七种常见木马的破坏表现及清除(1)

  • 时间:
  • 浏览:0
  • 来源:10分赛车平台-1分赛车投注平台_3分彩娱乐平台





作者:

CNETNews.com.cn

30008-01-23 20:03:39

关键词: 木马清除 木马 盗号木马 木马病毒 木马专杀 木马病毒专杀 杀木马 木马查杀

  木马的出显对我想要们 的系统造成了很大的危害,之后机会木马通常植入得非常隐蔽,不能自己完整删除,之后,这里我想要们 介绍一些常见木马的清除依据 。

  一、网络公牛(Netbull)

  网络公牛是国产木马,默认连接端口23444。服务端系统进程运行newserver.exe运行后,会自动脱壳成checkdll.exe,发生C:WINDOWSSYSTEM下,下次开机checkdll.exe将自动运行,之后很隐蔽、危害很大。同時 ,服务端运行都会自动捆绑以下文件:

  win30000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。

  服务端运行后都会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上,在注册表中网络公牛也悄悄地扎下了根。

  网络公牛采用的是文件捆绑功能,和上边所列出的文件捆绑在一块,要清除非常困难。只是做有的是个缺点:容易暴露当时人!只只是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑当时人中了木马。

  清除依据 :

  1.删除网络公牛的自启动系统进程运行C:WINDOWSSYSTEMCheckDll.exe。

  2.把网络公牛在注册表中所建立的键值完整删除:

  3.检查上边列出的文件,机会发现文件长度发生变化(相当于增加了40K左右,都上能 通过与其它机子上的正常文件比较而知),就删除它们!之后点击“开使→附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取三个 多文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“挑选”按钮,之后按屏幕提示将哪几个文件恢复即可。机会是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把哪几个文件删除,再重新安装。

  二、Netspy(网络精灵)

  Netspy叫安网络精灵,是国产木马,最新版本为3.0,默认连接端口为73006。在该版本中新加进去去了注册表编辑功能和浏览器监控功能,客户端现在都上能 还会NetMonitor,通过IE或Navigate就都上能 进行远程监控了。服务端系统进程运行被执行后,会在C:Windowssystem目录下生成netspy.exe文件。同時 在注册表HKEY_LOCAL_MACHINEsoftware microsoftwindowsCurrentVersion Run下建立键值Cwindows system etspy.exe,用于在系统启动时自动加载运行。