对一木马的分析及清除，另总结了对付类似病毒木马的基本方法

对一木马的分析及清除，另总结了对付类似病毒木马的基本方法.
  最近中了个小木马，用古老的AVP查了一下似乎不能清除，于是用IDA简单分析了一下。把分析结果和清除程序放上。http://chutium.top263.net/programming.htm#codes 病毒文件可以到那里去下，分析的结果我会在下面贴出来。
  这里是压缩包中的文件清单： http://chutium.top263.net/software/trojan.abc.txt
  abc.exe 浏览某些网站时自动创建到 C: 的木马源.经过简单分析，它是使用 vb 5.0 版本写的，暂时命名为 trojan.abc.
abc.idb 使用较早的 IDA Pro 4.1.5 反汇编的代码killabc.txt 是清除 trojan.abc 的批处理文件代码，只对 Windows 9X 有效。我现在没有9x的机器，所以很可能还有错误……
  简单分析.TXT 通过 IDA 反汇编分析得到的病毒的一些复制、破坏手段及我建议的修复、查杀方法。文件列表.TXT 就是这份文件清单。自己动手.TXT 我写的：自己动手删除时常来袭的 木马、病毒一并写了份分析并清除的基本方法。 自己动手删除时常来袭的 木马、病毒http://chutium.top263.net/docs/trojan.abc.txt 昨天在这里发了，不在贴了。
=============================================================================================
简单分析
C:abc.exe => 病毒源 （所以暂时命名为 trojan.abc）
将自身复制至：
注：=> 后面是木马修改的注册表中 HKEY_CLASSES_ROOT 下项中的 默认 键值，具体请见清除木马的部分
%systemroot%Softver32a.exe => inifile "C:WINNTSoftver32a.exe %1"
%systemroot%infUuinf32a.exe => inffile "C:WINNTinfUuinf32a.exe %1"
%systemroot%CommandFontc32a.exe => txtfile "C:WINNTCommandFontc32a.exe %1"
以上被修改的键值全部改为 "%systemroot% otepad.exe %1"
%systemroot%SYSTEMOdbcCon32a.exe => HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun "C:WINNTSYSTEMOdbcCon32a.exe"
删除此键
  注：如果是 Windows 9X 系统，以上注册表键中 WINNT 应为 windows 。另外，经过反汇编发现，木马会窃取中彩主机的用户密码等，并创建一个 %systemroot%systemmapis32a.dll 文件储存相关信息
2001-08-15 01:18:52
2001-08-15 01:19:27
正在网络上注册您的计算机...
取消
==============================================================================
获取中彩主机的用户密码等，发送至：
mail from: winlin3@china.com
rcpt to: winlin4@china.com
木马从网站：pub.chaoyang.gd.cn 获取（无法访问）
注：经过测试，这个木马只对 Windows 98 有效。