七种常见木马破坏表现及清除方法木马的出现对我们的系统造成了很大的危害,但是由于木马通常植入得非常隐蔽很难完全删除,因此,这里我们介绍一些常见木马的清除方法。 一、网络公牛(Netbull) 网络公牛是国产木马,默认连接端口 23444。服务端程序 newserver.exe 运行后,会自动脱壳成 checkdll.exe,位于 C:WINDOWSSYSTEM 下,下次开机 checkdll.exe将自动运行,因此很隐蔽、危害很大。同时,服务端运行后会自动捆绑以下文件: win2000 下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。 服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ 、ICQ 等)上,在注册表中网络公牛也悄悄地扎下了根。 网络公牛采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。 清除方法: 1.删除网络公牛的自启动程序 C:WINDOWSSYSTEMCheckDll.exe。 2.把网络公牛在注册表中所建立的键值全部删除: 3.检查上面列出的文件,如果发现文件长度发生变化(大约增加了 40K 左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ 等被捆绑上了,那就得把这些文件删除,再重新安装。 二、Netspy(网络精灵) Netspy 又名网络精灵,是国产木马,最新版本为 3.0,默认连接端口为 7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过 IE 或 Navigate 就可以进行远程监控了。服务端程序被执行后,会在 C:Windowssystem 目录下生成 netspy.exe 文件。同时在注册表HKEY_LOCAL_MACHINEsoftware microsoftwindowsCurrentVersion Run 下建立键值 Cwindows system etspy.exe,用于在系统启动时自动加载运行。 清除方法: 1.重新启动机器并在出现 Staring windows 提示时,按 F5 键进入命令行状态。在C:windowssystem 目录下输入以下命令:del netspy.exe; 2.进入 HKEY_LOCAL_MACHINE Softwaremicrosoftwindo...
