關于七種常見木馬的清除方法
網(wǎng)絡公牛(Netbull)
網(wǎng)絡公牛是國產木馬,默認連接端口23444。服務端程序newserver.exe運行后,會自動脫殼成checkdll.exe,位于C:WINDOWSSYSTEM下,下次開機checkdll.exe將自動運行,因此很隱蔽、危害很大。同時,服務端運行后會自動捆綁以下文件:
win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服務端運行后還會捆綁在開機時自動運行的第三方軟件(如:realplay.exe、QQ、ICQ等)上,在注冊表中網(wǎng)絡公牛也悄悄地扎下了根。
網(wǎng)絡公牛采用的是文件捆綁功能,和上面所列出的文件捆綁在一塊,要清除非常困難。這樣做也有個缺點:容易暴露自己!只要是稍微有經(jīng)驗的用戶,就會發(fā)現(xiàn)文件長度發(fā)生了變化,從而懷疑自己中了木馬。
清除方法:
1.刪除網(wǎng)絡公牛的自啟動程序C:WINDOWSSYSTEMCheckDll.exe。
2.把網(wǎng)絡公牛在注冊表中所建立的鍵值全部刪除。
3.檢查上面列出的文件,如果發(fā)現(xiàn)文件長度發(fā)生變化(大約增加了40K左右,可以通過與其它機子上的正常文件比較而知),就刪除它們!然后點擊“開始→附件→系統(tǒng)工具→系統(tǒng)信息→工具→系統(tǒng)文件檢查器”,在彈出的對話框中選中“從安裝軟盤提取一個文件(E)”,在框中填入要提取的文件(前面你刪除的文件),點“確定”按鈕,然后按屏幕提示將這些文件恢復即可。如果是開機時自動運行的第三方軟件如:realplay.exe、QQ、ICQ等被捆綁上了,那就得把這些文件刪除,再重新安裝。
Netspy(網(wǎng)絡精靈)
Netspy又名網(wǎng)絡精靈,是國產木馬,最新版本為3.0,默認連接端口為7306。在該版本中新添加了注冊表編輯功能和瀏覽器監(jiān)控功能,客戶端現(xiàn)在可以不用NetMonitor,通過IE或Navigate就可以進行遠程監(jiān)控了。服務端程序被執(zhí)行后,會在C:Windowssystem目錄下生成netspy.exe文件。同時在注冊表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersion Run下建立鍵值Cwindowssystemnetspy.exe,用于在系統(tǒng)啟動時自動加載運行。
清除方法:
1.重新啟動機器并在出現(xiàn)Staringwindows提示時,按F5鍵進入命令行狀態(tài)。在C:windowssystem目錄下輸入以下命令:del netspy.exe;
2.進入HKEY_LOCAL_MACHINE
SoftwaremicrosoftwindowsCurrentVersionRun,刪除Netspy的鍵值即可安全清除Netspy。
SubSeven
SubSeven的功能比起B(yǎng)O2K可以說有過之而無不及。最新版為2.2(默認連接端口27374),服務端只有54.5k,很容易被捆綁到其它軟件而不被發(fā)現(xiàn)。最新版的金山毒霸等殺毒軟件查不到它。服務器端程序server.exe,客戶端程序subseven.exe。SubSeven服務端被執(zhí)行后,變化多端,每次啟動的進程名都會發(fā)生變化,因此很難查。
清除方法:
1.打開注冊表Regedit,點擊至: HKEY_LOCAL_MACHINESOFTWARE
MicrosoftWindowsCurrentVersionRun和RunService下,如果有加載文件,就刪除右邊的項目:加載器=“c:windowssystem***”。注:加載器和文件名是隨意改變的。
2.打開win.ini文件,檢查“run=”后有沒有加上某個可執(zhí)行文件名,如有則刪除之。
3.打開system.ini文件,檢查“shell=explorer.exe”后有沒有跟某個文件,如有將它刪除。
4.重新啟動Windows,刪除相對應的木馬程序,一般在c:windowssystem下,在我在本機上做實驗時發(fā)現(xiàn)該文件名為vqpbk.exe。
冰河
我們這里介紹的是其標準版,掌握了如何清除標準版,再來對付變種冰河就很容易了。冰河的服務器端程序為G-server.exe,客戶端程序為G-client.exe,默認連接端口為7626。一旦運行G-server,那么該程序就會在C:Windowssystem目錄下生成Kernel32.exe和sy***plr.exe,并刪除自身。Kernel32.exe在系統(tǒng)啟動時自動加載運行,sy***plr.exe和TXT文件關聯(lián)。即使你刪除了Kernel32.exe,但只要你打開TXT文件,sy***plr.exe就會被激活,它將再次生成Kernel32.exe。
清除方法:
1.刪除C:Windowssystem下的Kernel32.exe和Sy***plr.exe文件;
2.冰河會在注冊表HKEY_LOCAL_ MACHINEsoftwaremicrosoftwindowsCurrentVersionRun下扎根,鍵值為C:windowssystemKernel32.exe,刪除它;
3.在注冊表的HKEY_LOCAL_ MACHINEsoftwaremicrosoftwindowsCurrentVersionRunservices下,還有鍵值為C:windowssystemKernel32.exe的,也要刪除;
4.最后,改注冊表HKEY_CLASSES_ROOTtxtfileshellopencommand下的默認值,由表中木馬后的C:windowssystemSy***plr.exe%1改為正常的C:windowsnotepad.exe %1,即可恢復TXT文件關聯(lián)功能。
網(wǎng)絡神偷(Nethief)
網(wǎng)絡神偷是個反彈端口型木馬。什么叫“反彈端口”型木馬呢?與一般的木馬相反,反彈端口型木馬的服務端(被控制端)使用主動端口,客戶端(控制端)使用被動端口,為了隱蔽起見,客戶端的監(jiān)聽端口一般開在80,這樣,即使用戶使用端口掃描軟件檢查自己的端口,發(fā)現(xiàn)的也是類似“TCP 服務端的IP地址:1026 客戶端的IP地址:80ESTABLISHED”的情況,稍微疏忽一點你就會以為是自己在瀏覽網(wǎng)頁。
清除方法:
1.網(wǎng)絡神偷會在注冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下建立鍵值“internet”,其值為“internet.exe/s”,將鍵值刪除;
2.刪除其自啟動程序C:WINDOWSSYSTEMINTERNET.EXE。
廣外女生
“廣外女生”是是一種新出現(xiàn)的遠程監(jiān)控工具,破壞性很大,遠程上傳、下載、刪除文件、修改注冊表等自然不在話下。其可怕之處在于“廣外女生”服務端被執(zhí)行后,會自動檢查進程中是否含有“金山毒霸”、“天網(wǎng)”等字樣,如果發(fā)現(xiàn)就將該進程終止,也就是說使防火墻完全失去作用!
清除方法:
1.啟動到純DOS模式下,找到System目錄下的DIAGFG.EXE,刪除它;
2.我們找到Windows目錄中的注冊表編輯器“Regedit.exe”,將它改名為“Regedit.com”;
3.回到Windows模式下,運行Windows目錄下的Regedit.com程序(就是我們剛才改名的文件);
4.找到HKEY_CLASSES_ROOTexefileshellopencommand,將其默認鍵值改成“%1” %*;
5.刪除注冊表中名稱為“Diagnostic Configuration”的鍵值;
6.關掉注冊表編輯器,回到Windows目錄,將“Regedit.com”改回“Regedit.exe”。
WAY2.4
WAY2.4是國產木馬程序,默認連接端口是8011。WAY2.4的注冊表操作的確有特色,對受控端注冊表的讀寫,就和本地注冊表讀寫一樣方便!WAY2.4服務端被運行后在C:windowssystem下生成msgsvc.exe文件,圖標是文本文件的圖標,很隱蔽。看來它想冒充系統(tǒng)文件msgsvc32.exe。同時,WAY2.4在注冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下建立串值Msgtask。
清除方法:
用進程管理工具查看,你會發(fā)現(xiàn)進程CWAY,只要刪除它在注冊表中的鍵值,再刪除C:windowssystem下的msgsvc.exe這個文件就可以了。
要注意在Windows下直接刪除msgsvc.exe是刪不掉的,此時你可以用進程管理工具終止它的進程,然后再刪除它。或者到DoS下刪除msgsvc.exe也可。如果服務端已經(jīng)和可執(zhí)行文件捆綁在一起了,那就只有將那個可執(zhí)行文件也刪除了。注意在刪除前請做好備份。
【七種常見木馬的清除方法】相關文章:
電腦中的木馬必須清除10-06
電腦病毒木馬怎么徹底清除07-29
電腦感染木馬病毒如何查找和清除11-27
查殺電腦木馬病毒方法09-26
小升初高分作文的七種構思方法10-21
常見電腦密碼破解方法02-14
常見的網(wǎng)絡問題及解決方法11-02
寫作中常見的寫作方法10-16
電腦的常見故障排除方法02-15
小升初讓你寫出好作文的七種構思方法10-21