七種常見木馬的破壞表現以及清除方法

木馬的出現對我們的系統造成了很大的危害，但是由於木馬通常植入得非常隱蔽，很難完全刪除，因此，這裡我們介紹一些常見木馬的清除方法。

一、網絡公牛（Netbull）

網絡公牛是國產木馬，，默認連接端口23444。服務端程序newserver.exe運行後，會自動脫殼成checkdll.exe，位於C:\WINDOWS\SYSTEM下，下次開機checkdll.exe將自動運行，因此很隱蔽、危害很大。同時，服務端運行後會自動捆綁以下文件:

win2000下：notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe。

服務端運行後還會捆綁在開機時自動運行的第三方軟件(如:realplay.exe、QQ、ICQ等)上，在注冊表中網絡公牛也悄悄地扎下了根。

網絡公牛采用的是文件捆綁功能，和上面所列出的文件捆綁在一塊，要清除非常困難。這樣做也有個缺點：容易暴露自己！只要是稍微有經驗的用戶，就會發現文件長度發生了變化，從而懷疑自己中了木馬。

清除方法：

1.刪除網絡公牛的自啟動程序C:\WINDOWS\SYSTEM\CheckDll.exe。

2.把網絡公牛在注冊表中所建立的鍵值全部刪除：

3.檢查上面列出的文件，如果發現文件長度發生變化（大約增加了40K左右，可以通過與其它機子上的正常文件比較而知），就刪除它們！然後點擊“開始→附件→系統工具→系統信息→工具→系統文件檢查器”，在彈出的對話框中選中“從安裝軟盤提取一個文件(E)”，在框中填入要提取的文件(前面你刪除的文件)，點“確定”按鈕，然後按屏幕提示將這些文件恢復即可。如果是開機時自動運行的第三方軟件如:realplay.exe、QQ、ICQ等被捆綁上了，那就得把這些文件刪除，再重新安裝。

二、Netspy（網絡精靈）

Netspy又名網絡精靈，是國產木馬，最新版本為3.0，默認連接端口為7306。在該版本中新添加了注冊表編輯功能和浏覽器監控功能，客戶端現在可以不用NetMonitor，通過IE或Navigate就可以進行遠程監控了。服務端程序被執行後，會在C:\Windows\system目錄下生成netspy.exe文件。同時在注冊表HKEY_LOCAL_MACHINE\software\ microsoft\windows\CurrentVersion \Run\下建立鍵值C\windows\ system\netspy.exe，用於在系統啟動時自動加載運行。

清除方法：

1.重新啟動機器並在出現Staring windows提示時，按F5鍵進入命令行狀態。在C:\windows\system\目錄下輸入以下命令：del netspy.exe；

2.進入HKEY_LOCAL_MACHINE\

Software\microsoft\windows\ CurrentVersion\Run\，刪除Netspy的鍵值即可安全清除Netspy。

三、SubSeven

SubSeven的功能比起BO2K可以說有過之而無不及。最新版為2.2(默認連接端口27374)，服務端只有54.5k，很容易被捆綁到其它軟件而不被發現。最新版的金山毒霸等殺毒軟件查不到它。服務器端程序server.exe，客戶端程序subseven.exe。SubSeven服務端被執行後，變化多端，每次啟動的進程名都會發生變化，因此很難查。

清除方法：

1.打開注冊表Regedit，點擊至： HKEY_LOCAL_MACHINE\SOFTWARE\

Microsoft\Windows\CurrentVersion\Run和RunService下，如果有加載文件，就刪除右邊的項目：加載器=“c:\windows\system\***”。注：加載器和文件名是隨意改變的

2.打開win.ini文件，檢查“run=”後有沒有加上某個可執行文件名，如有則刪除之。

3.打開system.ini文件，檢查“shell=explorer.exe”後有沒有跟某個文件，如有將它刪除。

4.重新啟動Windows，刪除相對應的木馬程序，一般在c:\windows\system下，在我在本機上做實驗時發現該文件名為vqpbk.exe。

四、冰河

我們這裡介紹的是其標准版，掌握了如何清除標准版，再來對付變種冰河就很容易了。 冰河的服務器端程序為G-server.exe，客戶端程序為G-client.exe，默認連接端口為7626。一旦運行G-server，那麼該程序就會在C:\Windows\system目錄下生成Kernel32.exe和sysexplr.exe，並刪除自身。Kernel32.exe在系統啟動時自動加載運行，sysexplr.exe和TXT文件關聯。即使你刪除了Kernel32.exe，但只要你打開TXT文件，sysexplr.exe就會被激活，它將再次生成Kernel32.exe。

清除方法：

1.刪除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件；

2.冰河會在注冊表HKEY_LOCAL_

MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根，鍵值為C:\windows\system\Kernel32.exe，刪除它；

3.在注冊表的HKEY_LOCAL_

MACHINE\software\microsoft\windows\ CurrentVersion\Runservices下，還有鍵值為C:\windows\system\Kernel32.exe的，也要刪除；

4.最後，改注冊表HKEY_CLASSES_

ROOT\txtfile\shell\open\command下的默認值，由表中木馬後的C:\windows\system\Sysexplr.exe %1改為正常的C:\windows\notepad.exe %1，即可恢復TXT文件關聯功能。

五、網絡神偷（Nethief）

網絡神偷是個反彈端口型木馬。什麼叫“反彈端口”型木馬呢？與一般的木馬相反，反彈端口型木馬的服務端(被控制端)使用主動端口，客戶端(控制端)使用被動端口，為了隱蔽起見，客戶端的監聽端口一般開在80，這樣，即使用戶使用端口掃描軟件檢查自己的端口，發現的也是類似“TCP　服務端的IP地址:1026　客戶端的IP地址:80 ESTABLISHED”的情況，稍微疏忽一點你就會以為是自己在浏覽網頁。

清除方法：

1.網絡神偷會在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\

Microsoft\Windows\CurrentVersion\Run下建立鍵值“internet”，其值為“internet.exe /s”，將鍵值刪除；

2.刪除其自啟動程序C:\WINDOWS\SYSTEM\INTERNET.EXE。

六、廣外女生

“廣外女生”是是一種新出現的遠程監控工具，破壞性很大，遠程上傳、下載、刪除文件、修改注冊表等自然不在話下。其可怕之處在於“廣外女生”服務端被執行後，會自動檢查進程中是否含有“金山毒霸”、“天網”等字樣，如果發現就將該進程終止，也就是說使防火牆完全失去作用！ 　　

清除方法：

1.啟動到純DOS模式下，找到System目錄下的DIAGFG.EXE，刪除它；

2.我們找到Windows目錄中的注冊表編輯器“Regedit.exe”，將它改名為“Regedit.com”；

3.回到Windows模式下，運行Windows目錄下的Regedit.com程序（就是我們剛才改名的文件）；

4.找到HKEY_CLASSES_ROOT\

exefile\shell\open\command，將其默認鍵值改成"%1" %*；

5.刪除注冊表中名稱為“Diagnostic Configuration”的鍵值；

6.關掉注冊表編輯器，回到Windows目錄，將“Regedit.com”改回“Regedit.exe”。

七、WAY2.4

WAY2.4是國產木馬程序，默認連接端口是8011。WAY2.4的注冊表操作的確有特色，對受控端注冊表的讀寫，就和本地注冊表讀寫一樣方便！WAY2.4服務端被運行後在C:\windows\system下生成msgsvc.exe文件，圖標是文本文件的圖標，很隱蔽。看來它想冒充系統文件msgsvc32.exe。同時，WAY2.4在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask。

清除方法：

用進程管理工具查看，你會發現進程CWAY，只要刪除它在注冊表中的鍵值，再刪除C:\windows\system下的msgsvc.exe這個文件就可以了。

要注意在Windows下直接刪除msgsvc.exe是刪不掉的，此時你可以用進程管理工具終止它的進程，然後再刪除它。或者到DoS下刪除msgsvc.exe也可。如果服務端已經和可執行文件捆綁在一起了，那就只有將那個可執行文件也刪除了。注意在刪除前請做好備份。