在各種電腦病毒中，木馬類病毒在網絡上比較活躍，而且會經常給人們帶來危害。在這里，我們向讀者介紹一些常見木馬類病毒的識別和清除方法，供網管員們在實踐中參考。同時，也希望網管員們推薦一些根除其他病毒的有效方法。

1．廣外女生

“廣外女生”木馬是2001年的十大木馬之一，其可怕之處在于“廣外女生”預備端被執行后，會每隔5分鐘自動進行一次進程檢查，看是否含有“金山毒霸”、“防火墻”、“iparmor”、“tcmonitor”、“實時監控”、“lockdown”、“kill”、“天網”等字樣的進程。如果發現就將該進程終止，這使得大家最常用的各種病毒防火墻、網絡防火墻不能運行與監控。即便發現了該病毒的存在，也很難使用殺毒軟件來進行查殺，因為殺毒軟件查殺需要大量的時間，在這個時間內往往就被終止了進程。而且這個木馬還有一個讓人難以處理之處，即如果手工刪除了這個程序的主文件，那么所有的EXE文件都打不開。因為它和EXE關聯了，只要打開一個EXE的程序，就必須先檢查它是否在運行，如果沒有，就自動啟動它，然后以參數傳遞方式打開此EXE程序。當手工刪除之后，系統會找不到它，自然參數也就傳遞不了，也就不能打開任何EXE程序。

該病毒的清除方法如下所述。

(1)使用“開始”→“運行”，輸入“regedit”打開注冊表；

(2)打開注冊表HKEY_CLASSES_Roo]_ROOT＼exefile＼shell＼open＼command值，然后繼續第三步：

(3)刪除系統SYSTEM目錄下面的DIAGCFG．EXE文件；

(4)修改注冊表的HKEY_CLASSES_ROOT＼exefile＼shell＼open＼command值為“％1”％*；

(5)打開注冊表HKEY_LOCAL_MACHINE＼SOFTWAREhMicrosoft＼Windows＼CurrentV- ersion＼RunServices，刪除其中名稱為“Diagnostic Confignration”的鍵值；

(6)關閉注冊表。

2．AOL Trojan

要清除AOL Trojan木馬程序，請按照以下步驟去做。

(1)在Windows系統下，取消下列文件的隱藏屬性：C：americ～1．0＼buddy1～1．exe和 C：＼Windowsks＼stem＼norton～1～regist-1．exe；

(2)重新啟動到MS-DOS模式，刪除下面兩個文件：C：americ～1．0＼buddy1～1．exe和 C：＼Windowsks＼system＼norton～1＼regist～1．exe；

(3)重新啟動到Windows系統下，編輯win．ini文件，在“Windows”下面“run=”和“load=”都具有特洛伊木馬程序的路徑，必須清除它們，使其成為：

run=

load=

修改完畢后，保存win．ini文件即可。

(4)打開注冊表，找到目錄：HKEY_LOCAL_MACHINE＼SOFTWARELMicrosoft＼Windo-ws＼CurrentVersion＼Run，刪除右邊的WinProfile=C：＼command．exe；

(5)重新啟動到Windows系統，就完成了AOL木馬的清除。

通過用戶名和口令保安全有局限性

由用戶名和口令實現安全有一定局限性。經過仔細挑選的口令是有效果的，用戶經常挑選非常淺顯的口令，如他們的名字、生日、電話號碼，或是寵物的名字。這些口令容易被猜測出來。在WWW服務器上，不像UNIX，在多次未成功猜測后并不會發出警告。一個頑固的黑客能通過一個口令猜測程序的方式闖進系統。人們應該對遠程用戶共用他們的名字和口令而發出警告，運用IP地址和口令限制的組合比單純運用二者要安全得多。

另一個問題是，口令從瀏覽器向服務器傳送時容易被截取。以任何有意義的方式都無法對其加密，所以具有一定軟件和硬件經驗的黑客，當口令通過互聯網傳輸時可以截獲它。此外，不像一個口令在此進程只能通過互聯網一次登錄，而瀏覽器每送一個口令就獲取一個被保護的文檔。當它流過互聯網時，黑客能容易的竊取所傳送的數據。為避免這種情況，必須對口令等數據加密。

3．聰明基因

“聰明基因”是國產木馬，默認連接端口7511。“聰明基因”的突出特點是采用了HTM文件圖標，而且當用戶打開它時，還會自動調用IE，然后打開一個它在后臺生成的文件。它采取的是和幫助關聯的方式。下面介紹手動清除方法。

(1)刪除C：＼Windows下的MBBManager．exe和Explore32．exe，再刪除C：＼Windows＼ system下的editor．exe文件。如果服務端已經運行，則使用進程管理軟件終止MBBManager．exe進程，然后在Windows下將它刪除，也可到DOS下刪除MBBManager．exe，而editor．exe在 Windows下可直接刪除。

(2)展開注冊表到HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Current- Version＼Run下，刪除串值“MainBmad BackManager”，其鍵值為C：＼Windows＼MBBM- anager．exe，每次在開機時就被加載運行，因此刪掉它。

(3)恢復TXT文件關聯“聰明基因”，將注冊表HKEY_CLASSES_ROOT＼txtfile＼sh- ell＼open＼command下的默認鍵值由C：＼Windows＼LNOTEPAD．EXE％1改為C：＼Windows＼syst- em＼editor．exe％1，因此要恢復成原值。

同理，到注冊表的HKEY_LOCAL_MACHINE＼Software＼CLASS＼txtfile＼shell＼open＼com-mand下，將默認鍵值由C：＼Windows＼system＼editor．exe%／1改回到C：＼WindowsLNOTEPAD．EXE％1，這樣就將TXT文件關聯恢復過來了。

4．Acid Shiver v1．0+1．0Mod+imacid

清除Acid Shiver木馬的過程有些復雜，可以按照以下的步驟進行清除。

(1)重新啟動到DOS模式，刪除C：＼Windows＼wintour．exe文件；

(2)再重新啟動到Windows系統，打開注冊表，找到目錄：HKEY_LOCAL_MACH- INE＼SOFTWAREkMicmsoft＼Windows＼CurrentVersionhRun，刪除右邊的Explorer=-“C：＼Windo-ws＼MSGSVR16．EXE”，找到目錄：HKEY_LOCAL_MACHINE＼SOFTWAREhMicrosoff＼Windo-ws＼CurrentVersion＼RunServices，刪除右邊的Explorer=“C：＼Windows＼MSGSVR16．EXE”；

(3)重新啟動到DOS模式，刪除C：＼Windows＼wintour．exe，然后回到Windows系統；

(4)打開注冊表，找到目錄：HKEY LOCAL_MACHINE＼SOFTWARELMicmsoft＼Win- dows＼CurrentVersion＼Run，刪除右邊的Wintour=“C：＼Windows＼WINTOUR．EXE”，找到目錄： HKEY_LOCAL MACHINE＼SOFTWAREkMicrosoft＼Windows＼CurrentVersion＼RunServices，刪除右邊的Wintour=“C：＼Windows＼WINTOUR．EXE”；

(5)重新啟動Windows系統。

5．GOP

    GOP是Get OICQ Password的縮寫，從這個名字我們就可以看出，這是一個獲取別人OICQ(現在應該稱為QQ)密碼的木馬軟件。用手工進行清除的辦法如下所述。

(1)在注冊表里找到HKEY_LOCAL_MACHINE＼SOFFWARE＼Microsofi＼Windows＼Curr- entVersionLRun刪除“C：＼winnt＼system32＼kerne132．exe”的主鍵；

(2)立即重啟系統，重啟后馬上查找IMEKerne132．sys這個文件，打到后刪除這個文件。