当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 网络常见木马的手工清除方法

安全基础
如何确保应用系统的安全
不再怕攻击 拨号上网必学的几招安全技巧
用微软工具MBSA了解电脑的“安全红线”
WinXP/2K鲜为人知的安全命令
用ISA+瑞星构筑防范黑客和病毒攻击的铜墙铁壁
思科警告用户注意IOS漏洞
Winzip存在多个缓冲区溢出漏洞
网络管理员必读之如何让DHCP服务器更安全
防范网页木马的攻击
Linux又出现高危险图像漏洞 厂商急于打补丁
三招两式保护Windows系统不受恶意代码攻击
三种对付恶意网站的绝招
绿盟评出2004年09月十大网络安全漏洞
Norton Internet Security 2005全面保护系统安全
解决IE强迫连接某网站的办法
浅析传统网络防火墙的五大不足之处
防范非法用户入侵Win 2000/XP系统七招
Microsoft 发布5个新的安全补丁
浅析三种不同的“防Ping”方法
Microsoft AntiSpyware微软出品的反间谍软件

安全基础 中的 网络常见木马的手工清除方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 74 ::
收藏到网摘: n/a

 

  木马的出现对我们的系统造成了很大的危害,但是由于木马通常植入得非常隐蔽,很难完全删除,因此,这里我们介绍一些常见木马的清除方法。

  1. 网络公牛(Netbull)

  网络公牛是国产木马,默认连接端口23444。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:\WINDOWS\SYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽、危害很大。同时,服务端运行后会自动捆绑以下文件:

  win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。

  服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上,在注册表中网络公牛也悄悄地扎下了根。

  网络公牛采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。

  清除方法:

  1.删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。

  2.把网络公牛在注册表中所建立的键值全部删除:

  3.检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。

  2. Netspy(网络精灵)

  Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了。服务端程序被执行后,会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\ microsoft\windows\CurrentVersion \Run\下建立键值C\windows\ system\netspy.exe,用于在系统启动时自动加载运行。

  清除方法:

  1.重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令:del netspy.exe;

  2.进入HKEY_LOCAL_MACHINE\

  Software\microsoft\windows\ CurrentVersion\Run\,删除Netspy的键值即可安全清除Netspy。

  3. SubSeven

  SubSeven的功能比起BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374),服务端只有54.5k,很容易被捆绑到其它软件而不被发现。最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此很难查。