回帖：下删除文件名以UMGR32打头的文件(del


umgr*.*),再把它增加的注册表项删掉即可。对于WindowsNT,因为不能进入纯DOS状态,可以先删除它的相关注册表项,然后重启机器再看能否删掉以UMGR32打头的文件。如果这样不行的话,只好用系统软盘引导别的作系统再做修改了。


??另外，如果你已经在使用Windows 98 Second Edition版(即98第2版), BO2K


1.0会因为在隐身时的一个小缺陷,它会导致每次开机时都出现“非法作”提示而无法在系统中顺利驻留，因此使用Windows98


SE版是暂时免疫BO2K的方法之一（可是这种暂时的优势随时可能会因BO2K新修正版的推出而不复存在）。


??什么是KeyboardGhost，如何清除？


??答：KeyboardGhost（键盘幽灵）是一个专门记录键盘按键情况的黑客软件，可以运行在Win9x/NT/2000下。它的原理是这样的：Windows系统为了开辟键盘输入的缓冲区，在核心区保留了一定数量的字节，其数据结构形式是队列。KeyboardGhost就是通过直接访问这一队列来记录键盘上输入的一切以星号形式显示的密码窗口中的符号。并在系统根目录下生成一文件名为KG.DAT的隐含文件。对策是启动注册表，将→KG.EXE这一键值删除，并将文件KG.EXE从Windows\System目录下删除。


同时删除C:\KG.DAT这个文件。


??什么是万能钥匙Xkey？


??答：万能钥匙Xkey是产自国内的密码查找软件，该软件把词典内容分为“电话号码”、“出生期”、“姓名字母”、“英文数字”四个部分，在每一部分可以按照需要设置有关参数，以快速地制作出许多破解工具所需要的词典文件。万能钥匙Xkey的


1.1版本还增加了电脑和网络常用英文作为字典文件中的单词。 万能钥匙Xkey可以根据你的设置生成各种类型的口令，下面逐一介绍：


1、电话号码：分为“普通电话”和“数字移动电话或寻呼机”两种，这里可以选择不同位数的号码。


在“词典长度”状态栏可以直观地看到词典的长度。词典的越长，那么生成的时间越长、词典文件也越大。2、出生期：分为月、年月、年月三种，并可选择二位或四位年份和设置年份范围。3、姓名字母：分为姓名声母、姓或英文名、中文姓+名、中文姓+名字声母、中文姓+英文名；在姓氏范围中，你可以直接输入某个姓氏或按照人口频度选择姓氏范围，在“姓氏范围”中，你可以直接输入某个姓氏或调整人口频度。


除此之外，你还可选择加上固定前缀、常用数字和出生期，姓名换位或使用分隔符。4、英文数字：此项包括有“计算机和网络常用英文(150个)”、其它常用英文(53123个)、常用数字(175个)和其它数字(0-999999)。


??在生成词典文件之前，你还可以对词典中的字母进行大小写设定和设定词条宽度，并可以根据不同的系统平台对文本文件的换行符进行设定。在一切设置好后，来到“生成词典”对话框，点击“完成”按钮，弹出“保存词典文件”对话框，设置要保存的词典文件类型为TXT或DIC，然后用鼠标单击“保存”按钮，Xkey就开始为你生成词典了。


??什么是NetSpy，如何清除？


??答：Netspy是一个运行Win95/98的客户机/服务器模式远程控制软件，由客户程序和服务器程序两部分组成。在最新的Netspy版本中，客户程序通过互连网与安装运行在远程计算机上的服务器程序打交道。实际上可以将其看作一个没有权限控制的增强型FTP服务器。通过NetSpy可以神不知鬼不觉地下载和上载目标机器上的任意文件。并可以执行一些特殊的作，如：终止远程计算机中运行的程序、在远程计算机上执行程序、关闭远程计算机等。


??要想通过NetSpy自由存取别的计算机上的软件，同样必须先在目标计算机上安装NetSpy的服务器。Netspy服务器的安装方法十分简单，只需在目标计算机上运行一次netspy.exe文件即可。NetSpy会自动注册到系统里，以后每次启动Windows95/98时，就会自动启动netspy.exe程序了。这时，只要在别的计算机上执行netmonitor.exe，在菜单里选择添加计算机，输入目标计算机的IP地址或域名地址，就可以连接到目标计算机上进行作了，使用方法十分简单。Netspy的缺点是不能为具体的机器设置密码，所以说安装了netspy server的机器一旦上网，有可能被任何安装了NetSpy客户程序的机器所控制。


??由于Netspy.exe程序安装后，每次重新启动Windows95/98都会在不为人觉察的情况下自动加载NetSpy，所以它也是一个典型的特洛伊黑客程序：只要设法使欲攻击对象运行一次netspy.exe文件，目标计算机的后门就彻底对外开放了。只要对方的计算机一上网，入侵者就可以神不知鬼不觉地取得它的绝对控制权！


对策是在“开始--运行”里输入REGEDIT.EXE，直接打开注册表，如果在：“HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\CurrentVersion\Run”里如果有类似“netspy”、“C：＼windows＼system＼netspy.exe”等字样，说明NetSpy已经进驻系统。另外一种识别方法是：打开资源管理器，进入Windows下的System子目录，如果发现有NetSpy.exe文件（86.5KB）,没说的，中招了！


??清除NetSpy的方法是：重新启动计算机，进入DOS状态,在Windows下的System子目录里删掉NetSpy.exe这个文件。再次启动机器，进入Windows的注册表，找到并删除“KEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run”下NetSpy的键值即可。


??什么是ProxyThief，如何清除？


??答：ProxyThief被安装后，会用NetInspect 对机器的0到9999端口进行扫描，以找出可用的Free Proxy!端口，


然后通过将你的计算机设置成代理服务器， 达到冒用你的IP上网的目的


。黑客可以通过NetSpy或BO2K这样的工具对ProxyThief进行远程控制。清除方法是运行注册表，查找关键字“ProxyThief”，将所有与之相关的键和键值删除。


??什么是“冰河”，如何清除？


??答：国产黑客软件“冰河”


与所有的特洛伊木马程序一样，当“冰河”的服务器端程序G_Server.exe一旦被某台电脑的使用者所执行，虽然在表面上看不出任何变化，但事实上，该服务器端程序已悄悄地进驻该机的注册表，以后，只要这台电脑一启动上网，可怕的“后门”（默认端口号7626）就会悄然洞开，可轻易地被藏在网络某个角落的客户端程序G_Client.exe扫描到并实施包括可显示系统信息及上网密码、系统控制（重新启动、关机等）、注册表键值读写等几乎是全方位的控制。


如果上网时一旦不小心误入了“冰河”，脱身的方法如下：


??1.在c:\Windows\system目录下，查找并删除名为KERNEL32.EXE的文件。


??2.“冰河”为了进行自我保护，它可将自己与文本文件关联，以便在程序被删除后在打开文本文件的时候又自动恢复，这个关联文件是SYSEXPLR.EXE。


??3. 检查注册表。在“开始—运行”里输入“regedit”并回车，在“HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion \Run和HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServices”，查找并删除有KERNEL32.EXE文件的键值。


??4.最后，因为“冰河”的服务器端程序名不一定就是KERNEL32.EX