七种常见木马的清除方法

  网络公牛(Netbull)

  网络公牛是国产木马,默认连接端口23444。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:WINDOWSSYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽、危害很大。同时,服务端运行后会自动捆绑以下文件:

  win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。

  服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上,在注册表中网络公牛也悄悄地扎下了根。

  网络公牛采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。

  清除方法:

  1.删除网络公牛的自启动程序C:WINDOWSSYSTEMCheckDll.exe。

  2.把网络公牛在注册表中所建立的键值全部删除。

  3.检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。

  Netspy(网络精灵)

  Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了。服务端程序被执行后,会在C:Windowssystem目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersion Run下建立键值Cwindowssystemnetspy.exe,用于在系统启动时自动加载运行。

  清除方法:

  1.重新启动机器并在出现Staringwindows提示时,按F5键进入命令行状态。在C:windowssystem目录下输入以下命令:del netspy.exe;

  2.进入HKEY_LOCAL_MACHINE

  SoftwaremicrosoftwindowsCurrentVersionRun,删除Netspy的键值即可安全清除Netspy。

  SubSeven

  SubSeven的功能比起BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374),服务端只有54.5k,很容易被捆绑到其它软件而不被发现。最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此很难查。

  清除方法:

  1.打开注册表Regedit,点击至: HKEY_LOCAL_MACHINESOFTWARE

  MicrosoftWindowsCurrentVersionRun和RunService下,如果有加载文件,就删除右边的项目:加载器=“c:windowssystem***”。注:加载器和文件名是随意改变的。

  2.打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除之。

  3.打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。

  4.重新启动Windows,删除相对应的木马程序,一般在c:windowssystem下,在我在本机上做实验时发现该文件名为vqpbk.exe。

  冰河

  我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:Windowssystem目录下生成Kernel32.exe和sy***plr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sy***plr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sy***plr.exe就会被激活,它将再次生成Kernel32.exe。

  清除方法:

  1.删除C:Windowssystem下的Kernel32.exe和Sy***plr.exe文件;

  2.冰河会在注册表HKEY_LOCAL_ MACHINEsoftwaremicrosoftwindowsCurrentVersionRun下扎根,键值为C:windowssystemKernel32.exe,删除它;

  3.在注册表的HKEY_LOCAL_ MACHINEsoftwaremicrosoftwindowsCurrentVersionRunservices下,还有键值为C:windowssystemKernel32.exe的,也要删除;

  4.最后,改注册表HKEY_CLASSES_ROOTtxtfileshellopencommand下的默认值,由表中木马后的C:windowssystemSy***plr.exe%1改为正常的C:windowsnotepad.exe %1,即可恢复TXT文件关联功能。

  网络神偷(Nethief)

  网络神偷是个反弹端口型木马。什么叫“反弹端口”型木马呢?与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP 服务端的IP地址:1026 客户端的IP地址:80ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。

  清除方法:

  1.网络神偷会在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下建立键值“internet”,其值为“internet.exe/s”,将键值删除;

  2.删除其自启动程序C:WINDOWSSYSTEMINTERNET.EXE。

  广外女生

  “广外女生”是是一种新出现的远程监控工具,破坏性很大,远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于“广外女生”服务端被执行后,会自动检查进程中是否含有“金山毒霸”、“天网”等字样,如果发现就将该进程终止,也就是说使防火墙完全失去作用!

  清除方法:

  1.启动到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除它;

  2.我们找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为“Regedit.com”;

  3.回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件);

  4.找到HKEY_CLASSES_ROOTexefileshellopencommand,将其默认键值改成“%1” %*;

  5.删除注册表中名称为“Diagnostic Configuration”的键值;

  6.关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe”。

  WAY2.4

  WAY2.4是国产木马程序,默认连接端口是8011。WAY2.4的注册表操作的确有特色,对受控端注册表的读写,就和本地注册表读写一样方便!WAY2.4服务端被运行后在C:windowssystem下生成msgsvc.exe文件,图标是文本文件的图标,很隐蔽。看来它想冒充系统文件msgsvc32.exe。同时,WAY2.4在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下建立串值Msgtask。

  清除方法:

  用进程管理工具查看,你会发现进程CWAY,只要删除它在注册表中的键值,再删除C:windowssystem下的msgsvc.exe这个文件就可以了。

  要注意在Windows下直接删除msgsvc.exe是删不掉的,此时你可以用进程管理工具终止它的进程,然后再删除它。或者到DoS下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了,那就只有将那个可执行文件也删除了。注意在删除前请做好备份。

(0)

相关推荐

  • 七种常见的Word打印设置技巧

    七种常见的Word打印设置技巧 1.打印指定页码 有些时候,我们只希望打印文档中的某些页码,只要点击菜单命令"文件→打印",在打开的"打印"对话框中,选中&qu ...

  • 我的世界七种增益药水的制作方法

    我的世界七种增益药水的制作方法,包括:再生药水.治疗药水.迅捷药水.火抗药水.夜视药水.隐身药水.力量药水,这可是必会技能哦! 一.再生药水 01 使用粗制的药水和幽灵眼泪制作出再生药水.这个药水可以 ...

  • Excel使用中常见的七种公式错误及其解决方法

    我们在日常使用excel办公软件时,可能会遇到一些错误信息,例如:#value!、# n/a!、 #div/o!等等。这也使得一些只懂得应用该软件的朋友们,常常是一头雾水,不知道出了什么问题,或者该如 ...

  • win7系统黑屏了怎么办?win7系统电脑发生黑屏的九种常见原因及解决方法

    说到win7系统电脑黑屏问题,相信大家都不会陌生了,而导致win7系统电脑黑屏的原因有很多种,许多电脑小白遇到黑屏状况就束手无策了,不知道怎么解决.所以今天小编给大家讲解win7系统电脑发生黑屏八种常 ...

  • 拔营起寨针对插入式木马的清除方法

    目前网络上最猖獗的病毒估计非木马程序莫数了,现在的木马攻击性越来越强,在进程隐藏方面,很少采用独立的EXE可执行文件形式,而是改为内核嵌入方式.远程线程插入技术.挂接PSAPI等,这些木马也是目前最难 ...

  • 七种常见Excel错误提示及问题解决方法

    Excel经常会显一些错误值信息,如#N/A!.#VALUE!.#DIV/O!等等.出现这些错误的原因有很多种,最主要是由于公式不能计算正确结果.例如,在需要数字的公式中使用文本.删除了被公式引用的单 ...

  • 网站被攻击的几种常见方式及处理方法

    网站上线后,后期维护是相当重要的,在这个工程中我们最该注意的就是网站安全.最近有几个站长朋友问我,我的站被攻击了该如何办呢?下面我就举出几个常见的攻击方式以及个人的处理建议.希望对大家有一定的帮助. ...

  • 十一种常见流氓软件完全卸载方法

    这些东西你迟早会用的上,这些流氓软件随时都有可能来折磨你的神经. 步骤/方法 01 MMSAssist彩信通 彩信通共有4个文件一个服务,分别是: 1.C:\windows\system32下的Alb ...

  • 路由器192.168.0.1进不去怎么办4种常见故障的解决方法

    故障1:本地连接显示已连接,或者显示本地连接受限制但无法登录? 解决方法: (1)、将电脑本地连接设为自动获取IP。电脑IP地址设置 (2)、手动设置本地连接IP地址为:192.168.0.X( 1& ...