方法一: 如果安装了“冰河”服务端的朋友就很简单了。首先在自动扫描中输入自己的IP,看一下扫描结果是否为“OK”,并且左边的“文件管理器”中会出现自己的IP吗?如果有,在“命令控制台”中的“控制类命令”中的“系统控制”中点击“自动卸载冰河”就可以了。 方法二: 如果没有“冰河”这个软件朋友也不用着急,请用下面的方法查找并解除木马。 运行REGEDIT命令打开注册表编辑器,在KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 查看键值中没有自己不熟悉的自动启动文件,扩展名为EXE。(一般“冰河”的默认文件名为KERNEL32.EXE,注意此文件的名字可能会被种马的人改变)。 如果有,那我们现在开始进行修改,先删除该键值中这一项,再删除RUNDRIVES这个键值。 一般“冰河”用户端程序的自我保护设为:关联TXT文件或EXE文件,关联的文件为:SYSEXPLR.EXE。 A、在“查看”菜单中选择“文件夹选项”弹出文件夹选项对话框,选择“文件类型” 在“已注册文件类型”框中找到“TXT FILE”这一项,看一下“打开方式”有无变化(一般为:NOTEPAD),如果关联对象不是NOTEPAD,选择“编辑”按钮,在“操作”框中删除“OPEN”这一项,那关联 TXT文件的用户程序就失效了。 B、如果是关联的EXE文件,那打开注册表编辑器,在HKEY_CLASSES_ROOT\.exe中把 “默认”的键值随便改成什么(注意看清楚,等会儿要改回来)。 以上这两步做完后,退出WINDOWS,在DOS状态下删除该“冰河”用户端程序,重新启动即可。 注意:要把EXE文件的注册表改回来。 好了,再搜索用木马程序看有没有(没有了吧,偷着笑吧^_^,不用格式化硬盘了) 附:如果关联的是其它类型的文件,修改同上 by HIV 转载请注明
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
本文地址:/websafe/gongju/149111.html