1. 首頁 > 生活百科 > >

中了冰河木馬病毒怎么辦?小編教你怎么清除冰河木馬?小編教你電腦辦公必備

電腦知識

小編在這段時間遇到好多廣大網友的咨詢 , 今天免費分享一下關于電腦系統和電腦操作教程的知識大全 , 這篇文字是關于中了冰河木馬病毒怎么辦?小編教你怎么清除冰河木馬?小編教你電腦辦公必備的文字 , 歡迎大金仔細閱讀 , 如果不懂請多多關注我們網址陸續更新更多更全面的電腦教程 。
冰河木馬 , 類似于灰鴿子 , 其開發初衷雖然只是一個遠程控制軟件 , 后成為一款知名的黑客入侵工具 , TA不僅可以隨時跟蹤用戶屏幕的變化 , 還能遠程進行文件操作 , 還能盜取用戶所有的保存過的口令密碼 。 閱讀下文了解冰河木馬的功能和清理方法 。

中了冰河木馬病毒怎么辦?小編教你怎么清除冰河木馬?小編教你電腦辦公必備

文章插圖

冰河木馬 , 跟灰鴿子類似 , 在設計之初 , 開發者的本意是編寫一個功能強大的遠程控制軟件 。 但一經推出 , 就依靠其強大的功能成為了黑客們發動入侵的工具 , 并結束了國外木馬一統天下的局面 , 跟后來的灰鴿子等等成為國產木馬的標志和代名詞 。 HK聯盟Mask曾利用它入侵過數千臺電腦 , 其中包括國外電腦 。
冰河木馬功能:
在2006年之前 , 冰河在國內一直是不可動搖的領軍木馬 , 在國內沒用過冰河的人等于沒用過木馬 , 由此可見冰河木馬在國內的影響力之巨大 。
目的:遠程訪問、控制 。
選擇:可人為制造受害者和尋找養馬場 , 選擇前者的基本上可省略掃描的步驟 。
1、自動跟蹤目標機屏幕變化 , 同時可以完全模擬鍵盤及鼠標輸入 , 即在同步被控端屏幕變化的同時 , 監控端的一切鍵盤及鼠標操作將反映在被控端屏幕(局域網適用);
2、記錄各種口令信息:包括開機口令、屏??诹睢⒏鞣N共享資源口令及絕大多數在對話框中出現過的口令信息;
3、獲取系統信息:包括計算機名、注冊公司、當前用戶、系統路徑、操作系統版本、當前顯示分辨率、物理及邏輯磁盤信息等多項系統數據;
4、限制系統功能:包括遠程關機、遠程重啟計算機、鎖定鼠標、鎖定系統熱鍵及鎖定注冊表等多項功能限制;
【中了冰河木馬病毒怎么辦?小編教你怎么清除冰河木馬?小編教你電腦辦公必備】5、遠程文件操作:包括創建、上傳、下載、復制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠程打開文件(提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式)等多項文件操作功能;
6、注冊表操作:包括對主鍵的瀏覽、增刪、復制、重命名和對鍵值的讀寫等所有注冊表操作功能;
7、發送信息:以四種常用圖標向被控端發送簡短信息;
8、點對點通訊:以聊天室形式同被控端進行在線交談 。
從一定程度上可以說冰河是最有名的木馬了 , 就連剛接觸電腦的用戶也聽說過它 。 雖然許多殺毒軟件可以查殺它 , 但國內仍有幾十萬種冰河的電腦存在!作為木馬 , 冰河創造了最多人使用、最多人中彈的奇跡 , 掌握了如何清除標準版 , 再來對付變種冰河就很容易了 。
冰河的服務器端程序為G-server.exe , 客戶端程序為G-client.exe , 默認連接端口為7626 。 一旦運行G-server , 那么該程序就會在C:/Windows/system目錄下生成Kernel32.exe和sysexplr.exe , 并刪除自身 。 Kernel32.exe在系統啟動時自動加載運行 , sysexplr.exe和TXT文件關聯 。 即使你刪除了Kernel32.exe , 只要你打開 TXT文件 , sysexplr.exe就會被激活 , 它將再次生成Kernel32.exe , 于是冰河又回來了!這就是冰河屢刪不止的原因 。
清除冰河木馬的方法:
方法一:安裝了冰河服務端的用戶:
如果安裝了冰河服務端的朋友就很簡單了 。 首先在自動掃描中輸入自己的IP , 看一下掃描結果是否為OK , 并且左邊的文件管理器中會出現自己的IP嗎?如果有 , 在命令控制臺中的控制類命令中的系統控制中點擊自動卸載冰河就可以了 。
方法二:未安裝冰河的用戶:
如果沒有冰河這個軟件朋友也不用著急 , 請用下面的方法查找并解除木馬 。
運行REGEDIT命令打開注冊表編輯器 , 在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 查看鍵值中沒有自己不熟悉的自動啟動文件 , 擴展名為EXE 。 (一般冰河的默認文件名為KERNEL32.EXE , 注意此文件的名字可能會被種馬的人改變) 。
如果有 , 那我們現在開始進行修改 , 先刪除該鍵值中這一項 , 再刪除RUNDRIVES這個鍵值 。 一般冰河用戶端程序的自我保護設為:關聯TXT文件或EXE文件 , 關聯的文件為:SYSEXPLR.EXE 。

推薦閱讀