返回
七种常见木马破坏表现及清除方法

七种常见木马破坏表现及清除方法

ID:36529221

大小:36.50 KB

页数:4页

时间:2019-05-11

七种常见木马破坏表现及清除方法_第1页
七种常见木马破坏表现及清除方法_第2页
七种常见木马破坏表现及清除方法_第3页
七种常见木马破坏表现及清除方法_第4页
资源描述:

《七种常见木马破坏表现及清除方法》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、七种常见木马破坏表现及清除方法木马的出现对我们的系统造成了很大的危害,但是由于木马通常植入得非常隐蔽,很难完全删除,因此,这里我们介绍一些常见木马的清除方法。一、网络公牛(Netbull)网络公牛是国产木马,默认连接端口23444。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:WINDOWSSYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽、危害很大。同时,服务端运行后会自动捆绑以下文件:win2000下:notepad.exe;regedit.e

2、xe,reged32.exe;drwtsn32.exe;winmine.exe。服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上,在注册表中网络公牛也悄悄地扎下了根。网络公牛采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。清除方法:1.删除网络公牛的自启动程序C:WINDOWSSYSTEMCheckDll.exe。2.把网络公牛在注册表中

3、所建立的键值全部删除:3.检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。二、Netspy(网络精灵)Ne

4、tspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了。服务端程序被执行后,会在C:Windowssystem目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRun下建立键值Cwindowssystemetspy.exe,用于在系统启动时自动加载

5、运行。清除方法:1.重新启动机器并在出现Staringwindows提示时,按F5键进入命令行状态。在C:windowssystem目录下输入以下命令:delnetspy.exe;2.进入HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentVersionRun,删除Netspy的键值即可安全清除Netspy。三、SubSevenSubSeven的功能比起BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374),服务端只有54.5k,很容易被捆绑到其它软

6、件而不被发现。最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此很难查。清除方法:1.打开注册表Regedit,点击至:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和RunService下,如果有加载文件,就删除右边的项目:加载器=“c:windowssystem***”。注:加载器和文件名是随意改变的2.打

7、开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除之。3.打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。4.重新启动Windows,删除相对应的木马程序,一般在c:windowssystem下,在我在本机上做实验时发现该文件名为vqpbk.exe。四、冰河我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端

8、口为7626。一旦运行G-server,那么该程序就会在C:Windowssystem目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。