当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 2000中了灰鸽子木马清除

安全基础
可以用于交换环境下SNIFFER的几种攻击技术手段
嗅探的时候,防火墙能发现吗?
wincap and sniffer(1)
wincap and sniffer(2)
客户端登录到Win 2000域
网络故障问答集萃
软件开发项目控制浅谈(1)
软件开发项目控制浅谈(2)
软件开发项目控制浅谈(3)
软件开发项目控制浅谈(4)
用Telnet快速收发电子邮件(1)
用Telnet快速收发电子邮件(2)
Windows XP系统启动提速专题
让Google长个好“记性”
恢复EXE文件关联补完版
真真假假的安全警告
网络安全应急三观
全力打造个人网络安全
系统自动启动程序之十大藏身之所
访问权限问题问答集锦

安全基础 中的 2000中了灰鸽子木马清除


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 75 ::
收藏到网摘: n/a

1.删除灰鸽子服务端程序
由于在Windows环境下灰鸽子的服务端是处于运行状态,无法直接删除,所以必须进入纯DOS状态删除,删除命令如下:
cd c:\windows\system
attrib-r-s-h kernel32.exe
attrib-r-s-h notepod.exe
del kernel32.exe
del notepod.exe
还要注意,如果灰鸽子服务端设置了exe 文件关联的话,将会导致注册表编辑器无法运行,所以在删除服务端之前,先将注册表编辑器重命名,以便以后对注册表进行更改,操作命令如下:
ren c:\windows\regedit.exe regedit.com


2.删除注册表中启动键
由于我们改了注册表编辑器名称,所以要打开注册表编辑器应为:打开”开始“菜单”中的“运行”然后输入“regedit.com".启动注册表编辑器后,依次打开“HKEY—LOCAL—MACHINE\Software\Microsoft\windows\Current Version\Run",在右边的窗口中删除名称为”Loadwindows"的键值就可以了。

--------------------------------------------------------------------
清除文件关联
灰鸽子可以设置4种文件关联:exe关联,txt关联,ini关联,inf关联,其中exe关联可以和其他三种类型同时存在。

1.解除exe关联:
启动注册表编辑器,然后找到HKEY—CLASSES—ROOT\Exefile\shell\Open\Cpmmand主键,查看起默认的键值是不是系统默认的“%1%*”,如果被修改,则改成默认值.
2.解除txt关联:
打开注册表的HKEY—CLASSES—ROOT\txtfile\shell\open\command主键,其默认值的正常参数应该为“C:\windows\notepad.exe%1",如果不是,请修改为正确数据。
3.解除ini关联:
INI文件的的关联配置保存在注册表HKEY—CLASSES—ROOT\Inffile\shell\Open\Cpmmand主键下,其默值数据也是“C:\windows\notepad.exe%1”,如果被修改的话,也要改回来。
4解除inf关联:
打开注册表的HKEY—CLASSES—ROOT\Inffile\shell\Open\Cpmmand主键,和ini,txt文件关联一样,其默认值也是“C:\windows\notepad.exe%1”,如果被修改,也要立刻改回正确的数据。
至此,灰鸽子已经被你彻底扫地出门了