数模论坛

 找回密码
 注-册-帐-号
搜索
热搜: 活动 交友 discuz
查看: 3424|回复: 0

[转帖]用金山毒霸2002巧杀"广外女生"

[复制链接]
发表于 2003-11-29 18:55:50 | 显示全部楼层 |阅读模式
广外女生"这匹木马界的"名马"也许很多网友都听过,对它都会略知一二。自从去年7月"广外女生"木马问世以来,许多的网友都都纷纷中招倒下,栽在这匹马身上。而"广外女生"木马在其出道之初就有一个很大的特点,就是可以关闭用户正在运行的天网防火墙以及金山毒霸病毒防火墙并且使之以后都不可以启动,而随着"广外女生"木马的升级,这个"传统特色"一直都保留下来了。那么如果用户安装了金山毒霸,中招以后金山毒霸不可以启动了,这个木马如何清除呢?杀毒软件本来就是用来杀病毒、杀木马的,这次杀毒软件反倒被木马杀掉了,是否我们就无计可施呢? 当然非也。对于"广外女生"木马的手工清除方法,网上到处都可以找到的,这个不失为解决问题的方法,在这里我就不再细说。但是,由于现在"广外女生"的升级,已经可以由用户来自定义服务器端的名字、修改注册表的项目名字等等,网上所说的方法都是针对默认设置的,如果别人稍微修改一下设置,木马名字就会改变,而删除木马方法也要相应作出修改。这样对于有经验的老手来说并不困难,但是对于一些新手或者是比较少接触到木马的人来说可是比较麻烦的,一以找到木马所在并手工清除。所以在这里我为大家提供一种令类一点的方法:使用金山毒霸2002对付"广外女生",而且方法比较简单,不需要什么高深的知识就可以搞定。

看到这里也许大家会发出疑问?金山毒霸都不可以启动了,还说什么使用金山毒霸杀木马呢?就是这样我才说是比较令类一点的方法:因为一来,杀毒软件杀木马是天经地义的事情,但是这次偏偏是杀毒软件被木马杀掉了;二来,杀毒软件金山毒霸被杀掉了,但是这次我要反其道而行,来一招以彼之道还施彼身--既然金山毒霸被杀掉了,我就偏偏巧妙的使用金山毒霸来反杀"广外女生"木马。好了,说了这么多,究竟如何实施呢?且听我慢慢说来。

首先,因为中了"广外女生"木马的系统,你双击金山毒霸是没有任何反映的,于是我们需要来一招"金蝉脱壳"来使金山毒霸复活。这时候你可以进入系统安装目录,然后找到system目录(如果是2000/XP则是system32),单击鼠标右键,你会发现弹出来的菜单中就有"金山毒霸"字样,于是我们选择金山毒霸来进行右键查毒,然后你会发现什么呢?金山毒霸主程序出来了!而且在查毒!

因为"广外女生"木马就是在system目录下边的(2000/XP在system32),所以很快金山毒霸就会报告发现病毒

然后在查出木马以后我们就可以对两个木马文件选择杀毒,我们选择杀毒以后,金山毒霸就会提示需要重启才可以的,我们在选择杀第一个文件的时候就不要选择允许重启,然后在杀第二个木马文件的时候金山毒霸同样会提示需要重启,这次我们就按照它的意思重启机器

重启以后进入系统,我们发现windows系统出现对话框

出现这个对话框是因为金山毒霸把"广外女生"木马杀掉以后,而由于木马做了EXE文件关联,这样木马被杀就会导致所有的程序不可以运行的后果,我们可以这样做来解决这个问题:首先按下取消去掉这个对话框,然后进入金山毒霸安装目录,找到KAV9X.EXE文件,然后改为KAV9X.SCR,双击运行这个文件,你会发现金山毒霸主程序调用出来了,然后我们关闭金山毒霸主程序,再次把KAV9X.SCR改回KAV9X.EXE,这时候所有的EXE文件都可以正常运行的了。

接下来,我们把以下的代码贴到记事本中,然后存为reg文件,双击导入注册表就可以了。在win2000的代码如下:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="\"%1\" %*"

而使用win98的代码如下:
REGEDIT4

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="\"%1\" %*"

最后我们再注销一次系统重新进入windows,一切就可以正常使用的了,而"广外女生"木马也就被我们使用金山毒霸干掉了。

最后,我在这里说明一下上述的某些步骤的使用原理吧。首先,因为金山毒霸被木马杀掉而不可以启动,所以我们需要用到金山毒霸的右键查毒功能来调出金山毒霸主程序;其次,"广外女生"木马会在system目录下边的(2000/XP在system32),所以我们调出金山毒霸的时候就选择了这个目录进行查毒;再有,因为"广外女生"木马作了EXE文件关联的,所以木马被杀,你系统所有的EXE文件都不可以执行的,于是就会出现了上边进入系统以后的对话框的;最后,因为每次金山毒霸启动,都会检查EXE关联是否正常的,如果不正常就会修改回去的,这次因为木马修改而导致了EXE关联不正常,于是我们就进入金山毒霸目录,只要成功运行金山毒霸主程序就可以修复EXE关联的了,但是因为EXE文件不可以运行的,于是我们就把金山毒霸主程序改为SCR后缀的文件就可以运行的了,运行以后EXE关联就可以得到修复;还有就是新版本的"广外女生"木马同时也修改了com文件关联(这一点在网上一般所提到的手工清除"广外女生"木马的方法都几乎没有提到的),而上述提到的代码导入注册表以后就可以修复com关联的了,就这样我们杀木马就大功告成了。

对于上述这个有点令类的清除方法,我们没有使用到什么高深的知识,也不需要修改注册表,而且还是使用?quot;广外女生"木马杀掉的金山毒霸反过来杀掉了"广外女生"的,希望这一招对中了"广外女生"木马以后无法使用金山毒霸杀毒的朋友有所帮助。



您需要登录后才可以回帖 登录 | 注-册-帐-号

本版积分规则

小黑屋|手机版|Archiver|数学建模网 ( 湘ICP备11011602号 )

GMT+8, 2024-11-26 22:26 , Processed in 0.077955 second(s), 18 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表