一个朋友告诉我他的机器中了冰河80b2,我登陆上去,在进程中发现.exe,但却找不到kernel32.exe、sysexplr.exe这两个文件,于是在注册表查找.exe,原来该版本的冰河在C:\WINDOWS\SYSTEM下产生两个无文件名的木马文件:[ .exe]、[ .exe],图标和服务端一样,是普通的DOS图标
如果是在WIN2K、NT下的目录是c:\winnt\system32,以下的WIN98相对等于winNT
清除方法:
(1)运行RGEEDIT,打开注册表
(2)使用进程管理工具中止木马进程[ .exe] (在WIN2K下时,只在运行安装后可以在进程中看到.exe,如果终止后重新启动,在进程中看不到.exe)
(3)删除木马文件[ .exe]、[ .exe]
(4)更改注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\――删除――sun]
@="C:\\windows\\SYSTEM\\ .exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\――删除――sunServices]
@="C:\\windows\\SYSTEM\\ .exe"
[HKEY_CLASSES_ROOT\*\――删除――Shell\open\command]
@="C:\\windows\\SYSTEM\\ .exe %1"
[HKEY_LOCAL_MACHINE\Software\CLASSES\*\――删除――Shell\open\command]
@="C:\\windows\\SYSTEM\\ .exe %1"
