Trojan.GWGirls10a.192000又称“广外女生”是一种远程监控工具,破坏性很大,能远程修改注册表。
据称这一恶意程序是广东外语外贸大学“广外女生”网络小组的
该木马程序运行后,将会在系统的System目录下生成一份自己的拷贝,名称为Diagcfg.exe,并关联EXE文件的打开方式,
如果贸然删掉了该文件,将会导致系统所有EXE文件无法打开的问题。
具体手工清除方法如下:
1、由于该木马程序运行时无法删除该文件,因此启动到纯DOS模式下,找到System目录下的Diagcfg.exe,删除它;
2、由于Diagcfg.exe文件已经被删除了,因此在Windows环境下任何EXE文件都将无法运行。我们找到Windows目录中
的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”;
3、回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件);
4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command,将其默认键值改成"%1" %*;
5、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current-Version\RunServices,删除其中名称为“Diagnostic Configuration”
的键值;
6、关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe"。
7、完成。
及时更新软件
只要用户及时到金山毒霸服务网站及软件下载网站下载更新病毒库,就能有效防御该病毒了。
感想
与“广外女生”一役,以金山毒霸胜出告终。病毒与反病毒的战事,大有愈演愈烈的势头。正是在这一次又一次的斗争
中,防病毒软件技术得以不断发展创新。
木马是清除了,但是也给我留下深刻的印象和无尽的思索。这个木马的确是十分隐蔽。首先它不可以用优化大师这类
进程查看软件查看得到它的进程,其次就是代替了系统的开机扫描、备份注册表的命令,而且木马的名字也是一样
SCANREGW.EXE,木马只是修改了随机启动项目的指向目录,这是不容易引起一般用户注意的。就是说如果用户已经
中了该木马,一来进程软件察觉不到;二来也不会觉察到这一项原来看似平常的启动项目居然就是木马随机启动的藏身
之处。这样的两大的隐蔽性,使得用户中木马以后很难觉察到的。
发现关键点,关于手杀的,都得修改注册表。这是思路!