你好像重了黑洞2001
下載木馬剋星
希望對你有用




相關資料 轉載~台灣微風論壇

黑洞 2001服務端被執行後，會在c:\windows\system下生成兩個檔案，一個是S_Server.exe，S_Server.exe的是服務端的直接複製，用的是檔案夾的圖示，一定要小心了，這是個可執行檔案，可不是檔案夾哦；另一個檔案是windows.exe，大小為255,488位元組，用的是未定義類型的圖示。黑洞2001是典型的檔案關聯木馬，windows.exe檔案用來機器開機時立刻執行，並打開默認連接埠2001， S_Server.exe檔案用來和TXT檔案打開方式連起來(即關聯)！當中木馬者發現自己中了木馬而在DOS下把windows.exe檔案刪除後，服務端就暫時被關閉，即木馬被暫時刪除；當你執行了任何文字檔案案，隱蔽的S_Server.exe木馬檔案就又被啟動了，於是它再次生成 windows.exe文件，即木馬又被種入！這也就是這種檔案關聯木馬難以清除的一個原因。要說明的是，黑洞2001允許控制端用戶自由定制安裝後的木馬檔案案名和所使用的埠，因此如果中了黑洞2001，那麼你看到的檔案案名完全可能與此不同，木馬連接埠也可能不是2001，關聯的檔案也可以是EXE、 ZIP等檔案。本文是按其默認服務端配置來講的(以下所說皆如此)。
修改檔案關聯是國產木馬常用手段，黑洞2001也不例外(令人驚訝的是老外的木馬大都沒有這個功能，從這個角度來說還是我們中國人更聰明、更……呵呵)。我們來看看黑洞2001躲在註冊表的什麼對方。
用來每次開機就執行的windows.exe隱藏在註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下；
用來關聯TXT檔案的S_Server.exe躲在HKEY_CLASSES_ROOT\txtfile\shell\open\command和 HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下，它將系統預設值由 C:\WINDOWS\NOTEPAD.EXE %1改為了S_SERVER.EXE %1，請大家注意，就是在這裏黑洞2001改變了TXT檔案打開方式，因此就算你刪除了windows.exe這個檔案，但當你打開TXT檔案時，那個可怕的“幽靈”又回來了——它再次生成windows.exe，演繹了一場經典的“人鬼情未了”大戲。在註冊表的HKEY_CLASSES_ROOT和 HKEY_LOCAL_MACHINE\Software\CLASSES下，黑洞2001還建立了一個主鍵Winvxd，記載了一些經過加密的 server配置資訊，如Password、Runkey、Runkeyname、Smpt、Email等資訊，這些資訊不起控制作用，可以不用管它

[NCYU2 在 2005-7-4 02:45 PM 作了最後編輯]

話說小弟今天上網沒做任何動作但卻不斷有資料上傳，於是查了一下注冊表果然發現有個不明程式作崇，但奇怪的是明明檔名為windows.exe且位置在c:\windows\system32裡，但怎麼搜尋就是找不到，也就無法將之刪除，而且內容中的隱藏居然是反白的(請參考圖片)，著實怪異，想請問這裡的網友有沒有人知道如何解決的，將這個BMW怪程式趕出電腦。

圖片：


[klazid 在 2005-7-1 04:12 AM 作了最後編輯]