網(wǎng)絡(luò)常見木馬的手工清除方法

字號(hào):

木馬的出現(xiàn)對(duì)我們的系統(tǒng)造成了很大的危害,但是由于木馬通常植入得非常隱蔽,很難完全刪除,因此,這里我們介紹一些常見木馬的清除方法。
    1. 網(wǎng)絡(luò)公牛(Netbull)
    網(wǎng)絡(luò)公牛是國產(chǎn)木馬,默認(rèn)連接端口23444。服務(wù)端程序newserver.exe運(yùn)行后,會(huì)自動(dòng)脫殼成checkdll.exe,位于C:\WINDOWS\SYSTEM下,下次開機(jī)checkdll.exe將自動(dòng)運(yùn)行,因此很隱蔽、危害很大。同時(shí),服務(wù)端運(yùn)行后會(huì)自動(dòng)捆綁以下文件:
    win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
    服務(wù)端運(yùn)行后還會(huì)捆綁在開機(jī)時(shí)自動(dòng)運(yùn)行的第三方軟件(如:realplay.exe、QQ、ICQ等)上,在注冊(cè)表中網(wǎng)絡(luò)公牛也悄悄地扎下了根。
    網(wǎng)絡(luò)公牛采用的是文件捆綁功能,和上面所列出的文件捆綁在一塊,要清除非常困難。這樣做也有個(gè)缺點(diǎn):容易暴露自己!只要是稍微有經(jīng)驗(yàn)的用戶,就會(huì)發(fā)現(xiàn)文件長度發(fā)生了變化,從而懷疑自己中了木馬。
    清除方法:
    1.刪除網(wǎng)絡(luò)公牛的自啟動(dòng)程序C:\WINDOWS\SYSTEM\CheckDll.exe。
    2.把網(wǎng)絡(luò)公牛在注冊(cè)表中所建立的鍵值全部刪除:
    3.檢查上面列出的文件,如果發(fā)現(xiàn)文件長度發(fā)生變化(大約增加了40K左右,可以通過與其它機(jī)子上的正常文件比較而知),就刪除它們!然后點(diǎn)擊“開始→附件→系統(tǒng)工具→系統(tǒng)信息→工具→系統(tǒng)文件檢查器”,在彈出的對(duì)話框中選中“從安裝軟盤提取一個(gè)文件(E)”,在框中填入要提取的文件(前面你刪除的文件),點(diǎn)“確定”按鈕,然后按屏幕提示將這些文件恢復(fù)即可。如果是開機(jī)時(shí)自動(dòng)運(yùn)行的第三方軟件如:realplay.exe、QQ、ICQ等被捆綁上了,那就得把這些文件刪除,再重新安裝。
    2. Netspy(網(wǎng)絡(luò)精靈)
    Netspy又名網(wǎng)絡(luò)精靈,是國產(chǎn)木馬,最新版本為3.0,默認(rèn)連接端口為7306。在該版本中新添加了注冊(cè)表編輯功能和瀏覽器監(jiān)控功能,客戶端現(xiàn)在可以不用NetMonitor,通過IE或Navigate就可以進(jìn)行遠(yuǎn)程監(jiān)控了。服務(wù)端程序被執(zhí)行后,會(huì)在C:\Windows\system目錄下生成netspy.exe文件。同時(shí)在注冊(cè)表HKEY_LOCAL_MACHINE\software\ microsoft\windows\CurrentVersion \Run\下建立鍵值C\windows\ system\netspy.exe,用于在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載運(yùn)行。
    清除方法:
    1.重新啟動(dòng)機(jī)器并在出現(xiàn)Staring windows提示時(shí),按F5鍵進(jìn)入命令行狀態(tài)。在C:\windows\system\目錄下輸入以下命令:del netspy.exe;
    2.進(jìn)入HKEY_LOCAL_MACHINE\
    Software\microsoft\windows\ CurrentVersion\Run\,刪除Netspy的鍵值即可安全清除Netspy。
    3. SubSeven
    SubSeven的功能比起B(yǎng)O2K可以說有過之而無不及。最新版為2.2(默認(rèn)連接端口27374),服務(wù)端只有54.5k,很容易被捆綁到其它軟件而不被發(fā)現(xiàn)。最新版的金山毒霸等殺毒軟件查不到它。服務(wù)器端程序server.exe,客戶端程序subseven.exe。SubSeven服務(wù)端被執(zhí)行后,變化多端,每次啟動(dòng)的進(jìn)程名都會(huì)發(fā)生變化,因此很難查。