七种常见木马的破坏表现及清除(2)

  • 时间:
  • 浏览:0
  • 来源:大发3分快3_大发3分快3投注平台_大发3分快3娱乐平台





作者:

CNETNews.com.cn

2008-01-23 20:03:38

关键词: 木马清除 木马 盗号木马 木马病毒 木马专杀 木马病毒专杀 杀木马 木马查杀

  清除办法:

  1.重新启动机器并在冒出 Staring windows提示时,按F5键进入命令行情况报告。在C:windowssystem目录下输入以下命令:del netspy.exe;

  2.进入HKEY_LOCAL_MACHINE

  Softwaremicrosoftwindows CurrentVersionRun,删除Netspy的键值即可安全清除Netspy。

  三、SubSeven

  SubSeven的功能比起BO2K不需要 说有过之而无不及。最新版为2.2(默认连接端口27374),服务端不不需要 54.5k,很容易被捆绑到其它软件而不被发现。最新版的金山毒霸等杀毒软件查不不需要 它。服务器端多线程池池 server.exe,客户端多线程池池 subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的多线程池池 名都是占据 变化,以后 真难查。

  清除办法:

  1.打开注册表Regedit,点击至: HKEY_LOCAL_MACHINESOFTWARE

  MicrosoftWindowsCurrentVersionRun和RunService下,由于有加载文件,就删除右边的项目:加载器=“c:windowssystem***”。注:加载器和文件名是随意改变的

  2.打开win.ini文件,检查“run=”后有不不需要 上加某个可执行文件名,如有则删除之。

  3.打开system.ini文件,检查“shell=explorer.exe”后有不不需要 跟某个文件,如有将它删除。

  4.重新启动Windows,删除相对应的木马多线程池池 ,一般在c:windowssystem下,在我在本机上做实验时发现该文件名为vqpbk.exe。

  四、冰河

  亲们这里介绍的是其标准版,掌握了怎样清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端多线程池池 为G-server.exe,客户端多线程池池 为G-client.exe,默认连接端口为7626。一旦运行G-server,不不需要 该多线程池池 就会在C:Windowssystem目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但以后 我你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe。

  清除办法:

  1.删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件;

  2.冰河会在注册表HKEY_LOCAL_

  MACHINEsoftwaremicrosoftwindows CurrentVersionRun下扎根,键值为C:windowssystemKernel32.exe,删除它;

  3.在注册表的HKEY_LOCAL_

  MACHINEsoftwaremicrosoftwindows CurrentVersionRunservices下,还有键值为C:windowssystemKernel32.exe的,也要删除;

  4.最后,改注册表HKEY_CLASSES_

  ROOT xtfileshellopencommand下的默认值,由表中木马后的C:windowssystemSysexplr.exe %1改为正常的C:windows otepad.exe %1,即可恢复TXT文件关联功能。

  五、网络神偷(Nethief)

  网络神偷是个反弹端口型木马。