暗组远控黄金版手工卸载方法
暗组远控黄金版手工卸载方法
昨天上兴被杀了,定出一个新的特征码,试了N种方法,搞不定—_—!
上兴搞不定,就拿出暗组远控黄金版看看,生成一个服务端,开完全影子模式,在自己结机器上测试,成功上线,功能也不错,免杀也十分简单,.
测试完成后,卸载掉,过了不到8秒,又上线了,我再卸载,过了不到8秒,又上线了````重复N次,干不掉,我郁闷了,重启啦, 想着刚才开了影子,不怕,可是,噩梦啊,重启后打开,发现任务管理器里面很多程序以system权限运行,明显不对!ipconfig检查端口,无异常!木马辅助查找器检查,无异常.最后用冰刃,检查端口,有一个4000端口的,貌似每几秒刷一次,只有不断点冰刃的端口项才可以看到那个可恶的4000端口在,开 暗组远控黄金版 更新3322域名,又上线了,汗!!!
今天查下baidu,没有清除方法,只好自己弄了.冰刃可以看到开4000端口的是svchost,这个是系统进程,无法结束,因为一结束就60秒倒计时关机.记得暗组远控黄金版生成的时候有填写dll的,现在又svchost进程开的4000端口,显然,是线程插入技术了,开360,检查所以可疑的东东,在"系统全面诊断"最下面的"系统服务"里看到了一个可疑服务看下地址,是我生成MM时写的那个dll,名字是huar.dll,360干不掉,既然找到了,就娶看看吧,"我的电脑"右键--"管理"--"服务和应用程序"--"服务",找到一个B开头的服务,完整的名字是Background Intelligent Transfer Service,启动类型是自动,怪不得每次开机都会上线呢.查了下一般插入svchost进程的文件在注册表的位置是HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
来到这个键下,找了一会找到BITS,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
看下,果然是MM,嘿嘿,下手要狠,直接删除BITS.最后,到C:\WINDOWS\system32,删除huar.dll
呵呵,大功告成!重启下,打开冰刃看下端口,没有4000端口了,看下服务,没有Background Intelligent Transfer Service了,开360,看看,呵呵,没了吧,自此,暗组远控黄金版完美清除了!
