4.3删除冰河木马程序文件
1、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。
2、冰河会在注册表
HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion Run下扎根,键值为C:/windows/system/Kernel32.exe,删除它。
3、在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下,还有键值为
C:/windows/system/Kernel32.exe的,也要删除。
4、最后,改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值,由中木马后的C: /windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1,即可恢复TXT文件关联功能。
改正后
五、 木马的防御
1 安装正版杀毒软件、个人防火墙和瑞星安全助手,并及时升级,360杀毒软件每天至少升级三次。 2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。 3 不浏览不良网站,不随意下载安装可疑插件。 4 不接收QQ、MSN、Emial等传来的可疑文件。 5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“360帐号保险柜”中,可以有效保护密码安全。
六、结论
目前,除了冰河使用的隐身技术外,更新、更隐蔽的方法已经出现,那就是-驱动程序及动态链接库技术。