广外女生木马手工清除方法

　　昨晚一位很要好的网友向我告急，说己中了广外女生木马怎么清除，这可是老家伙啦，想当年这马的功力竟然与冰河齐驱共架。而且要彻底清除的确也挺麻烦的！！花了一晚上时间终于帮朋友搞定了，总结了一下经验，来这也撒一把~``呵呵　　　　由于广外女生木马启动方式跟一般的木马不太一样，他非常狡猾把启动项目设置在了注册表的另外位置内，而且自动创建了好几个启动文件关联，这也就是一般杀毒软件不能彻底查杀他的原因之一。　　　　一，我先简单介绍一下木马喜欢藏身的地方。　　　　木马基本上采用了windows系统启动时自动加载应用程序的方法，包括有win.ini、system.ini和注册表等。　　　　1.潜伏在win.ini中　　木马想要达到控制或监视计算机的目的，就必须要运行，在win.in文件中，[WINDOWS]下面“run=”和“load=”行是windows启动时要自动加载运行的程序项目，于是潜伏在win.in中是木马感觉比较惬意的地方。大家不妨打开win.in来看看，在他的[WINDOWS]字段中有启动命令“run=”和“load=”，在正常情况下等号后面应该是空白的，不能有任何程序！如果有程序，比方说：　　　　run=c:\windows\diagcfg.exe　　load=c:\windows\diagcfg.exe　　　　这时你就要小心了，这个diagcfg就是广外女生木马！　　　　2.潜伏在system.ini中　　木马就象你肚子里的蛔虫，什么地方有空他就往什么地方钻。WINDOWS安装目录下的system.ini也是木马喜欢藏身的地方，打开这个文件，在该文件的[boot]字段中，正常情况下有一个shell=Explorer.exe 项（后面不跟任何程序），如果是shell=Explorer.exe diagcfg.exe ，那么恭喜你，你中彩了，后面的“diagcfg.exe”就是木马程序。现在有些木马还将explorer.exe文件与其他进程捆绑成一个文件，在这里是看不出他的破绽，更增加了他的隐蔽性。　　另外，在system.ini中的[386Enh]字段中要注意检查“driver=路径/程序名”这里也有可能被木马所利用。还有system.ini中的[mic]、[drivers32]字段，这些字段是起到加载驱动程序的作用，也是添加木马的好场所，可要注意哦！　　　　（哦——对了！考虑到都是抢惯肉了对杀马灭虫等还不太熟悉~```，在这里我把打开“system.ini”、“win.ini”的方法告诉你：开始/运行，输入msconfig/确定。运行windows自带的“系统配置实用程序”，自己在里面找吧。windows2000里没这个东西，你也可以在运行里输入：sysedit 来打开）　　　　3.凡是能自动加载的地方，木马都喜欢安家。winstart.bat也是一个能自动被windows加载运行的文件，他多数情况为应用程序及windows自动生成，在执行了win.com并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8健在选择逐步跟踪启动过程方式得知）。由于autoexec.bat的功能可以由winstart.bat代替完成，因此木马完全可以像在autoexec.bat中那样被加载运行，危险由此而来！　　　　4.内置到注册表中　　由于隐藏到以上方法木马很快就会被人查处，于是木马又打起了注册表的注意。注册表本身就非常庞大复杂，众多的启动项目及易掩人耳目。往往很多书中都会大惊小怪的告戒读者千万别动注册表，那很危险。我本人就很不同意这一观点！是非常不同意！！如果你学不会走路你就永远长不大！你怕摔交你就永远生长在婴儿期！！在windows系统有很多功能只有通过修改注册表才能调整。我建议在修改注册表之前先备份注册表或用ghost给整个系统备份，基本就可高枕无忧了。还是言归正传吧：　　隐蔽性强的木马都喜欢在注册表里做文章，所以一定要检查以下键值：　　HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run　　…………………………………………………………………………………\RunOnce　　…………………………………………………………………………………\RunOnceEx　　…………………………………………………………………………………\RunServices　　…………………………………………………………………………………\RunServicesOnce　　　　HKEY_CURRENT_USER\software\microsoft\windows\CurrentVersion\Run　　…………………………………………………………………………………\RunOnce　　…………………………………………………………………………………\RunOnceEx　　…………………………………………………………………………………\RunServices　　…………………………………………………………………………………\RunServicesOnce　　　　HKEY_USERS\.Default\software\microsoft\windows\CurrentVersion\Run　　…………………………………………………………………………………\RunOnce　　…………………………………………………………………………………\RunOnceEx　　…………………………………………………………………………………\RunServices　　…………………………………………………………………………………\RunServicesOnce　　　　上面这些主键下面的启动项目都可以成为木马的藏生之处，可要小心哦！如果是WINDOWS NT系统，那还的留心以下键值：　　HKEY_LOCAL_MACHINE\software\SAM ，正常情况SAM里面应该是空的。　　（我这里说的NT系统就是平常我们用的2000啦XP啦等..这些都属于NT平台）　　　　二.手工清除广外女生方法。　　　　1.广外女生木马是一个驻留、启动方法比较典型性的木马，我以win2000为例直接切入正体。 因为我只用2000，别的系统也差不多的啦，自己参照一下吧~`````　　如果一不小心运行了广外女生木马服务端会在C:\winnt\system32目录下增加一个文件“diagcfg.exe”，你也可以打开任务管理器查看，会发现其中有一个DIAGCFG。EXE的进程，这就是木马原身。但这时千万不能直接删除diagcfg.exe，否则系统就无法正常运行了。　　　　再到注册表看看他到底藏在哪儿。（用注册表监察工具regsnap查出，在此不在累述过程，因为这不是本文重点）　　HKEY_LOCAL_MACHINE\software\classes\exefile\shell\open\commandold value:string""%1" %*" 　　new value:string:"C:\winnt\system32\DIAGCFG.EXE "%1" %*"　　　　这个键值由原来的"%1" %*被修改为了C:\winnt\system32\DIAGCFG.EXE "%1" %*,广外女生为什么要这样修改呢？有什么作用呢？　　这就是运行可执行文件格式，被改为C:\winnt\system32\DIAGCFG.EXE "%1" %*之后每次再运行可执行文件时都要先执行C:\winnt\system32\DIAGCFG.EXE 这个程序。　　　　他的启动方法与一般木马不太一样，一般木马是在HKEY_\software\microsoft\windows\CurrentVersion\Run键值里加载自己的启动项目，但这种方式被杀毒软件所熟知，所以很容易查杀。而广外女生就比较狡猾了，他把启动项目设在了另外的位置，这也就是杀毒软件不容易查杀他的原因之一。　　　　2.好了，现在就开始手工清除他了，睁大眼睛看着！　　注意：清除广外女生木马的步骤次序不能颠倒，否则无法彻底清楚此木马！！！　　　　1/.开始/运行/“regedit”/确定。打开注册表。　　HKEY_LOCAL_MACHINE\software\classes\exefile\shell\open\command\，先不要修改，因为如果这时修改注册表的话，diagcfg.exe进程仍然会立即把他改回来。　　　　2/.打开“任务管理器”，找到diagcfg.exe进程，选中他按“结束进程”来关掉这个进程。注意：一定也不要先关进程再打开注册表，否则执行regedit.exe时又会启动diagcfg.exe。前功尽弃！　　　　3/.把HKEY_LOCAL_MACHINE\software\classes\exefile\shell\open\command\的键值由原来的 C:\winnt\system32\DIAGCFG.EXE "%1" %*改为“%1” %* 。　　　　4/.这时就可以删除C:\winnt\system32\目录下的diagcfg.exe了。切记不可先删除这个文件，否则，就无法在系统中运行任何可执行文件了。　　　　最后说一下：广外女生木马后台监听端口为6267（默认），至于如何用fport查找广外女生木马端口和该木马如何查找snfw.exe、kav9x.exe的进程，也就是“天网防火墙”和“金山毒霸”的进程，然后将其杀掉。在此我就不多罗嗦了，因为本人很笨，一直以来都很少用过杀毒软件，最多也是帮别人装的时候用过一下。