木马病毒的识别与消除方法

编者按：在电脑被感染的病毒中，木马类病毒是在网络上比较活跃，而且会经常给人们带来危害的祸根之一。在这里，我们向读者介绍一些常见木马类病毒的识别和清除方法，供网管员们在实践中参考。同时，也希望网管员们推荐一些根除其他病毒的有效方法。
 

广外女生
“广外女生”木马是2001年的十大木马之一，其可怕之处在于“广外女生”预备端被执行后，会每隔5分钟自动进行一次进程检查，看是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样的进程。如果发现就将该进程终止，这使得大家最常用的各种病毒防火墙、网络防火墙不能运行与监控。即便发现了该病毒的存在，也很难使用杀毒软件来进行查杀，因为杀毒软件查杀需要大量的时间，在这个时间内往往就被终止了进程。而且这个木马还有一个让人难以处理之处，即如果手工删除了这个程序的主文件，那么所有的EXE文件都打不开。因为它和EXE关联了，只要打开一个EXE的程序，就必须先检查它是否在运行，如果没有，就自动启动它，然后以参数传递方式打开此EXE程序。当手工删除之后，系统会找不到它，自然参数也就传递不了，也就不能打开任何EXE程序。
清除方法如下：
⒈使用“开始”→“运行”，输入“regedit”打开注册表；
⒉打开注册表HKEY_CLASSES_
ROOTexefileshellopencommand
值，然后不动，继续第三步；
⒊删除系统SYSTEM目录下面的DIAGCFG.EXE文件；
⒋修改注册表的HKEY_CLASSES
_ROOTexefileshellopencommand
值为“%1”%*；
⒌HKEY_LOCAL_MACHINE
SOFTWAREMicrosoftWindows
CurrentVersion RunServices，删除其中名称为“Diagnostic Configuration”的键值；
⒍关闭注册表。
 

AOL Trojan
要清除AOL Trojan木马程序，请按照以下步骤：
⒈在Windows系统下，取消下面文件的隐藏属性：C：americ~1.0buddy1~1.exe和C：Windowssystemnorton~1regist~1.exe；
⒉重新启动到MS-DOS模式，删除下面两个文件：C：americ~1.0buddy1~1.exe和C：Windowssystemnorton~1regist~1.exe；
⒊重新启动到Windows系统下，编辑win.ini文件，在“Windows”下面“run=”和“load=”都具有特洛伊木马程序的路径，必须清除它们，使成为：
run=
load=
修改完毕后，保存win.ini文件即可。
⒋打开注册表，找到目录：HKEY_
LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun，删除右边的WinProfile=C：command.exe；
⒌重新启动到Windows系统，就完成了AOL木马的清除。
 

聪明基因
“聪明基因”是国产木马，默认连接端口7511。
“聪明基因”的突出特点是采用了HTM文件图标，而且当你打开它时，还会自动调用IE，然后打开一个它在后台生成的文件。它采取的是和帮助关联的方式。
下面介绍手动清除方法：
⒈删除C：Windows下的MBBManager.exe和Explore32.exe，再删除C：Windowssystem下的editor.exe文件。
如果服务端已经运行，则使用进程管理软件终止MBBManager.exe进程，然后在Windows下将它删除，也可到DOS下删除MBBManager.exe，而editor.exe在Windows下可直接删除。
⒉展开注册表到HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun下，删除串值“MainBroad BackManager”，其键值为C：WindowsMBBManager.exe，每次在开机时就被加载运行，因此删掉它。
⒊恢复TXT文件关联“聪明基因”，将注册表HKEY_CLASSES_
ROOTtxtfileshellopencommand下的默认键值由C：Windows
NOTEPAD.EXE %1改为C：Windowssystemeditor.exe %1，因此要恢复成原值。
同理，到注册表的HKEY_LOCAL_
MACHINESoftwareCLASSEStxtfileshell
opencommand下，将默认键值由C：Windowssystemeditor.exe %1改回到C：WindowsNOTEPAD.EXE %1，这样就将TXT文件关联恢复过来了。
 

Acid Shiver v1.0+1.0Mod+imacid
清除Acid Shiver木马的过程有些复杂，可以按照以下的步骤进行清除：
⒈重新启动到DOS模式，删除C：Windowswintour.exe文件;
⒉再重新启动到Windows系统，打开注册表，找到目录：HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun，删除右边的Explorer=“C：WindowsMSGSVR16.EXE”，找到目录：HKEY_LOCAL_MACHINE
SOFTWAREMicrosoftWindowsCurrentVersion
RunServices，删除右边的Explorer=“C：WindowsMSGSVR16.EXE”；
⒊重新启动到DOS模式，删除C：Windowswintour.exe，然后回到Windows系统；
⒋打开注册表，找到目录：HKEY_
LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun，删除右边的Wintour=“C：WindowsWINTOUR.EXE”，找到目录：HKEY_LOCAL_MACHINESOFTWARE