1.网络公牛(Netbull)
网络公牛是国产木马,默认连接端口23444。服务器端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:WINDOWSYSTEM下,checkdll.exe下一次启动时会自动运行,因此非常隐蔽和有害。与此同时,服务器运行后会自动捆绑以下文件:
win2000:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服务器运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe,QQ,ICQ等)上,网络公牛在注册表中也悄然扎根。
网上公牛采用的是文件捆绑功能,与上面列出的文件捆绑在一起,很难清除。这也有一个缺点:容易暴露自己!只需稍有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。
清除方法:
1.删除网络公牛的自启动程序C:WINDOWSSYSTEMCheckDll.exe。
2.删除注册表中网络公牛建立的所有键值:
3.检查上面列出的文件。济南硬盘的数据怎样恢复如果发现文件长度发生变化(增加了40K左右,可以和其他机器上的正常文件对比)删除!然后点击开始→附件→系统工具→系统信息→工具→系统文件检查器,在弹出的对话框中选择从安装软盘中提取一个文件(E),在框中填写要提取的文件(你之前删除的文件),点击确定按钮,然后按屏幕提示恢复这些文件。如果是开机时自动运行的第三方软件,如realplay.exe、QQ、ICQ等。,必须删除并重新安装。
2.网络精灵(网络精灵)
Netspy又名网络向导,是国产木马,最新版本为3.0,默认连接端口为7306。该版本增加了注册表编辑功能和浏览器监控功能。客户端现在可以不使用NetMonitor,通过IE或Navigate进行远程监控。服务器程序执行后,netspy.exe文件将在C:Windowssystem目录下生成。同时,在注册表HKEY_LOCAL_MACHINESoftwaremicroftwindowscurrentVersionRun下建立键值Cwindowsystemnetspy.exe,用于系统启动时自动加载运行。
清除方法:
1.重新启动机器,当Staringwindows提示出现时,按F5键进入命令行状态。输入下列命令:delnetspy.exe,C:windowssystem目录;
2.进入HKEY_LOCAL_MACHINE。
SoftwaremicrosoftwindowsCurentVersionRun,删除Netspy的键值就可以安全地清除Netspy。
三、SubSeven。
与BO2K相比,SubSeven的O2K要好得多。济南硬盘的数据怎样恢复最新版本是2.2(默认连接端口27374),服务器只有54.5k,很容易被捆绑到其他软件而不被发现。金山毒霸等最新版本的防病毒软件找不到。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务器执行后,变化多端,每次启动的进程名称都会发生变化,很难查。
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
