论坛: 病毒专区 标题: 救命啊! 复制本贴地址    
作者: hunting [hunting]    论坛用户   登录
各位大虾!请救救小弟!
我的电脑中了冰河,怎样才能破解它

地主 发表时间: 11/18 20:13
回复: CyberSpy [cyberspy]   论坛用户   登录
   一般的杀毒软件都可搞定~~~
 什么版本的??版本不同手工清除方法不同

B1层 发表时间: 11/18 21:21
回复: hunting [hunting]   论坛用户   登录
谢谢!

B2层 发表时间: 11/18 21:41
回复: CyberSpy [cyberspy]   论坛用户   登录
各种版本冰河手工清除方法
1、冰河V1.1清除方法 

  找开注册表Regedit 

  打开HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN,删除“C:WINDOWSSYSTEMKERNEL32.EXE”和"C:WINDOWSSYSTEMSYSEXPLR.EXE"两项。 

  如果有进程软件,就用进程软件把KERNEL32.EXE和SYSEXPLR.EXE终止;删除C:WINDOWSSYSTEMKERNEL32.EXE和C:WINDOWSSYSTEMSYSTEMSYSEXPLR.EXE(因为程序正在运行,无法删除,所以先要终止) 

  如果没有进程软件,就重新启动到纯DOS下,删除C:WINDOWSSYSTEMKERNEL32.EXE和C:WINDOWSSYSTEMSYSTEMSYSEXPLR.EXE这两个文件。 

  2、冰河V2.2[DARKSUN专版]清除方法 

  因为冰河2.2以上版本服务端程序名称、文件存放路径、写入注册表的键名等等都可以随自己意愿改变,所以查杀难度复杂,以默认的配置为例,查看注册表HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN和HEKY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUNSERVICE两项,把陌生的文件路径删除(要有一定的WINDOWS的基础才能删除),然后根据路径按照V1.1的方法删除文件。 
3、冰河5.0清除方法 

  较前面两个冰河,这一版本的冰河清除起来就很麻烦了。由于冰河5.0对注册表的修改较大,所以恢复起来很麻烦。为方便起见,我们用“记事本”程序来编写四个恢复注册表的文件: 

  1).编写txtfile.reg文件,内容如下: 

  REGEDIT4 /*下一行必须为空行*/

  [HKEY_CLASSES_ROOTtxtfile] 
  @="文本文档" 
  [HKEY_CLASSES_ROOTtxtfileDefaultIcon] 
  @="shell32.dll,-152" 
  [HKEY_CLASSES_ROOTtxtfileshell] 
  [HKEY_CLASSES_ROOTtxtfileshellopen] 
  [HKEY_CLASSES_ROOTtxtfileshellopencommand] 
  @="Notepad.exe %1" 
  [HKEY_CLASSES_ROOTtxtfileshellprint] 
  [HKEY_CLASSES_ROOTtxtfileshellprintcommand] 
  @="C:\WINDOWS\NOTEPAD.EXE /p %1" 

  2).编写comfile.reg文件,内容如下: 

  REGEDIT4 

  [HKEY_CLASSES_ROOTcomfile] 
  @="MS-DOS 应用程序" 
  "EditFlags"=hex:d8,07,00,00 
  [HKEY_CLASSES_ROOTcomfileshell] 
  @="" 
  [HKEY_CLASSES_ROOTcomfileshellopen] 
  @="" 
  "EditFlags"=hex:00,00,00,00 
  [HKEY_CLASSES_ROOTcomfileshellopencommand] 
  @=""%1" %*" 
  [HKEY_CLASSES_ROOTcomfileshellex] 
  [HKEY_CLASSES_ROOTcomfileshellexPropertySheetHandlers] 
  [HKEY_CLASSES_ROOTcomfileshellexPropertySheetHandlers{86F19A00-42A0-1069 
  -A2E9-08002B30309D}] 
  @="" 
  [HKEY_CLASSES_ROOTcomfileDefaultIcon] 
  @="C:\WINDOWS\SYSTEM\shell32.dll,2" 

  3).编写run.reg文件,内容如下: 

  REGEDIT4 

  [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] 
  "internat.exe"="internat.exe" 
  "ScanRegistry"="C:\WINDOWS\scanregw.exe /autorun" 
  "SystemTray"="SysTray.ExE" 
  "LoadPowerProfile"="Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" 
  @="" 
4).编写runservices.reg文件,内容如下: 

  REGEDIT4 
  [HKEY_LOCAL_MACHINESoft- 
wareMicrosoftWindowsCur- 
rentVersionRunServices] 
  "LoadPowerProfile"="Rundll- 
32.exe powrprof.dll,Load- 
CurrentPwrScheme" 
  @="" 

  执行这四个注册表恢复文件。接着运行regedit,查看HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下面是否有kernel.exe,或者sysexplr.exe,如果有就删除之。这样操作之后,还没有清除干净,请查找windowssystem下的透明图标文件(类似wins.exe或者win32.exe的文件名),在纯DOS下删除它,同时删除c:windowssystemkernel.exe和sysexplr.exe(如果有的话)。重启机器,一切都OK了! 

  要特别注意的是,在你编制的注册表文件unlock.reg中,“REGEDIT4”一定要大写,并且它的后面一定要空一行,还有,“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃!许多朋友写注册表文件之所以不成功,就是因为没有注意到上面所说的内容,这回该注意点喽。请注意如果你是Win2000或WinXP用户,请将“REGEDIT4”改为Windows Registry Editor Version 5.00。 

  4、冰河5.5LFP病毒感染专版清除方法 

  冰河5.5LFP病毒感染专版是个令人头痛的家伙,从它的名字中你可能也看出来了,它还是个“病毒”!它会感染随机器启动的exe文件,把自己插入其中,它的原理是:把木马插入EXE文件,运行时释放木马并运行,请注意它采用的是汇编插入,不是通常木马所采用的捆绑方式,如果你会编程,就会知道之间的区别。 

  如果不小心运行了冰河5.5LFP的服务端程序,会在C:WINDOWSSYSTEM文件夹下增加4个文件: 

  lfp.dll,大小295KB; 
  lfp.exe,大小259KB; 
  tel.lfp,大小259KB; 
  system32.dll,大小259KB。 

  从它在系统中增加了这么文件来看,该木马的清除非常的不容易,事实上也的确如此,为了清除该木马花费了我许多功夫。 

  第一步,恢复被修改的注册表。 

  运行REGEDIT,修改如下注册表: 

  (1) 
  [HKEY_CLASSES_ROOT*{删除}Shellopencommand] 
  C:WINDOWSSYSTEMtel.lfp %1 
  [HKEY_LOCAL_MACHINESoftwareCLASSES*{删除}Shellopencommand] 
  C:WINDOWSSYSTEMtel.lfp %1 

  (2) 
  [HKEY_LOCAL_MACHINESoftwareMicrosoftWindows{删除}durrentVersionRun] 
  C:WINDOWSSYSTEMsystem32.dll 
  [HKEY_LOCAL_MACHINESoftwareMicrosoftWindows{删除}durrentVersionRunServices] 
  C:WINDOWSSYSTEMsystem32.dll 

  (3) 
  [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] 
  {删除}lfp.dll 
 (4) 
  [HKEY_CLASSES_ROOTdllfile 
{删除}shellOpenCommand] 
  "%1" %* 
  [HKEY_LOCAL_MACHINE 
SoftwareCLASSESdllfile 
{删除}shellOpenCommand] 
  "%1" %* 

  (5) 
  [HKEY_CLASSES_ROOT 
{删除}.lfp] 
  lfpfile 
  [HKEY_LOCAL_MACHINE 
SoftwareCLASSES{删除}.lfp] 
  lfpfile 

  (6) 
  [HKEY_CLASSES_ROOT{删除}lfpfile] 
  http://lffffp.yeah.net 
  [HKEY_CLASSES_ROOT{删除}lfpfileDefaultIcon] 
  C:WINDOWSSYSTEMshell32.dll,-154 
  [HKEY_CLASSES_ROOT{删除}lfpfileshellOpenCommand] 
  "%1" %* 
  [HKEY_LOCAL_MACHINESoftwareCLASSES{删除}lfpfile] 
  http://lffffp.yeah.net 
  [HKEY_LOCAL_MACHINESoftwareCLASSES{删除}lfpfileDefaultIcon] 
  C:WINDOWSSYSTEMshell32.dll,-154 
  [HKEY_LOCAL_MACHINESoftwareCLASSES{删除}lfpfileshellOpenCommand] 
  "%1" %* 

  第二步,删除木马文件。 

  重新启动电脑,到纯DOS下,在C:WINDOWSSYSTEM文件夹下找到lfp.dll、lfp.exe、tel.lfp、system32.dll这四个文件,删之别手软! 

  5、冰河6.0手工清除方法 

  冰河6.0目前下载率非常高,由于目前的杀毒软件都查不到它,因此许多人在不知不觉中就中了木马,导致受害者非常之多,所以很有必要把它揪出来,公之于众。 

  第一步、恢复注册表 

  1).清除注册表中木马启动键值:到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun以及HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices,将默认键值 

  “C:WINDOWSSYSTEMSYSDLL32.exe”删除。 
 2).清除注册表中被木马修改的文件关联:到 
HKEY_CLASSES_ROOTtxtfile 
shellopencommand以及 
KEY_LOCAL_MACHINESoft- 
wareCLASSEStxtfileshellopen 
command,将默认键值由C: 
WINDOWSSYSTEMSysexplr 
.exe "%1"修改为NOTEPAD. 
exe "%1",这样做的目的是恢复TXT文件的打开方式:用“记事本”打开。 

  第二步、删除木马文件 

  冰河6.0会在C:WINDOWSSYSTEM下生成两个木马文件:SYSDLL32.exe和Sysexplr.exe,大小都是270K,图标为无关联文件所用图标。SYSDLL32.exe是守护进程,每次开机都会随之启动。Sysexplr.exe是隐藏的木马,当你打开文本文件时就会自动生成SYSDLL32.exe。如果本机内有木马文件存在,可以到纯DOS下删除它们。或者终止SYSDLL32.exe文件的进程,然后在Windows环境下删除它们。 

  6、冰河80b2版手工清除方法 

  如果你中了木马冰河80b2版,那一定是你运行了它的服务端程序,服务端程序默认的文件名为G_Server.exe,运行后会在C:WINDOWSSYSTEM下产生两个无文件名的木马文件“ .exe”,图标和服务端一样,是普通的DOS图标。 

  清除方法: 

  1).在“开始”菜单的“运行”中输入RGEEDIT,打开注册表; 

  2).使用进程管理软件中止木马进程“ .exe”,如果你手头上没有合适的进程管理软件,可以使用大家常用的系统优化软件Windows优化大师,它就有进程管理功能。点击“系统安全优化”→“进程管理”就可以找到该进程,然后点击“终止”即可。 

  3).到C:WINDOWSSYSTEM下删除木马文件“ .exe”。 

  4).删除木马的启动键值: 

  到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionrun下,删除:C:WIN98SYSTEM .exe 

  再到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionrunServices下,删除:C:WIN98SYSTEM .exe" 

  5).恢复被木马修改的文件关联 

  冰河80b2版是文件关联木马,运行它的服务端程序后,未关联文件打开方式会被木马文件所关联,也就是说,如果你点击了系统中的任何未关联文件,就会将木马激活!所以要恢复被木马修改的文件关联。 

  到注册表HKEY_CLASSES_ROOT*shellopencommand和HKEY_LOCAL_MACHINESoftwareCLASSES*shellopencommand下,这是未关联文件打开方式在注册表中的位置,将默认值“C:WINDOWSSYSTEM .exe %1”删除即可恢复文件关联。 


  注意,如果你的系统是WIN2000或WINXP,那么木马文件在SYSTEM32文件夹下(Win9X和Win Me下产生的木马文件在System文件夹下),其余清除方法不变。 
7、冰河拉登专版清除方法 

  冰河拉登专版是2001年9月11日美国纽约遭受袭击后出现的,故被命名为“冰河拉登专版”(图6),也叫冰河911,它的清除方法如下: 

  第一步、恢复注册表 

  点击“开始”→“运行”,输入regedit打开注册表编辑器,来到注册表: 

  1).清除注册表中木马启动键值:到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下面,将默认值"C:WINDOWSSYSTEMsystem32.exe"删除; 

  2).恢复注册表中被木马修改的文件关联:到HKEY_CLASSES_ROOT*shellopencommand和HKEY_LOCAL_MACHINESoftwareCLASSES*shellopencommand下,将默认值 "C:WINDOWSSYSTEMtel.exe %1"删除。这是无关联文件打开方式在注册表中的位置。 

  第二步、删除木马文件 

  冰河9.11会在C:windowssystem下生成两个木马文件:system32.exe和tel.exe,它们用的都是QQ小企鹅图标,文件大小都为278528字节,文件修改时间为2001年10月1日。system32.exe每次开机都会随系统启动运行,tel.exe是隐藏的木马,当你打开无关联文件时就会自动生成system32.exe。删除它们的方法是到纯DOS下删除它们。 
***************************************************************
完全清除冰河的补充

用自动卸载功能清除冰河 

  就是下载相应版本的冰河,利用控制端来卸载服务端。方法如下:启动控制端,在添加主机里添加127.0.0.1(就是脱机状态下的默认IP地址),按应用,如果链接成功,在命令控制台→控制类命令→系统控制→自动卸载冰河,把冰河成功卸载,如果状态栏显示口令错误,无法链接(这是因为在你电脑植入冰河木马的人加了密码,有密码才能链接),试试下面的万能密码: 

  2.2版:Can you speak Chinese? 
  2.2版:05181977 
  3.0版:yzkzero! 
  4.0版:05181977 
  3.0版:yzkzero.51.net 
  3.3版:******?*(*号代表空格) 
  3.0版:yzkzero! 
  3.1-netbug版密码: 123456!@ 
  2.2杀手专版:05181977 
  2.2杀手专版:dzq20000! 

  如果成功了按上面的方法卸载冰河! 


B3层 发表时间: 11/18 22:09

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号