黑客攻防技术内幕-安全防入侵与防病毒基础(3)

作者： 来源： 添加时间：2006-5-23 8:22:55

3.2 常见特洛伊木马的清除方法(2)

 

3.2.3  冰河清除方法

1. 自动卸载

1.2以后版本的“冰河”本身提供了自动卸载的功能，只需在客户端选择【命令控制台】→【控制类命令】→【系统控制】→【自动卸载】命令即可自动卸载。只要先连接127.0.0.1，然后执行【自动卸载】命令就可以彻底卸载冰河。

2. 手动卸载

(1) 重新启动计算机，打开计算机后，按住键盘上的Shift键，以安全模式进入计算机。

(2) 检查注册表键值中：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

和

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

两处是否有同名的可疑程序名(默认安装为kernel32.exe或是kernel32.dll)，如果有则删除该键，如图3-9所示。

图3-9  冰河的启动键值

(3) 检查注册表键值：

HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的键值是否为\notepad.exe %1(是指计算机的Windows所在目录，如c:\windows)，“冰河”的默认设置是将该处键值修改为sysexplr.exe %1或rnudll32.exe%1，请自行做相应修正，如图3-10所示。

图3-10  去除TXT关联

(4) 检查注册表键值：

HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command处的键值是否为"%1" %*，如果不是则进行修正。

(5) 删除上述找到的可疑程序(默认文件名是目录下的kernel32.exe或者是kermel32.dll和sysexplr.exe，如果sysexplr.exe因正在运行而无法删除，可以在第6步完成之后立即删除)。

(6) 若是Windows 98系统，直接按两次Ctrl+Alt+Del键重新启动计算机；若是Windows NT系统，按Ctrl+Alt+Del键激活【任务管理器】并结束kernel32.exe进程，然后重新启动计算机。

注意：

应该在修改注册表之后再删除可疑程序，否则对方若将冰河设置为与EXE文件关联，需要在DOS下将regedit.exe改名为regedit.com后再进行手工清除。

3.2.4  BO2000手工清除方法

1. Windows 9X系统下的清除

(1) 运行注册表编辑器，找到如下键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

将有指向UMGT32~1.exe路径的键值删除。

(2) 重新启动计算机。

(3) 删除system下的UMGT32~1.exe程序。

2. Windows NT系统下的清除

(1) 在任务管理器中结束其对应的进程。

(2) 运行注册表编辑器，找到如下键值：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Remote Administration Service

将有指向UMGT~32.exe路径的键值删除。

(3) 新启动计算机。

(4) 删除system32下的UMGT32~1.exe程序。