清除双关联木马“聪明基因”

　　“聪明基因”是文件关联木马，而且是双关联木马！为什么这么说？看了下面的内容你就知道了。

　　“聪明基因”服务端程序运行后会生成三个文件，分别是：

　　c:\windows\mbbmanager.exe

　　c:\windows\explore32.exe

　　c:\windows\system\editor.exe

　　这三个文件用的都是htm文件图标，千万不要以为它们是htm文件！如果你的系统设置为显示所有文件的扩展名，你会发现它们都还有个“.exe”的尾巴，这说明它们是可执行文件！

　　这三个文件又分别起什么作用呢？mbbmanager.exe文件用来在启动时加载运行，它是守护进程（对木马来说，如果客户端向服务端的某一特定端口提出连接请求，服务端上的相应程序就会自动运行，来应答客户端的请求，这个程序我们称为守护进程。对“聪明基因”而言，这个特定端口为7511）！explore32.exe和editor.exe是干什么的呢？呵呵，它们分别用来和hlp文件、txt文件关联，如果你发现并删除了mbbmanager.exe，并不会真正清除了它。一旦你打开帮助文件或文本文件，explore32.exe和editor.exe将被激活！它将再次生成守护进程mbbmanager.exe！这就是一旦中了“聪明基因”很难清除干净的原因！谁能想到它会关联两种文件类型呢？！我在第一次运行该木马研究时就是因此上当的，将mbbmanager.exe和editor.exe删除并恢复了txt文件关联后，以为完全清除干净了，但等我某天运行了帮助文件后，我惊奇的发现“聪明基因”又回来了！我这才知道，“聪明基因”还关联了hlp文件！

　　“聪明基因”清除方法：

　　1.删除文件

　　先删除c:\windows下的mbbmanager.exe和explore32.exe文件，再删除c:\windows\system下的editor.exe文件。如果服务端已经运行，那么就得用进程管理软件终止mbbmanager.exe这个进程，然后在windows下将它删除。当然，你也可以到纯dos下删除这些文件。

　　2.删除注册表中木马的自启动文件

　　到这里来删除：

　　[hkey_local_machine\software\microsoft\windows\currentversion\run]

　　"mainbroad backmanager"="c:\\windows\\mbbmanager.exe"

　　3.恢复txt文件关联

　　用记事本将如下内容复制下来，并命名为任意名字的reg文件：

　　regedit4

　　[hkey_classes_root\txtfile\shell\open\command]

　　@="notepad %1"

　　[hkey_local_machine\software\classes\txtfile\shell\open\command]

　　@="notepad %1"

　　双击上面这个reg文件，在弹出的对话框中点击“确定”就可以将这些内容导入注册表，从而将txt文件关联恢复过来。

　　4.恢复hlp文件关联。

　　用记事本将如下内容复制下来，并命名为任意名字的reg文件：

　　regedit4

　　[hkey_classes_root\hlpfile\shell\open\command]

　　@="c:\\windows\\winhlp32.exe %1"

　　[hkey_local_machine\software\classes\hlpfile\shell\open\command]

　　@="c:\\windows\\winhlp32.exe %1"

　　要特别注意的是，在你编制reg文件时，“regedit4”一定要大写，并且它的后面一定要空一行，还有，“regedit4”中的“4”和“t”之间一定不能有空格，否则将前功尽弃！许多朋友写注册表文件之所以不成功，就是因为没有注意到上面所说的内容，这回该注意点喽。请注意如果你是win2000或winxp用户，请将“regedit4”改为windows registry editor version 5.00。

　　最后，如果图省事的话，可以下载木马克星，它对付国产木马最在行了

（）

下一篇：104种木马手工清除方法

↓相关文章：