七种常见木马破坏表现及清除方法.docx

七种常见木马破坏表现及清除方法 七种常见木马破坏表现及清除方法 木马的出现对我们的系统造成了很大的危害，但是由于木马通常植入得非常隐蔽，很难完全删除，因此，这里我们介绍一些常见木马的清除方法 一、网络公牛（Netbull） 网络公牛是国产木马，默认连接端口23444服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:WINDOWSSYSTEM下，下次开机checkdll.exe 将自动运行，因此很隐蔽、危害很大同时，服务端运行后会自动捆绑以下文件: win2000下：notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe 服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、、ICQ等)上，在注册表中网络公牛也悄悄地扎下了根 网络公牛采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难这样做也有个缺点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀疑自己中了木马 清除方法： 1.删除网络公牛的自启动程序C:WINDOWSSYSTEMCheckDll.exe。

2.把网络公牛在注册表中所建立的键值全部删除： 3.检查上面列出的文件，如果发现文件长度发生变化（大约增加了40K左右，可以通过与其它机子上的正常文件比较而知），就删除它们！然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件(E)”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可如果是开机时自动运行的第三方软件如:realplay.exe、、ICQ等被捆绑上了，那就得把这些 文件删除，再重新安装 二、Netspy（网络精灵） Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306 在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了服务端程序被执行后，会在C:Windowssystem目录下生成netspy.exe文件同时在注册表 HKEY_LOCAL_MACHINEsoftware microsoftwindowsCurrentVersion Run下建立键值Cwindows system etspy.exe，用于在系统启动时自动加载运行。

清除方法： 本文来源：网络收集与整理，如有侵权，请联系作者删除，谢谢！第2页 共2页第 2 页 共 2 页第 2 页 共 2 页第 2 页 共 2 页第 2 页 共 2 页第 2 页 共 2 页第 2 页 共 2 页第 2 页 共 2 页第 2 页 共 2 页第 2 页 共 2 页第 2 页 共 2 页。