简介

手工清除方法

感想

简介

邂逅“广外女生”木马病毒

最近一段时间，病毒越来越猖獗，国内病毒制造者们似乎感觉反病毒软件也不过如此，甚至开始了专门针对某一有代表性或流行反病毒软件来编写病毒或恶意程序以证明自己的实力。一度出现了病毒制造与反病毒软件更新查杀大比拼的局面。

Trojan.GWGirls10a.192000又称“广外女生”是一种新出现的远程监控工具，破坏性很大，能远程修改注册表。据称这一恶意程序是广东外语外贸大学“广外女生”网络小组的

处女作，此软件专门针对金山毒霸和天网防火墙，使二者无法运行。

殊不知，“魔高一尺，道高一丈”，金山毒霸研发部在最短时间监测发现并立即对该木马程序进行分析，提出以下清除方法：

手工清除方法

该木马程序运行后，将会在系统的System目录下生成一份自己的拷贝，名称为Diagcfg.exe，并关联EXE文件的打开方式，如果贸然删掉了该文件，将会导致系统所有EXE文件无法打开的问题。

具体手工清除方法如下：

1、由于该木马程序运行时无法删除该文件，因此启动到纯DOS模式下，找到System目录下的Diagcfg.exe，删除它；

2、由于Diagcfg.exe文件已经被删除了，因此在Windows环境下任何EXE文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”；

3、回到Windows模式下，运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件)；

4、找到HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command，将其默认键值改成"%1" %*；

5、找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Current-Version\\RunServices，删除其中名称为“Diagnostic Configuration”的键值；

6、关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe"。

7、完成。

及时更新软件

只要用户及时到金山毒霸服务网站及软件下载网站下载更新病毒库，就能有效防御该病毒了。

感想

与“广外女生”一役，以金山毒霸胜出告终。病毒与反病毒的战事，大有愈演愈烈的势头。正是在这一次又一次的斗争中，防病毒软件技术得以不断发展创新。

木马是清除了，但是也给我留下深刻的印象和无尽的思索。这个木马的确是十分隐蔽。首先它不可以用优化大师这类进程查看软件查看得到它的进程，其次就是代替了系统的开机扫描、备份注册表的命令，而且木马的名字也是一样SCANREGW.EXE，木马只是修改了随机启动项目的指向目录，这是不容易引起一般用户注意的。就是说如果用户已经中了该木马，一来进程软件察觉不到；二来也不会觉察到这一项原来看似平常的启动项目居然就是木马随机启动的藏身之处。这样的两大的隐蔽性，使得用户中木马以后很难觉察到的。