9,506
社区成员
发帖
与我相关
我的任务
分享这是木马吗?
某天,我上了英国的一个聊天室,中了个木马,down机后重启,用金山毒霸和瑞星杀毒后,发现以txt后缀的文件都被关联到C:\windows\system\sysexplr.exe 。但我在DOS下删掉sysexplr.exe后重启,发现sysexplr.exe又回到C:\windows\system\sysexplr.exe 下,而且txt文件被重新关联到该文件.这是怎么回事呢?我以前也遇到过类似的被关联的情况,但为什么在DOS下删不掉该文件,sysexplr是什么病毒或木马吗?
还有,改关联应该是改注册表的吧,这具体是怎样实现的呢?和一般的程序的改法不同吗?
...全文
请发表友善的回复…
发表回复
china_csdn 2002-01-16
- 打赏
- 举报
gop吧,它可以自定义任何关连和作意命名的。
QXLEE 2002-01-08
- 打赏
- 举报
楼上的朋友,谢谢你的答复,《黑客大曝光》我在书摊上看过,但好像没什么真正的内容
至于“高手是不屑于用木马的”,我是编程初手,从基础学起嘛,:)不是吗?
你的qq是多少啊?交个朋友如何?
至于“高手是不屑于用木马的”,我是编程初手,从基础学起嘛,:)不是吗?
你的qq是多少啊?交个朋友如何?
leopro 2002-01-06
- 打赏
- 举报
知其然,更要知其所以然,老兄精神可嘉,佩服佩服!
推荐你一本书,《黑客大曝光》,刚出版不到一个月,经典!
另外多看些网络编程的书,对TCP/IP也得了解透彻
木马其实只是一个简单的C/S程序,重要的是如何隐藏自己,不让用户发现。
高手是不屑于用木马的。
推荐你一本书,《黑客大曝光》,刚出版不到一个月,经典!
另外多看些网络编程的书,对TCP/IP也得了解透彻
木马其实只是一个简单的C/S程序,重要的是如何隐藏自己,不让用户发现。
高手是不屑于用木马的。
QXLEE 2002-01-04
- 打赏
- 举报
to leopro(leopro) 我想想害人的话,直接从网上down工具或者干脆买张盗版碟就行了,没必要自己编。而且真正学会编的话,就会感受到技术的乐趣,不会去害人的了。你说是吗?
QXLEE 2002-01-04
- 打赏
- 举报
to cBeginner() 这样我试过了,不行的,它马上又自动改回来的了
leopro 2002-01-03
- 打赏
- 举报
to QXLEE:
你学原理干什么,想害人?别人不会告诉你的
真想学的话,自己去网上查点资料吧,买几本书好好看也行
你学原理干什么,想害人?别人不会告诉你的
真想学的话,自己去网上查点资料吧,买几本书好好看也行
cBeginner 2002-01-03
- 打赏
- 举报
对着某个txt文件先点亮,再按着Shift键不放然后按鼠标右键,选打开方式...,然后选Notepad,在下面的那个复选框里打钩,确定。你试试。
QXLEE 2002-01-02
- 打赏
- 举报
up
大家帮忙啊
大家帮忙啊
QXLEE 2001-12-26
- 打赏
- 举报
大家帮帮我啊
QXLEE 2001-12-21
- 打赏
- 举报
to GreenStuff(蔬菜) 能不能说具体一点啊?
我的email是qxlee9@21cn.com
谢谢!
我的email是qxlee9@21cn.com
谢谢!
GreenStuff 2001-12-20
- 打赏
- 举报
这是冰河木马呀!
我也做过木马的!
http://greenstuff.363.net
我也做过木马的!
http://greenstuff.363.net
QXLEE 2001-12-19
- 打赏
- 举报
谢谢这么多位
不过我说的是编程实现的办法(VC),不是清除的方法啊!
不过我说的是编程实现的办法(VC),不是清除的方法啊!
eflyer 2001-12-15
- 打赏
- 举报
这种冰河我碰到过,也是怎么都杀不掉,楼上面的不要怪我不客气,你们简直太笨了!!!!我把记事本改成Sysexplr.exe就好了,那用找你们那么麻烦!!!
QXLEE 2001-12-13
- 打赏
- 举报
不是清除,是制造原理阿!
up
QXLEE 2001-12-08
- 打赏
- 举报
各位兄弟啊,我想问的是原理阿!
jxwa_wzw 2001-12-08
- 打赏
- 举报
冰河
冰河可以说是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。
冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:\\Windows\\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
清除方法:
1、删除C:\\Windows\\system下的Kernel32.exe和Sysexplr.exe文件。
2、冰河会在注册表HKEY_LOCAL_MACHINE\\software\\microsoft\\windowsCurrentVersion\\Run下扎根,键值为C:\\windows\\system\\Kernel32.exe,删除它。
3、在注册表的HKEY_LOCAL_MACHINE\\software\\microsoft\\windowsCurrentVersion\\Runservices下,还有键值为C:\\windows\\system\\Kernel32.exe的,也要删除。
4、最后,改注册表HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command下的默认值,由中木马后的C:\\windows\\system\\Sysexplr.exe %1改为正常情况下的C:\\windows\\notepad.exe %1,即可恢复TXT文件关联功能。
解决记得给加分哦
冰河可以说是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。
冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:\\Windows\\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
清除方法:
1、删除C:\\Windows\\system下的Kernel32.exe和Sysexplr.exe文件。
2、冰河会在注册表HKEY_LOCAL_MACHINE\\software\\microsoft\\windowsCurrentVersion\\Run下扎根,键值为C:\\windows\\system\\Kernel32.exe,删除它。
3、在注册表的HKEY_LOCAL_MACHINE\\software\\microsoft\\windowsCurrentVersion\\Runservices下,还有键值为C:\\windows\\system\\Kernel32.exe的,也要删除。
4、最后,改注册表HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command下的默认值,由中木马后的C:\\windows\\system\\Sysexplr.exe %1改为正常情况下的C:\\windows\\notepad.exe %1,即可恢复TXT文件关联功能。
解决记得给加分哦
yoboo_yb 2001-12-05
- 打赏
- 举报
看看这篇文章吧!
http://www.rising.com.cn/safety/syjq/fhzq/0822gwns.htm
介绍的是“广外女生”。看了过后,基本上你就明白木马一般是怎么来清除的了。
另外,各种版本的冰河清除的方法不尽相同,我曾遇到过带有服务器端副本、多重关联的,一般删除一个还不行。你遇到的可能就是这种情况。仔细看看这篇文章吧!
http://www.rising.com.cn/safety/syjq/fhzq/0822gwns.htm
介绍的是“广外女生”。看了过后,基本上你就明白木马一般是怎么来清除的了。
另外,各种版本的冰河清除的方法不尽相同,我曾遇到过带有服务器端副本、多重关联的,一般删除一个还不行。你遇到的可能就是这种情况。仔细看看这篇文章吧!
QXLEE 2001-12-05
- 打赏
- 举报
好的,谢谢!我一解决问题马上就给分!
poweruser 2001-12-05
- 打赏
- 举报
在注册表里HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command下可以关联文件,不过不要拿来做坏事啊
erhu0815 2001-12-03
- 打赏
- 举报
如想知道原理请直接去问GUGU!
她会告诉你的,不明白的地方再来找我!
她会告诉你的,不明白的地方再来找我!
加载更多回复(15)
