網絡常見木馬的手工清除方法

2/1/2004來源:安全在線人氣:17071

  木馬的出現對我們的系統造成了很大的危害,但是由于木馬通常植入得非常隱蔽,很難完全刪除,因此,這里我們介紹一些常見木馬的清除方法。

  1. 網絡公牛(Netbull)

  網絡公牛是國產木馬,默認連接端口23444。服務端程序newserver.exe運行后,會自動脫殼成checkdll.exe,位于C:\WINDOWS\SYSTEM下,下次開機checkdll.exe將自動運行,因此很隱蔽、危害很大。同時,服務端運行后會自動捆綁以下文件:

  win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。

  服務端運行后還會捆綁在開機時自動運行的第三方軟件(如:realplay.exe、QQ、ICQ等)上,在注冊表中網絡公牛也悄悄地扎下了根。

  網絡公牛采用的是文件捆綁功能,和上面所列出的文件捆綁在一塊,要清除非常困難。這樣做也有個缺點:容易暴露自己!只要是稍微有經驗的用戶,就會發現文件長度發生了變化,從而懷疑自己中了木馬。

  清除方法:

  1.刪除網絡公牛的自啟動程序C:\WINDOWS\SYSTEM\CheckDll.exe。

  2.把網絡公牛在注冊表中所建立的鍵值全部刪除:

  3.檢查上面列出的文件,如果發現文件長度發生變化(大約增加了40K左右,可以通過與其它機子上的正常文件比較而知),就刪除它們!然后點擊“開始→附件→系統工具→系統信息→工具→系統文件檢查器”,在彈出的對話框中選中“從安裝軟盤提取一個文件(E)”,在框中填入要提取的文件(前面你刪除的文件),點“確定”按鈕,然后按屏幕提示將這些文件恢復即可。如果是開機時自動運行的第三方軟件如:realplay.exe、QQ、ICQ等被捆綁上了,那就得把這些文件刪除,再重新安裝。

  2. Netspy(網絡精靈)

  Netspy又名網絡精靈,是國產木馬,最新版本為3.0,默認連接端口為7306。在該版本中新添加了注冊表編輯功能和瀏覽器監控功能,客戶端現在可以不用NetMonitor,通過IE或Navigate就可以進行遠程監控了。服務端程序被執行后,會在C:\Windows\system目錄下生成netspy.exe文件。同時在注冊表HKEY_LOCAL_MACHINE\software\ microsoft\windows\CurrentVersion \Run\下建立鍵值C\windows\ system\netspy.exe,用于在系統啟動時自動加載運行。

  清除方法:

  1.重新啟動機器并在出現Staring windows提示時,按F5鍵進入命令行狀態。在C:\windows\system\目錄下輸入以下命令:del netspy.exe;

  2.進入HKEY_LOCAL_MACHINE\

  Software\microsoft\windows\ CurrentVersion\Run\,刪除Netspy的鍵值即可安全清除Netspy。

  3. SubSeven

  SubSeven的功能比起BO2K可以說有過之而無不及。最新版為2.2(默認連接端口27374),服務端只有54.5k,很容易被捆綁到其它軟件而不被發現。最新版的金山毒霸等殺毒軟件查不到它。服務器端程序server.exe,客戶端程序subseven.exe。SubSeven服務端被執行后,變化多端,每次啟動的進程名都會發生變化,因此很難查。



河北快3走势图彩 江西多乐彩走势图解 福建36选7走势图表 急速赛车开奖结果 青海11选5中奖规则 秒速快3破解 江苏十一选五走势图 怎么玩股票赚钱 丹邦科技股票行情 秒秒彩票App 赚钱的游戏下载