清除双关联木马“聪明基因”

“聪明基因”是国产木马,除了拥有一般木马所具有的功能外,其最可怕之处是其永久隐藏远程主机驱动器的功能,如果控制端选择了这个功能,那么受控端可就惨了,想找回驱动器?嘿嘿,没那么容易!服务端文件genueserver.exe,用的是HTM文件图标,如果你的系统设置为不显示文件扩展名,那么你就会以为这是个HTM文件,很容易上当哦。热点网络

  “聪明基因”是文件关联木马,而且是双关联木马!为什么这么说?看了下面的内容你就知道了。

  “聪明基因”服务端程序运行后会生成三个文件,分别是:

  C:\WINDOWS\MBBManager.exe

  C:\WINDOWS\Explore32.exe

  C:\WINDOWS\system\editor.exe

  这三个文件用的都是HTM文件图标,千万不要以为它们是HTM文件!如果你的系统设置为显示所有文件的扩展名,你会发现它们都还有个“.exe”的尾巴,这说明它们是可执行文件!

  这三个文件又分别起什么作用呢?MBBManager.exe文件用来在启动时加载运行,它是守护进程(对木马来说,如果客户端向服务端的某一特定端口提出连接请求,服务端上的相应程序就会自动运行,来应答客户端的请求,这个程序我们称为守护进程。对“聪明基因”而言,这个特定端口为7511)!Explore32.exe和editor.exe是干什么的呢?呵呵,它们分别用来和HLP文件、TXT文件关联,如果你发现并删除了MBBManager.exe,并不会真正清除了它。一旦你打开帮助文件或文本文件,Explore32.exe和editor.exe将被激活!它将再次生成守护进程MBBManager.exe!这就是一旦中了“聪明基因”很难清除干净的原因!谁能想到它会关联两种文件类型呢?!我在第一次运行该木马研究时就是因此上当的,将MBBManager.exe和editor.exe删除并恢复了TXT文件关联后,以为完全清除干净了,但等我某天运行了帮助文件后,我惊奇的发现“聪明基因”又回来了!我这才知道,“聪明基因”还关联了HLP文件!

  “聪明基因”清除方法:

  1.删除文件

  先删除C:\WINDOWS下的MBBManager.exe和Explore32.exe文件,再删除C:\WINDOWS\system下的editor.exe文件。如果服务端已经运行,那么就得用进程管理软件终止MBBManager.exe这个进程,然后在Windows下将它删除。当然,你也可以到纯DOS下删除这些文件。

  2.删除注册表中木马的自启动文件

  到这里来删除:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

  "MainBroad BackManager"="C:\\WINDOWS\\MBBManager.exe"

  3.恢复TXT文件关联

  用记事本将如下内容复制下来,并命名为任意名字的REG文件:

  REGEDIT4

  [HKEY_CLASSES_ROOT\txtfile\shell\open\command]

  @="Notepad %1"

  [HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]

  @="Notepad %1"

  双击上面这个REG文件,在弹出的对话框中点击“确定”就可以将这些内容导入注册表,从而将TXT文件关联恢复过来。

  4.恢复HLP文件关联。

  用记事本将如下内容复制下来,并命名为任意名字的REG文件:

  REGEDIT4

  [HKEY_CLASSES_ROOT\hlpfile\shell\open\command]

  @="C:\\WINDOWS\\WINHLP32.EXE %1"

  [HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command]

  @="C:\\WINDOWS\\WINHLP32.EXE %1"

  双击上面这个REG文件,在弹出的对话框中点击“确定”就可以将这些内容导入注册表,从而将HLP文件关联恢复过来。好了,可以和聪明基因说BYEBYE了!热点网络

  要特别注意的是,在你编制REG文件时,“REGEDIT4”一定要大写,并且它的后面一定要空一行,还有,“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃!许多朋友写注册表文件之所以不成功,就是因为没有注意到上面所说的内容,这回该注意点喽。请注意如果你是Win2000或WinXP用户,请将“REGEDIT4”改为Windows Registry Editor Version 5.00。

  最后,如果图省事的话,可以下载木马克星,它对付国产木马最在行了

(0)

相关推荐

  • 清除双关联木马“聪明基因”

    "聪明基因"是国产木马,除了拥有一般木马所具有的功能外,其最可怕之处是其永久隐藏远程主机驱动器的功能,如果控制端选择了这个功能,那么受控端可就惨了,想找回驱动器?嘿嘿,没那么容易!服务端文件genueserver.exe,用的是HTM文件图标,如果你的系统设置为不显示文件扩展名,那么你就会以为这是个HTM文件,很容易上当哦.热点网络 "聪明基因"是文件关联木马,而且是双关联木马!为什么这么说?看了下面的内容你就知道了. "聪明基因"服务端程序运行

  • 清除中国网络游戏木马外挂黑客技术大全

    清除中国网络游戏木马外挂黑客技术大全

    病毒具体分析 File: SFF.exe Size: 36864 bytes File Version: 2.00.0003 MD5: 248C496DAFC1CC85207D9ADE77327F8B SHA1: B32191D44382ED926716671398809F88DE9A9992 CRC32: 8C51AAAB 编写语言:Microsoft Visual Basic 5.0 / 6.0 病毒生成如下文件 %system32%\svchost.com 在HKEY_LOCAL_MACH

  • 一个不错的清除winsmd.exe木马的方法

    我最近好像是中了病毒了,在任务管理器的进程中可以找到一个vktserv.exe进程,我用高级的任务管理器工具找到了这个文件与"C:\WINDOWS\system32\winsmd.exe"和"C:\WINDOWS\system32\vktserv.exe"有关联.我用msconfig打开系统的启动标签也发现了"winsmd.exe".我在网上搜了一下,好像有人说这是一个病毒,我想问问你这是不是一个病毒呢,如果是我该如何清除呢? 答:你中了wins

  • 清除MDM.EXE木马的方法

    在我的C盘WINDOWS根目录下多了一个MDM.EXE文件,每次删除之后会自动生成,并产生一个名为SVCHOST的进程,而且自从中了这个以后,我的所有文件夹都不可见了,即使在设置中选择"显示所有文件和文件夹",关掉"隐藏受保护的系统文件"也没用.这是怎么回事?  这个病毒我昨天遇倒了!最后问题解决了(当然不是格式化硬盘哈) 中了这个病毒以后,在各个分区的根目录下会生成两个文件,分别是autorun.inf 和ravmon.exe(这个文件比较大的)并且属性为隐藏属性

  • 使用BAT命令关闭:135端口、139端口、445端口等

    使用BAT命令关闭:135端口、139端口、445端口等

    都知道135端口,139端口以及445端口.这三个端口容易被黑客或者病毒利用.所以我们今天就来教下大家如何关闭它. 太难的方法就不教给大家了.什么实用策略组之类的.新手感觉很麻烦.所以下面给大家来简单的教程 打开可以将下面的代码复制到文本里面然后保存为123.bat,然后运行就可以了 @echo off gpupdate >nul rem For Client only iPseccmd -w REG -p "HFUT_SECU" -o -x >nul ipseccmd -

  • 用批处理设置IP安全策略的代码

    以下内容只有回复后才可以浏览 ipseccmd -w REG -p "XIAOWANG" -r "Block ICMP" -f *+0:ICMP -n BLOCK -x 开网上邻居.bat 复制代码 代码如下: ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/80" -f *+0:80:TCP -n PASS -x ipseccmd -w REG -p "XIAOWANG&qu

  • 批处理一键关闭高危有害端口完整版(适合服务器使用)

    注意:你的系统不一定支持ipseccmd,可以在cmd里试一下或者在下面代码的某句ipseccmd后另起一行加个pause看看报不报错! 如果不支持,证明你安装的系统并没有装上windows support  tools.请到微软下载安装或到我们下载 http://www.jb51.net/softs/32393.html. 自己到微软去找吧!今天打开微软的网站特慢.(说不定就是用xp2那个,我用的xp3原版,里面有,只是默认没安装). 复制代码 代码如下: echo.echo ********

  • IO.pif变种分析清除(兼答avzx*,kvdx*,等随机7位字母的dll木马群的方法

    File: IO.pif Size: 19456 bytes MD5: 90C509FA6A6C2FA798DBE1CFD7F0E4F1 SHA1: DBF721F48369CFBB2B88D0F5D707924A7FE185EC CRC32: 9822E714 生成如下文件: %Program Files%\Common Files\Services\svchost.exe %system32%\DirectX10.dll 在每个分区下面生成一个autorun.inf和IO.pif 达到通过U

  • 注册表修改之计算机病毒清除

    木马藏身地及通用排查技术 木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性.为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的.这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法. ●在Win.ini中启动木马: 在Win.ini的[Windows]小节中有启动命令"load="和"run=",在一般的情况下"="后面是空的

  • 易语言通过注册表将易文件关联修复的源码

    易语言通过注册表将易文件关联修复的源码

    DLL命令表 .版本 2 .DLL命令 API_SendMessage, 整数型, "user32", "SendMessageA" .参数 窗口句柄, 整数型 .参数 消息值, 整数型 .参数 参数一, 整数型 .参数 参数二, 整数型 .DLL命令 API_SendMessageTimeout, 整数型, "user32", "SendMessageTimeoutA", , , .参数 hWnd, 整数型, , 要接收消息

随机推荐