怎样手动去除木马？

admin · 发表于 2010-12-28 00:19:20

<div id="googlead"> <script language="JavaScript" src="/ad/gg-250.js"></script></div>一、BO2000 
 
　　查看注册表\ HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServicse 中是否存在Umgr32.exe 的键值。有则将其删除。重新启动电脑，并将\Windows\System中的Umgr32.exe删除。 
 
二、NetSpy(网络精灵) 
 
　　国产木马，最新版本为3.0，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了！其强大之处丝毫不逊色于冰河和BO2000！服务端程序被执行后，会在C:\Windows\ system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\ windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe，用于在系统启动时自动加载运行。 
 
　　清除方法： 
 
　　1.进入dos，在C:\windows\system\目录下输入以下命令：del netspy.exe 回车； 
 
　　2.进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\，删除Netspy.exe和Spynotify.exe的键值即可安全清除Netspy。 
 
三、Happy99 
 
　　此程序运行时，会在打开一个名为“Happy new year 1999”的窗口，并出现美丽的烟花，它会复制到Windows主文件夹的“System”目录下，更名为Ska.exe，并创建文件Ska.dll，同时修改Wsock32.dll，将修改前的文件备份为Wsock32.ska，并修改注册表。另外，用户可以检查注册\HEKY-LOCAL- MACHINE\Softwre\Microsoft\Windows\ Current Version\RunOnce中有无键值Ska.exe。有则将其删除，并删除\Windows\System中的Ska.exe和Ska.dll两个文件，将Wsock32.ska更名为Wscok32.dll。 
 
四、NetBus(网络公牛) 
 
　　国产木马，默认连接端口23444，最新版本V1.1。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:\WINDOWS\SYSTEM下，下次开机checkdll.exe将自动运行，因此很隐蔽、危害很大。同时，服务端运行后会自动捆绑以下文件: 
 
　　win9x下：捆绑notepad.exe；write.exe，regedit.exe，winmine.exe，winhelp.exe； 
 
　　winnt/2000下：(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe。 
 
　　服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上。在注册表中网络公牛也悄悄地扎下了根，如下： 
 
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" 
 
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" 
 
　　[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe" 
 
　　网络公牛没有采用文件关联功能，采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难。 
 
　　清除方法： 
 
　　1.删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。 
 
　　2.把网络公牛在注册表中所建立的键值全部删除（上面所列出的那些键值全部删除）。 
 
　　3.检查上面列出的文件，如果发现文件长度发生变化（大约增加了40K左右，可以通过与其它机子上的正常文件比较而知），就删除它们。然后点击“开始－ &gt;附件－&gt;系统工具－&gt;系统信息－&gt;工具－&gt;系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如: realplay.exe、QQ、ICQ等被捆绑上了，那就得把这些软件卸载，再重新安装。 
 
五、Asylum 
 
　　这个木马程序是修改了system.ini win.ini两个文件，先查一下system.ini文件下面的[BOOT]项，看看"shell=explorer.exe”，如不是则删除它，用回上面的设置，并记下原来的文件名以便回过头去在纯DOS下删除它。再打开win.ini文件，看在[windows]项下的"run=”是不是有什么文件名，一般情况下是没有任何加载值的，如有记下它以便回过头过在纯DOS下删除相应的文件名。 
 
六、冰河 
 
　　冰河标准版的服务器端程序为G- server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:\ Windows\system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。 
 
　　清除方法： 
 
　　用纯DOS启动进入系统（以防木马的自动恢复），删除你安装的windows下的system\kernel32.exe和system\sysexplr.exe两个木马文件，注意如果系统提示你不能删除它们，则因为木马程序自动设置了这两个文件的属性，我们只需要先改掉它们的隐藏、只读属性，就可以删除。 
 
　　删除后进入windows系统进入注册表中，找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices]两项，然后查找kernel32.exe和sysexplr.exe两个键值并删除。再找到[HKEY_CLASSES_ROOT\txtfile\open\command],看在键值中是不是已改为“sysexplr.exe% 1”，如是改回"notepad.exe %1” 。 
 
七、GOP 
 
　　GOP木马会在注册表HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion\Run主键下添加一个键值让自己自动运行。所以，首先要禁止该项。点击“开始”→“运行”，输入“msinfo32”，查看其中的“软件环境”→“正在运行的任务”，如果发现哪个项目只有程序名和路径，而没有版本、厂商和说明，你就

覃佃q · 发表于 2010-12-31 09:27:57

支持LZ发帖，受益非浅啊～～～

笔友 · 发表于 2011-2-7 11:05:37

回答了那么多，没有加分了，郁闷。。

hackerstudy · 发表于 2011-2-15 19:53:54

祝你快乐无限！

香水有毒 · 发表于 2011-2-15 19:57:04

观看中

zhongyan8zu6 · 发表于 2011-3-28 06:43:43

这个贴不错！！！！！

寻找证人 · 发表于 2011-5-5 06:46:00

长时间没来看了～～

毛省林忘彭胃 · 发表于 2011-5-16 06:33:41

要不我崇拜你?行吗?

帐号		自动登录	找回密码
密码			免费注册