木马防范与清除之网上九大流行木马清除方法

全站搜索

首页 -> 技术学院 -> 系统安全 -> 病毒剖析

木马防范与清除之网上九大流行木马清除方法

2004-11-05 作者：天极网阅读量：

一、网络公牛（Netbull）

网络公牛又名Netbull，是国产木马，默认连接端口23444，最新版本V1.1。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:\WinDOWS\SYSTEM下，下次开机checkdll.exe将自动运行，因此很隐蔽、危害很大。同时，服务端运行后会自动捆绑以下文件:

Win9x下：捆绑notepad.exe；write.exe，regedit.exe，Winmine.exe，Winhelp.exe；

Winnt/2000下：(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；Winmine.exe。

服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上。在注册表中网络公牛也悄悄地扎下了根，如下：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"=

"C:\WinDOWS\SYSTEM\CheckDll.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices]

"CheckDll.exe"="C:\WinDOWS\SYSTEM\CheckDll.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CheckDll.exe"=

"C:\WinDOWS\SYSTEM\CheckDll.exe"

在我看来，网络公牛是最讨厌的了。它没有采用文件关联功能，采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难！你可能要问：那么其它木马为什么不用这个功能？哈哈，其实采用捆绑方式的木马还有很多，并且这样做也有个缺点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀疑自己中了木马。

清除方法：

1、删除网络公牛的自启动程序C:\WinDOWS\SYSTEM\CheckDll.exe。

2、把网络公牛在注册表中所建立的键值全部删除（上面所列出的那些键值全部删除）

3、检查上面列出的文件，如果发现文件长度发生变化（大约增加了40K左右，可以通过与其它机子上的正常文件比较而知），就删除它们！然后点击“开始－>附件－>系统工具－>系统信息－>工具－>系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件(E)”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了，那就得把这些文件删除，再重新安装。