网络常见木马的手工清除方法.docx

网络常见木马的手工清除方法木马的出现对我们的系统造成了很大的危害，但是由于木马通常植入得非常隐蔽，很难完全 删除，因此，这里我们介绍一些常见木马的清除方法1.网络公牛（Netbull）网络公牛是国产木马，默认连接端口 23444服务端程序newserver.exe运行后，会自动 脱壳成checkdll.exe，位于C:\WINDOWS\SYSTEM下，下次开机checkdll.exe将自动运行， 因此很隐蔽、危害很大同时，服务端运行后会自动捆绑以下文件win2000 下：notepad.exe； regedit.exe， reged32.exe； drwtsn32.exe； winmine.exe服务端运行后还会捆绑在开机时自动运行的第三方软件（如:realplay.exe、、ICQ等） 上，在注册表中网络公牛也悄悄地扎下了根网络公牛采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难 这样做也有个缺点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变 化，从而怀疑自己中了木马清除方法：1. 删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exeo2. 把网络公牛在注册表中所建立的键值全部删除：3. 检查上面列出的文件，如果发现文件长度发生变化（大约增加了 40K左右，可以通过 与其它机子上的正常文件比较而知），就删除它们！然后点击“开始一附件一系统工具一系统 信息一工具一系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件住）”，在 框中填入要提取的文件（前面你删除的文件），点“确定”按钮，然后按屏幕提示将这些文件恢 复即可。

如果是开机时自动运行的第三方软件如:realplay.exe、、ICQ等被捆绑上了，那 就得把这些文件删除，再重新安装2. Netspy （网络精灵）Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306在该版本 中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE 或Navigate就可以进行远程监控了服务端程序被执行后，会在C:\Windows\system目录下 生成 netspy.exe 文件 同时在注册表 HKEY_LOCAL_MACHINE\software\ microsoft\windows\CurrentVersion \Run\T建立键值 C\windows\ system\netspy.exe， 用于在系 统启动时自动加载运行清除方法：1.重新启动机器并在出现Staring windows提示时，按F5键进入命令行状态在C:\windows\system\ 目录下输入以下命令：del netspy.exe；2. 进入 HKEY_LOCAL_MACHINE\Software\microsoft\windows\ CurrentVersion\Run\,删除 Netspy 的键值即可安全清除 Netspy。

3. SubSevenSubSeven的功能比起BO2K可以说有过之而无不及最新版为2.2（默认连接端口 27374），服务端只有54.5k，很容易被捆绑到其它软件而不被发现最新版的金山毒霸等杀 毒软件查不到它服务器端程序server.exe，客户端程序subseven.exeSubSeven服务端被 执行后，变化多端，每次启动的进程名都会发生变化，因此很难查清除方法：1. 打开注册表 Regedit，点击至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和 RunService 下，如果有加载文件，就删除右边 的项目：加载器="c:\windows\system\***”注：加载器和文件名是随意改变的2. 打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之3. 打开system.ini文件，检查“shell=explorer.exe^后有没有跟某个文件，如有将它删除4. 重新启动Windows，删除相对应的木马程序，一般在c:\windows\system下，在我在本 机上做实验时发现该文件名为vqpbk.exeo4.冰河我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。

冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626一 旦运行 G-server，那么该程序就会在 C:\Windows\system目录下生成 Kernel32.exe和 sysexplr.exe，并删除自身Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT 文件关联即使你删除了 Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活， 它将再次生成Kernel32.exeo清除方法：1. 删除 C:\Windows\system 下的 Kernel32.exe 和 Sysexplr.exe 文件；2. 冰河会在注册表HKEY_LOCAL_键值为MACHINE\software\microsoft\windows\ CurrentVersion\Run 下扎根，C:\windows\system\Kernel32.exe,删除它；3. 在注册表的HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Runservices 下，还有键值为 C:\windows\system\Kernel32.exe 的，也要删除；4. 最后，改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command 下的默认值， 由表中木马后的 C:\windows\system\Sysexplr.exe %1 改为正常的 C:\windows\notepad.exe %1，即可恢复 TXT 文件关联功能。

5.网络神偷（Nethief）网络神偷是个反弹端口型木马什么叫“反弹端口”型木马呢？与一般的木马相反，反弹 端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口，为了隐蔽起 见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口， 发现的也是类似“TCP 服务端的IP地址:1026客户端的IP地址:80 ESTABLISHED，的情 况，稍微疏忽一点你就会以为是自己在浏览网页清除方法：1. 网络神偷会在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”，其值为“internet.exe /s”，将 键值删除；2. 删除其自启动程序 C:\WINDOWS\SYSTEM\INTERNET.EXEo6.广外女生“广外女生”是是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、 修改注册表等自然不在话下其可怕之处在于“广外女生”服务端被执行后，会自动检查进程 中是否含有“金山毒霸”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全 失去作用！清除方法：1. 启动到纯DOS模式下，找到System目录下的DIAGFG.EXE,删除它；2. 我们找到Windows目录中的注册表编辑器“Regedit.exe^，将它改名为“R”；3.回到Windows模式下，运行Windows目录下的R程序（就是我们刚才改名的文件）;4. 找到 HKEY_CLASSES_ROOT\exefile\shell\open\command,将其默认键值改成"%1" %*；5删除注册表中名称为“Diagnostic Configuration”的键值；6.关掉注册表编辑器，回到Windows目录，将“R”改回"Regedit.exe”。

7. WAY2.4WAY2.4是国产木马程序，默认连接端口是8011WAY2.4的注册表操作的确有特色， 对受控端注册表的读写，就和本地注册表读写一样方便！ WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件，图标是文本文件的图标，很隐蔽看来它想冒 充系统文件 msgsvc32.exe同时，WAY2.4在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run下建立串值 Msgtask清除方法：用进程管理工具查看，你会发现进程CWAY，只要删除它在注册表中的键值，再删除 C:\windows\system 下的 msgsvc.exe 这个文件就可以了要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终 止它的进程，然后再删除它或者到DoS下删除msgsvc.exe也可如果服务端已经和可执 行文件捆绑在一起了，那就只有将那个可执行文件也删除了注意在删除前请做好备俭查看开放端口 :让木马现形我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。

当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的，既 然利用到这两个协议，就不可避免要在server端（就是被种了木马的机器了）打开监听端口 来等待连接例如鼎鼎大名的冰河使用的监听端口是7626,Back Orifice 2000则是使用54320 等等那么，我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客 程序以下是详细方法介绍1. Windows本身自带的netstat命令关于netstat命令，我们先来看看windows帮助文件中的介绍：Netstat显示协议统计和当前的TCP/IP网络连接该命令只有在安装了 TCP/IP协议后才可以 使用netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]参数-a显示所有连接和侦听端口服务器连接通常不显示e显示以太网统计该参数可以与-s选项结合使用n以数字格式显示地址和端口号（而不是尝试查找名称）s显示每个协议的统计默认情况下，显示TCP、UDP、ICMP和IP的统计p选项 可以用来指定默认的子集p protocol显示由protocol指定的协议的连接；protocol可以是tcp或udp。

如果与-s选项一 同使用显示每个协议的统计，protocol可以是tcp、udp、icmp或ipr显示路由表的内容interval重新显示所选的统计，在每次显示之间暂停interval秒按CTRL+B停止重新显示统 计如果省略该参数，netstat将打印一次当前的配置信息好了，看完这些帮助文件，我们应该明白netstat命令的使用方法了现在就让我们现 学现用，用这个命令看一下自己的机器开放的端口进入到命令行下，使用netstat命令的a 和n两个参数：C:\>netstat -anActive ConnectionsProto Local Address Foreign Address StateTCP 0.0.0.0:80 0.0.0.0:0 LISTENING。