2000中了灰鸽子木马清除

时间:2005-11-22 来源: 作者: 点击:
1.删除灰鸽子服务端程序 由于在Windows环境下灰鸽子的服务端是处于运行状态,无法直接删除,所以必须进入纯DOS状态删除,删除命令如下: cd c:\windows\system attrib-r-s-h kernel32.exe attrib-r-s-h notepod.exe del kernel32.exe del notepod.exe 还要注意,如果灰
  

1.删除灰鸽子服务端程序
由于在Windows环境下灰鸽子的服务端是处于运行状态,无法直接删除,所以必须进入纯DOS状态删除,删除命令如下:
cd c:\windows\system
attrib-r-s-h kernel32.exe
attrib-r-s-h notepod.exe
del kernel32.exe
del notepod.exe
还要注意,如果灰鸽子服务端设置了exe 文件关联的话,将会导致注册表编辑器无法运行,所以在删除服务端之前,先将注册表编辑器重命名,以便以后对注册表进行更改,操作命令如下:
ren c:\windows\regedit.exe regedit.com


2.删除注册表中启动键
由于我们改了注册表编辑器名称,所以要打开注册表编辑器应为:打开”开始“菜单”中的“运行”然后输入“regedit.com".启动注册表编辑器后,依次打开“HKEY—LOCAL—MACHINE\Software\Microsoft\windows\Current Version\Run",在右边的窗口中删除名称为”Loadwindows"的键值就可以了。

--------------------------------------------------------------------
清除文件关联
灰鸽子可以设置4种文件关联:exe关联,txt关联,ini关联,inf关联,其中exe关联可以和其他三种类型同时存在。

1.解除exe关联:
启动注册表编辑器,然后找到HKEY—CLASSES—ROOT\Exefile\shell\Open\Cpmmand主键,查看起默认的键值是不是系统默认的“%1%*”,如果被修改,则改成默认值.
2.解除txt关联:
打开注册表的HKEY—CLASSES—ROOT\txtfile\shell\open\command主键,其默认值的正常参数应该为“C:\windows\notepad.exe%1",如果不是,请修改为正确数据。
3.解除ini关联:
INI文件的的关联配置保存在注册表HKEY—CLASSES—ROOT\Inffile\shell\Open\Cpmmand主键下,其默值数据也是“C:\windows\notepad.exe%1”,如果被修改的话,也要改回来。
4解除inf关联:
打开注册表的HKEY—CLASSES—ROOT\Inffile\shell\Open\Cpmmand主键,和ini,txt文件关联一样,其默认值也是“C:\windows\notepad.exe%1”,如果被修改,也要立刻改回正确的数据。
至此,灰鸽子已经被你彻底扫地出门了

------分隔线----------------------------
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
最新评论 查看所有评论
发表评论 查看所有评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 密码: 验证码:
推荐内容
  • NIDS和HIDS比较

    NIDS和HIDS比较 目前,在安全市场上,最普遍的两种入侵检测产品是基于网络的网络入侵...

  • HIDS逐渐的成为主流

    HIDS逐渐的成为主流 当前的网络IDS系统可以分为基于网络数据包分析的系统(NIDS)和基...

  • IDS术语(1)

    IDS术语 DOCSHOW.NET A. Cliff by A. Cliff last updated July 3, 2001 Translated by...

  • 安装入侵检测系统后的注意事项

    安装入侵检测系统后的注意事项 在经过数月的评估、测试、购置等工作,部署好入侵检测...

  • 如何构建一个IDS

    如何构建一个IDS 通常来说,一个企业或机构准备进军此领域时,往往选择从基于网络的ID...

  • 什么是入侵检测

    什么是入侵检测 入侵检测是 防火墙 的合理补充,帮助系统对付网络攻击,扩展了系统管...