如何清除木马

随着黑客技术的日益发展，各种“装备先进”的木马在网上大面积传播。如果大家遇到杀毒软件能够查出来，但却无法清除的病毒，那么多半就是现在网上非常流行的DLL动态嵌入式木马，相对普通木马来说，DLL木马的查杀不易。难道我们就拿它们没有办法了吗？如何清除木马呢？下面我们就一步一步来删掉这个如蛆附骨的DLL木马。www.sq120.com推荐
小知识：什么是动态嵌入式DLL木马？
　　这种木马是将DLL木马文件嵌入到正在运行的系统进程中如“explorer.exe”、“svchost.exe”、“smss.exe”或系统常见的进程如“iexplore.exe”、“notepad.exe”，而在任务管理器里出现的就只是DLL的载体EXE文件，由于这些进程就是系统本身的进程，因此DLL木马具有极强的隐蔽性。
惊现病毒——杀毒软件束手无策
　　近日,笔者的Norton报警发现病毒“E:\windows\sagent\mssasu.com”（注：笔者系统安装在E盘）如图1。从病毒名称可以判断是一个黑客后门程序，看来是有人在电脑上安装了后门。

　　发现病毒自然是杀毒，将病毒库升级，启动Norton进行全面查杀，Norton又提示发现其他两个病毒，不过Norton既无法隔离也无法将病毒删除，如图2所示。

寻根究底——木马现原形
　　Norton无法删除病毒，原因显然是由于病毒进程正在运行导致的。wWW.ItCoMpuTEr.Com.cN由于Norton总是弹出发现病毒窗口而无法查杀，笔者便将Norton的自动防护暂时关闭。打开任务管理器，奇怪的是并没有发现有什么陌生的进程，不过其中的“iexplore.exe”引起笔者的警觉，因为此时笔者并没有运行IE浏览器，进程列表里怎么会出现这个进程？
　　右击进程选择“打开所在目录”，通过查看“iexplore.exe”属性，发现这的确是系统自带的IE浏览器，难道是IE染毒了？然后我又发现在关闭Norton自动防护情况下，每次终止“iexplore.exe”后，不到2秒它就会立刻复活，而启动Norton的防护后，则会发现“E:\WINDOWS\msagent\msdwix.com”病毒的提示。显然“msdwix.com”就是“iexplore.exe”的守护进程，当它发现监视的进程被终止后会立刻使它复活。
　　结合Norton发现的“Dxdgns.dll”这个病毒，笔者初步判断这应该是一个动态嵌入式DLL木马，它把“Dxdgns.dll”木马文件插入“iexplore.exe”进程里了。为了便于比较，笔者又启动一个“iexplore.exe”进程。进程调用的DLL文件，通过“Windows优化大师”组件“Windows进程管理”来查看。启动程序后选中“iexplore.exe”，单击“模块信息”，通过和正常IE进程详细对比，可以看到“e:\windows\dxdgn.dll”的确被IE调用，这就是病毒真身了，如图3所示。

先治标——清除病毒文件
　　对于此类病毒，笔者使用了“系统权限法”来阻止进程运行（注意：使用该法前提是系统采用NTFS格式）。打开“我的电脑”，单击“工具→文件夹选项→查看”，然后在“高级设置”选项下去除“简单文件共享（推荐）”前的小钩。
　　现在打开“E:\WINDOWS\msagent”，找到“msdwix.com”右击选择“属性”，然后单击“安全”标签，接着在属性窗口单击“高级”，在弹出的窗口清除“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”复选框，在弹出窗口单击“删除”，去除所有继承的权限，依次单击“确定”后退出，这样电脑上就没有任何用户可以运行“msdwix.com”了。
　　提示：对于采用FAT32格式的用户，可以将电脑重启到纯DOS下，手工删除“msdwix.com”文件。此外，对于通过系统的“rundll32.exe”命令调用DLL文件作恶的木马，也可以利用上述方法去除DLL文件的运行和读取权限。
　　现在使用任务管理器终止“iexplore.exe”，由于“msdwix.com”无法运行，自然它也不能重新加载“Dxdgns.dll”木马了。将电脑注销一下进入“e:\windows”，顺利删除了“Dxdgns.dll”。现在进入“E:\WINDOWS\msagent”，找到“msdwix.com”右击选择“属性”，重复前面的操作，勾选“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”复选框。最后按照Norton查毒的提示，删除其它病毒文件。
再治本——清除木马启动程序
　　因为每次启动这个木马病毒会运行，显然它在注册表添加了自启动项目，查看自启动项目软件有很多，笔者这里向大家推荐一款软件Autoruns 7.01 汉化版（下载地址http://www.d66.net/soft/6942.htm），它可以详细列出电脑上所有的自启动项目，运行程序后单击“查看”，依次勾选所要显示的项目（如服务、DLL文件、浏览器加载项、空位置），单击“刷新”后就可以看到检测结果了，它会列出所有启动位置。
　　从Autoruns检测可以看到，这个木马的启动键值是[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]和[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]下的COM服务，原来木马还通过注册为系统服务的方式启动。右击查找到的启动项目选择“跳转到具体位置”。这样可以直接打开注册表并定位到相应启动键值，按提示删除COM服务键值即可修复注册表。至此顺利将这个难缠的DLL木马扫地出门！

 
如何保障adsl帐号密码安全

目前，大多数ADSL宽带上网用户，为了上网的方便，在拨号软件或者ADSL Moden上保存自己的上网账号和密码。这存在很大的安全隐患，如果黑客盗取ADSL账号和密码，然后在网上购买Q币，就会造成受害者金钱的损失。那么黑客会如何盗取受害者的ADSL账号去购买Q币？我们应该如何防范呢？下面安全专家将教我们如何打赢ADSL账号密码保卫战。
远程操控获得Q币
　　互联星空网站的开通，打破了网络付费的限制，从而允许大家利用自己的ADSL账号，支付包括购买腾讯Q币在内的各类活动的开销，为我们提供了方便。这也是为什么黑客喜欢通过肉鸡，来支付自己购买Q币时的开销。
　　知己知彼方能百战百胜，我们先看看黑客是如何盗取ADSL账号密码的。这里我们假设已经有了一个中了灰鸽子木马的ADSL宽带上网电脑。
　　小知识：肉鸡是指在网络上，已经被你成功入侵的主机，并且这台机器完全受控于入侵者，入侵者可任意操作。
　　步骤1：打开灰鸽子客户端程序，在左边目录文件浏览处，展开自动上线的主机“加号”，会出现刚才运行服务端木马的主机IP。然后将其目标主机选中，单击上方“Telnet”功能图标，弹出“远程主机”命令窗体（图1），在常用的DOS命令文本处，输入Net Stop Sharedaccess的命令字符，敲击“回车”键，将远程主机的防火墙关闭。
　　步骤2：既然目前已经没有网络介质阻碍本机与远程肉鸡的通讯，那么现在就可以随意传送工具到肉鸡，这里单击“上传”功能按钮，在出现的对话框中，找到事先为肉鸡准备的Hgzmm911工具，然后单击“确定”按钮，将它上传到肉鸡驱动器。
　　小知识：Hgzmm911工具是一款ADSL破解工具，它体积小、猜解速度和成功率均比较高。但是该工具只能支持命令模式的操作平台，来执行破解程序的猜解功能。
　　步骤3：随后刷新一下上传的目录，此时肉鸡驱动器就会“浮现”出传入的ADSL破解工具。然后在其软件上方单击“右键”按钮，选择“本地打开”选项中的“带参数运行”标签。弹出“带参数运行”对话框，输入该软件执行代码（图2），再单击“OK”按钮，灰鸽子操作界面的状态栏，会出现“远程打开成功”的提示信息，说明已经成功破解ADSL密码。
　　步骤4：再次单击文件上面的“刷新”按钮，你会发现肉鸡的C盘符多出一个1.TXT文档，这也就是执行破解命令完毕后，将得到的ADSL密码信息存放的文档位置。然后在其文件上方单击“右键”按钮，选择“本地打开”选项，把里面的密码信息保存到本地，再选取“控制命令”标签，将Socks5服务开通，以便进入互联星空，使用相对应的ADSL账号和IP地址支付开销。
　　

 
如何在网吧免费上网

　　如今的网吧已经成为人们沟通联络、休闲娱乐的重要场所。但是总有那么一部分人喜欢不劳而获，想方设法通过各种方式来免费上网，这样做不但会给网吧的安全带来危害，还给网吧的拥有者造成了大量的经济损失，是一种极不道德的行为。为了避免网吧的使用者通过各种方式进行免费上网，给网吧拥有者造成不必要的损失，今天就为各位网吧管理员介绍防范各种免费上网的高招。
　　大兵，黑客安全技术专家，非常关注黑客及安全技术的动向和发展，主张并坚持知识开放、技术共享。对于软件破解和网络攻防有独到的见解。
免费上网第一招：无中生有
　　本小黑行走江湖，寻找各个门派的免费上网秘招，不敢独享，拿来与菜鸟们分享，先来第一招“无中生有”。要想通过更改用户数据库的方法，让自己免费上网，首先就需要知道网吧主机的IP地址才行。点击“开始”菜单中的“运行”命令，接着在弹出的窗口中输入“gpedit.msc”并确定，打开“组策略”窗口。点击“用户配置”下“管理模板”中的“系统”，双击“停用命令提示符”选项，选中“已停用”这项，这样操作就可以轻松地突破网吧管理软件的命令提示符以及Windows命令行下工具的使用限制。
　　接着点击“开始”菜单中的“运行”命令，接着在弹出的窗口中输入“cmd.exe”并确定，打开命令提示符窗口，在窗口的命令行中输入“ipconfig /all”，在返回的信息中找到网吧主机的IP地址192.168.0.1以及本机的IP地址192.168.0.6（一般网吧均使用类似内网地址）。然后运行准备好的“啊D网络工具包”，点击“工具”菜单下的“肉鸡查找”命令，在出现的操作界面中进行设置。首先在操作界面的“IP”选项中设置为192.168.0.1，然后点击“开始查找”按钮，程序就会自动对网吧主机的账号密码进行破解。如果用户运气好的话，用“啊D网络工具包”自带的弱口令就可以成功破解网吧主机的账号密码，接着和网吧主机成功进行IPC连接。
　　成功连接到网吧主机以后，点击“Win2000远程管理”按钮来查看网吧主机的一些相关信息，包括系统信息、系统服务、用户和组以及共享文件夹等等（如图1）。网吧主机相关信息　　通过对这项信息的查看，我们可以掌握到一些相关的信息，正所谓“知己知彼，百战不殆”。然后通过程序的“种植者”功能来上传我们配置好的木马程序。点击“木马种植”按钮，在弹出的“木马种植机”窗口中进行设置，程序已经自动将主机、用户名、密码等选项设置好了，我们只需要点击“本地文件”后的按钮来选择需要生成的木马程序就可以了。设置完成后，点击“开始”按钮，程序就会自动地将程序上传到网吧主机的系统中，然后自动运行它（如图2）。图2
木马种植机界面

 
From:http://www.itcomputer.com.cn/Article/Network/201309/989.html