷检查"是非常可疑的。我们也要注意到,在nessus、ISS、Retina、SAINT和SARA等所有常见的风险评估工具里已含有web扫描组件,不过它们可能没有N-Stealth这样灵活易用和更新频繁。n-stealth不公开源代码。
工具:AirSnort(802.11 WEP密码破解工具)
网址:http://airsnort.shmoo.com/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:AirSnort是一款无线局域网密钥恢复工具,由Shmoo小组开发。它监视无线网络中的传输数据,当收集到足够多的数据包时就能计算出密钥。
工具:NBTScan(从Windows网络上收集NetBIOS信息)
网址:http://www.inetcat.org/software/nbtscan.html
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:NBTscan是一个用于扫描网络上NetBIOS名字信息的程序。这个程序对给出范围内的每一个地址发送NetBIOS状态查询,并且以易读的表格列出接收到的信息,对于每个响应的主机,它列出它的IP地址、NetBIOS计算机名、登录用户名和MAC地址。
工具:GnuPG/PGP(保护你的文件和通信数据的先进加密程序)
网址:http://www.gnupg.org/,http://www.pgp.com/
类别:开放源码/商业
平台:Linux/BSD/Unix/Windows
简介:PGP是由Phil Zimmerman开发的著名加密程序,它使用公钥加密算法和常规的加密技术相结合,能将加密后的文件安全地从一地传递到另一地,从而保护用户的数据免于窃听或其他的安全风险。GnuPG是遵照PGP标准开发的开源程序,不同的是,GnuPG是永远免费的,而PGP对于某些用途要收费。
工具:Firewalk(高级的traceroute)
网址:http://www.packetfactory.net/projects/firewalk/
类别:开放源码
平台:Linux/BSD/Unix
简介:Firewalk使用类似traceroute的技术来分析IP包的响应,从而测定网关的访问控制列表和绘制网络图。2002年10月,这个一流的工具在原来的基础上进行了重新开发。需要注意到的是,Firewalk里面的大多数功能也能由Hping2的traceroute选项来实现。
工具:Cain & Abel(穷人的L0phtcrack)
网址:http://www.oxid.it/cain.html
类别:免费
平台:Windows
简介:Cain & Abel是一个针对Microsoft操作系统的免费口令恢复工具。它通过如下多种方式轻松地实现口令恢复:网络嗅探、破解加密口令(使用字典或强行攻击)、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议等。源代码不公开。
工具:XProbe2(主动操作系统指纹识别工具)
网址:http://www.sys-security.com/html/projects/X.html
类别:开放源码
平台:Linux/BSD/Unix
简介:XProbe是一款测定远程主机操作系统类型的工具。它依靠与一个签名数据库的模糊匹配以及合理的推测来确定远程操作系统的类型,利用ICMP协议进行操作系统指纹识别是它的独到之处。
工具:SolarWinds Toolsets(大量的网络发现、监视、攻击工具)
网址:http://www.solarwinds.net/
类别:商业
平台:Windows
简介:SolarWinds包含大量适合系统管理员做特殊用途的工具,与安全相关的工具包括许多的网络发现扫描器(network discovery scanner)和一个SNMP强力破解器。
工具:NGrep(方便的包匹配和显示工具)
网址:http://www.packetfactory.net/projects/ngrep/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:NGrep在网络层实现了GNU grep的大多数功能,基于pcap,可以使你通过指定扩展的正则表达式或十六进制表达式去匹配网络上的数据流量。它当前能够识别流经以太网、PPP、SLIP、FDDI、令牌网和回环设备上的TCP、UDP和ICMP数据包,并且和其他常见的嗅探工具(如tcpdump和snoop)一样,理解bpf过滤机制。
工具:Perl/Python(脚本语言)
网址:http://www.perl.org,http://www.python.org/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:当我们使用那些已经开发好的安全工具来处理任务时,别忘了能自己写出(或修改)安全程序也是一件非常重要的事情。利用Perl和Python能非常容易地写出用于系统测试、exploit和修补的脚本程序,使用包含Net::RawIP和协议实现等模块的CPAN(Comprehensive Perl Archive Network:http://www.cpan.org/)或类似的档案能帮助我们比较容易地进行相关的开发。
工具:THC-Amap(应用程序指纹识别扫描器)
网址:http://www.thc.org/releases.php
类别:开放源码
平台:Linux/BSD/Unix
简介:由THC开发的Amap是一个功能强大的扫描器,它通过探测端口响应的应用程序指纹数据来识别应用程序和服务,远甚于通过缺省端口号来判断应用程序和服务的方法。
工具:OpenSSL(最为重要的SSL/TLS加密库)
网址:http://www.openssl.org/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:OpenSSL项目是共同努力开发出来的一个健全的、商业级的、全开放的和开放源代码的工具包,用于实现安全套接层协议(SSL v2/v3)和传输层安全协议(TLS v1)以及形成一个功效完整的通用加密库。该项目由全世界范围内志愿者组成的团体一起管理,他们使用Internet去交流、设计和开发这个OpenSSL工具和相关的文档。
工具:NTop(网络使用状况监测软件)
网址:http://www.ntop.org/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Ntop是一款显示网络使用状况的流量监测软件,类似于UNIX平台上监视系统进程的top命令。在交互模式下,ntop会将网络的使用状况显示在用户的终端上;在Web模式下,ntop会做为一个web服务器,创建包含网络状况的HTML网页返回给用户。
工具:Nemesis(命令行式的UNIX网络信息包插入套件)
网址:http://www.packetfactory.net/projects/nemesis/
类别:开放源码
平台:Linux/BSD/Unix
简介:Nemesis项目是为了开发一个UNIX/Linux系统上基于命令行的、方便人们使用的IP栈,它可以自定义数据包、插入数据包、进行协议攻击等,是一个很好的测试防火墙、入侵检测系统、路由器和其他网络设备的工具。如果你对Nemesis感兴趣,那么你也可能需要看看hping2,这两者补相互之不足。
工具:LSOF(列出打开的文件)
网址:ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/
类别:开放源码
平台:Linux/BSD/Unix
简介:LSOF是针对Unix的诊断和分析工具,它能显示出由系统里正在运行的进程所打开的文件,也能显示出每一个进程的通讯socket。
工具:Hunt(Linux平台上高级的包嗅探和会话劫持工具)
网址:http://lin.fsid.cvut.cz/~kra/index.html#HUNT
类别:开放源码
平台:Linux
简介:Hunt能监视、劫持、重设网络上的TCP连接,在以太网上使用才有作用,并且含有监视交换连接的主动机制,以及包括可选的ARP转播和劫持成功后的连接同步等高级特征。
工具:Honeyd(你个人的honeynet,http://www.honeynet.org/)
网址:http://www.citi.umich.edu/u/provos/honeyd/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Honeyd是一个能在网络上创建虚拟主机的小小后台程序,虚拟主机能被配置成运行任意的服务,并且洽当的服务TCP特性以致他们看起来就像是运行在某个特定版本的操作系统上。Honeyd能在一个模拟的局域网环境里让一台主机配有多个地址,并且可以对虚似主机进行ping、traceroute。虚拟主机上任何类型的服务都可以依照一个简单的配置文件进行模拟。Honeyd也可以对一台主机做代理服务,而不是模拟它。
工具:Achilles(可以修改http会话包的代理程序)
网址:http://packetstormsecurity.nl/filedesc/achilles-0-27.zip.html
类别:开放源码
平台:Windows
简介:Achilles是一个设计用来测试web应用程序安全性的工具。它是一个代理服务器,在一个HTTP会话中扮演着"中间人"(man-in-the-middle)的角色。一个典型的HTTP代理服务器将在客户浏览器和web服务器间转发数据包,但Achilles却载取发向任一方的HTTP会话数据,并且在转发数据前可以让用户修改这些数据。
工具:Brutus(网络认证的强行破解工具)
网址:http://www.hoobie.net/brutus/
类别:免费
平台:Windows
简介:Brutus是一款对远程服务器的网络服务进行口令猜解的工具,支持字典攻击和组合攻击,支持的网络应用包括HTTP、POP3、FTP、SMB、TELNET、IMAP、NTP等。源代码不公开。UNIX系统上的THC-Hydra有类似的功能。
工具:Stunnel(一个多种用途的SSL加密外壳)
网址:http://www.stunnel.org/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Stunnel程序被设计用来做为本地客户端和远程服务器间的SSL加密外壳。它能在POP2、POP3、IMAP等使用inetd后台进程的服务器上增加SSL功能,并且不会影响到程序源代码。它使用OpenSSL或SSLeay库建立SSL会话连接。
工具:Paketto Keiretsu(极端的TCP/IP)
网址:http://www.doxpara.com/paketto
类别:开放源码
平台:Linux/BSD/Unix
简介:Paketto Keiretsu是一组使用新式的不常见的策略去操作TCP/IP网络的工具集合,开发的最初本意是为了在现有TCP/IP架构里去实现一些功能,但现在已经远远超出了最初的本意。包含的工具有:Scanrand,一个罕见的快速的网络服务和拓朴发现系统;Minewt,一个NAT/MAT路由器;linkcat,把以太网链路做为标准的输入输出;Paratrace,不产生新的连接就能追踪网络路径;Phentropy,使用OpenQVIS在三维拓朴空间里能绘制出任意总量的数据源图形。
工具:Fragroute(破坏入侵检测系统最强大的工具)
网址:http://www.m&#111nkey.org/~dugsong/fragroute/
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Fragroute能够截取、修改和重写向外发送的报文,实现了大部分的IDS攻击功能。Fragroute起重要作用的是一个简单的规则设置语言,以它去实现延迟、复制、丢弃、碎片、重叠、打印、重排、分割、源路由或其他一些向目标主机发送数据包的攻击。这个工具开发的本意是去测试入侵检测系统、防火墙、基本的TCP/IP栈的行为。像Dsniff、Libdnet一样,这个优秀的工具也是由Dug Song开发的。
工具:SPIKE Proxy
网址:http://www.immunitysec.com/spikeproxy.html
类别:开放源码
平台:Linux/BSD/Unix/Windows
简介:Spike Proxy是一个开放源代码的HTTP代理程序,用于发现web站点的安全缺陷。它是Spike应用程序测试套件(http://www.immunitysec.com/spike.html)的一部份,支持SQL插入检测、web站点检测、登录表单暴力破解、溢出检测和字典穷举攻击检测等。
工具:THC-Hydra(网络认证的破解工具)
网址:http://www.thc.org/releases.php
类别:开放源码
平台:Linux/BSD/Unix
简介:这个工具能对需要网络登录的系统进行快速的字典攻击,包括FTP、POP3、IMAP、Netbios、Telnet、HTTP Auth、LDAP NNTP、VNC、ICQ、Socks5、PCNFS等,支持SSL,并且现在是Nessus风险评估工具的一部份。
其他的25个最佳安全工具:
OpenBSD,http://www.openbsd.org/:安全可靠的操作系统。
TCP Wrappers,ftp://ftp.porcupine.org/pub/security/index.html:一流的IP访问控制和日志的实现机制。
pwdump3,http://www.polivec.com/pwdump3.html:获取本地或远程Windows主机的口令哈希,而不管是否安装了syskey。
LibNet,http://www.packetfactory.net/libnet/: 允许程序员去构造和插入网络数据包的高水平开发函数库.
IpTraf,http://cebu.mozcom.com/riker/iptraf/: IP网络监控软件。
Fping,http://www.fping.com/:一次可以ping多个IP地址的扫描程序。
Bastille,http://www.bastille-linux.org/:增强系统安全性的脚本程序,支持Linux, Mac OS X和HP-UX操作系统。
Winfingerprint,http://winfingerprint.sourceforge.net/: 一款基于Win32的高级远程系统扫描器。
TCPTraceroute,http://michael.toren.net/code/tcptraceroute/:使用TCP SYN包实现traceroute的工具。
Shadow Security Scanner,http://www.safety-lab.com/en2/products/1.htm:一款商业化的风险评估工具。
pf,http://www.benzedrine.cx/pf.html:OpenBSD系统内很有特色的包过滤防火墙。
LIDS,http://www.lids.org/:Linux内核上的入侵检测和入侵防御系统。
hfnetchk,http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/tools/tools/hfnetchk.asp:微软发布的用于检查网络上Windows主机补丁安装情况的工具。
etherape,http://etherape.sourceforge.net/:继流量监测软件etherman之后又一个支持unix的图形化网络状况监测软件。
dig,http://www.isc.org/products/BIND/:Bind附带的DNS查询工具。
Crack/Cracklib,http://www.users.dircon.co.uk/~crypto/:一流的本地口令破解器。
cheops/cheops-ng,http://www.marko.net/cheops/,http://cheops-ng.sourceforge.net/:绘制本地或远程网络的网络图,并且也能识别主机的操作系统类型。
zone alarm,http://www.zonelabs.com/:Windows平台上的个人防火墙软件。
Visual Route,http://www.visualware.com/visualroute/index.html:获取traceroute/whois数据,并且绘制出数据包经过的网络路线在世界地图上的位置。
The Coroner's Toolkit (TCT),http://www.fish.com/tct/:运行于Unix系统上的文件系统检查及紧急修复工具集。
tcpreplay,http://tcpreplay.sourceforge.net/:能把tcpdump或snoop保存下来的流量监测文件在任意点进行回放的工具。
snoop,http://www.spitzner.net/snoop.html:Solaris系统附带的网络嗅探工具。
putty,http://www.chiark.greenend.org.uk/~sgtatham/putty/:Windows平台上优秀的SSH客户端。
pstools,http://www.sysinternals.com/ntw2k/freeware/pstools.shtml:一套用于管理Windows系统的免费命令行工具。
arpwatch,http://www-nrg.ee.lbl.gov/:主要用来检测mac地址和ip地址对应关系的工具。
flb_2001 (2008-10-15 21:13:23)
ms08026 (2008-11-10 20:21:08)