怎样手动去除木马?
一、BO2000
查看注册表\ HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServicse 中是否存在Umgr32.exe 的键值。有则将其删除。重新启动电脑,并将\Windows\System中的Umgr32.exe删除。
二、NetSpy(网络精灵)
国产木马,最新版本为3.0,默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能,客户端现在可以不用NetMonitor,通过IE或Navigate就可以进行远程监控了!其强大之处丝毫不逊色于冰河和BO2000!服务端程序被执行后,会在C:\Windows\ system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\ windows\CurrentVersion\Run\下建立键值C:\windows\system\netspy.exe,用于在系统启动时自动加载运行。
清除方法:
1.进入dos,在C:\windows\system\目录下输入以下命令:del netspy.exe 回车;
2.进入注册表HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\,删除Netspy.exe和Spynotify.exe的键值即可安全清除Netspy。
三、Happy99
此程序运行时,会在打开一个名为“Happy new year 1999”的窗口,并出现美丽的烟花,它会复制到Windows主文件夹的“System”目录下,更名为Ska.exe,并创建文件Ska.dll,同时修改Wsock32.dll,将修改前的文件备份为Wsock32.ska,并修改注册表。另外,用户可以检查注册\HEKY-LOCAL- MACHINE\Softwre\Microsoft\Windows\ Current Version\RunOnce中有无键值Ska.exe。有则将其删除,并删除\Windows\System中的Ska.exe和Ska.dll两个文件,将Wsock32.ska更名为Wscok32.dll。
四、NetBus(网络公牛)
国产木马,默认连接端口23444,最新版本V1.1。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:\WINDOWS\SYSTEM下,下次开机checkdll.exe将自动运行,因此很隐蔽、危害很大。同时,服务端运行后会自动捆绑以下文件:
win9x下:捆绑notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.exe;
winnt/2000下:(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上。在注册表中网络公牛也悄悄地扎下了根,如下:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
网络公牛没有采用文件关联功能,采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。
清除方法:
1.删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。
2.把网络公牛在注册表中所建立的键值全部删除(上面所列出的那些键值全部删除)。
3.检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们。然后点击“开始- >附件->系统工具->系统信息->工具->系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如: realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些软件卸载,再重新安装。
五、Asylum
这个木马程序是修改了system.ini win.ini两个文件,先查一下system.ini文件下面的[BOOT]项,看看"shell=explorer.exe”,如不是则删除它,用回上面的设置,并记下原来的文件名以便回过头去在纯DOS下删除它。再打开win.ini文件,看在[windows]项下的"run=”是不是有什么文件名,一般情况下是没有任何加载值的,如有记下它以便回过头过在纯DOS下删除相应的文件名。
六、冰河
冰河标准版的服务器端程序为G- server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:\ Windows\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
清除方法:
用纯DOS启动进入系统(以防木马的自动恢复),删除你安装的windows下的system\kernel32.exe和system\sysexplr.exe两个木马文件,注意如果系统提示你不能删除它们,则因为木马程序自动设置了这两个文件的属性,我们只需要先改掉它们的隐藏、只读属性,就可以删除。
删除后进入windows系统进入注册表中,找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices]两项,然后查找kernel32.exe和sysexplr.exe两个键值并删除。再找到[HKEY_CLASSES_ROOT\txtfile\open\command],看在键值中是不是已改为“sysexplr.exe% 1”,如是改回"notepad.exe %1” 。
七、GOP
GOP木马会在注册表HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion\Run主键下添加一个键值让自己自动运行。所以,首先要禁止该项。点击“开始”→“运行”,输入“msinfo32”,查看其中的“软件环境”→“正在运行的任务”,如果发现哪个项目只有程序名和路径,而没有版本、厂商和说明,你就
|