清除雙關(guān)聯(lián)木馬“聰明基因”
“聰明基因”是國產(chǎn)木馬,除了擁有一般木馬所具有的功能外,其最可怕之處是其永久隱藏遠(yuǎn)程主機(jī)驅(qū)動(dòng)器的功能,如果控制端選擇了這個(gè)功能,那么受控端可就慘了,想找回驅(qū)動(dòng)器?嘿嘿,沒那么容易!服務(wù)端文件genueserver.exe,用的是HTM文件圖標(biāo),如果你的系統(tǒng)設(shè)置為不顯示文件擴(kuò)展名,那么你就會(huì)以為這是個(gè)HTM文件,很容易上當(dāng)哦。熱點(diǎn)網(wǎng)絡(luò)
“聰明基因”是文件關(guān)聯(lián)木馬,而且是雙關(guān)聯(lián)木馬!為什么這么說?看了下面的內(nèi)容你就知道了。
“聰明基因”服務(wù)端程序運(yùn)行后會(huì)生成三個(gè)文件,分別是:
C:\WINDOWS\MBBManager.exe
C:\WINDOWS\Explore32.exe
C:\WINDOWS\system\editor.exe
這三個(gè)文件用的都是HTM文件圖標(biāo),千萬不要以為它們是HTM文件!如果你的系統(tǒng)設(shè)置為顯示所有文件的擴(kuò)展名,你會(huì)發(fā)現(xiàn)它們都還有個(gè)“.exe”的尾巴,這說明它們是可執(zhí)行文件!
這三個(gè)文件又分別起什么作用呢?MBBManager.exe文件用來在啟動(dòng)時(shí)加載運(yùn)行,它是守護(hù)進(jìn)程(對木馬來說,如果客戶端向服務(wù)端的某一特定端口提出連接請求,服務(wù)端上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行,來應(yīng)答客戶端的請求,這個(gè)程序我們稱為守護(hù)進(jìn)程。對“聰明基因”而言,這個(gè)特定端口為7511)!Explore32.exe和editor.exe是干什么的呢?呵呵,它們分別用來和HLP文件、TXT文件關(guān)聯(lián),如果你發(fā)現(xiàn)并刪除了MBBManager.exe,并不會(huì)真正清除了它。一旦你打開幫助文件或文本文件,Explore32.exe和editor.exe將被激活!它將再次生成守護(hù)進(jìn)程MBBManager.exe!這就是一旦中了“聰明基因”很難清除干凈的原因!誰能想到它會(huì)關(guān)聯(lián)兩種文件類型呢?!我在第一次運(yùn)行該木馬研究時(shí)就是因此上當(dāng)?shù)模瑢BBManager.exe和editor.exe刪除并恢復(fù)了TXT文件關(guān)聯(lián)后,以為完全清除干凈了,但等我某天運(yùn)行了幫助文件后,我驚奇的發(fā)現(xiàn)“聰明基因”又回來了!我這才知道,“聰明基因”還關(guān)聯(lián)了HLP文件!
“聰明基因”清除方法:
1.刪除文件
先刪除C:\WINDOWS下的MBBManager.exe和Explore32.exe文件,再刪除C:\WINDOWS\system下的editor.exe文件。如果服務(wù)端已經(jīng)運(yùn)行,那么就得用進(jìn)程管理軟件終止MBBManager.exe這個(gè)進(jìn)程,然后在Windows下將它刪除。當(dāng)然,你也可以到純DOS下刪除這些文件。
2.刪除注冊表中木馬的自啟動(dòng)文件
到這里來刪除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MainBroad BackManager"="C:\\WINDOWS\\MBBManager.exe"
3.恢復(fù)TXT文件關(guān)聯(lián)
用記事本將如下內(nèi)容復(fù)制下來,并命名為任意名字的REG文件:
REGEDIT4
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@="Notepad %1"
[HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]
@="Notepad %1"
雙擊上面這個(gè)REG文件,在彈出的對話框中點(diǎn)擊“確定”就可以將這些內(nèi)容導(dǎo)入注冊表,從而將TXT文件關(guān)聯(lián)恢復(fù)過來。
4.恢復(fù)HLP文件關(guān)聯(lián)。
用記事本將如下內(nèi)容復(fù)制下來,并命名為任意名字的REG文件:
REGEDIT4
[HKEY_CLASSES_ROOT\hlpfile\shell\open\command]
@="C:\\WINDOWS\\WINHLP32.EXE %1"
[HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command]
@="C:\\WINDOWS\\WINHLP32.EXE %1"
雙擊上面這個(gè)REG文件,在彈出的對話框中點(diǎn)擊“確定”就可以將這些內(nèi)容導(dǎo)入注冊表,從而將HLP文件關(guān)聯(lián)恢復(fù)過來。好了,可以和聰明基因說BYEBYE了!熱點(diǎn)網(wǎng)絡(luò)
要特別注意的是,在你編制REG文件時(shí),“REGEDIT4”一定要大寫,并且它的后面一定要空一行,還有,“REGEDIT4”中的“4”和“T”之間一定不能有空格,否則將前功盡棄!許多朋友寫注冊表文件之所以不成功,就是因?yàn)闆]有注意到上面所說的內(nèi)容,這回該注意點(diǎn)嘍。請注意如果你是Win2000或WinXP用戶,請將“REGEDIT4”改為Windows Registry Editor Version 5.00。
最后,如果圖省事的話,可以下載木馬克星,它對付國產(chǎn)木馬最在行了
相關(guān)文章
卸載OICQ造成網(wǎng)上銀行不能連接的故障的解決方法
企業(yè)網(wǎng)上銀行的一用戶打來電話,說他的網(wǎng)上銀行不能連接,提示為“WINDOWS找不到TBrowser.exe。該程序用于打開HTML Document類型的文件”。2008-02-02