5.5.7流行木马病毒的清除

5.5.7　流行木马病毒的清除

如今木马程序的种类很多，其危害性也越来越大，下面我们重点来介绍国内常见的、影响范围较大的木马程序的清除方法。

1．网络公牛（Netbull）

网络公牛是国产木马，默认连接端口为23444。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于“C:\WINDOWS\SYSTEM”下，下次开机时checkdll.exe将自动运行，因此很隐蔽、危害很大。同时，服务端运行后会自动捆绑以下文件：在Windows2000下的notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe。服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上，在注册表中网络公牛也悄悄地扎下了根。

网络公牛采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难。这样做也有个缺点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀疑自己中了木马。

清除方法：

（1）删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。

（2）把网络公牛在注册表中所有键值全部删除。

（3）检查上面列出的文件，如果发现文件长度发生变化（大约增加了40KB左右，可以通过与其他机子上的正常文件比较而知），就删除它们！

单击“开始”→“所有程序”→“附件”→“系统工具”→“系统信息”→“工具”→“系统文件检查器”命令，在弹出的对话框中选中“从安装软盘提取一个文件”，在框中填入要提取的文件（前面删除的文件），单击“确定”按钮，根据屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如：realplay.exe、QQ等被捆绑上了，那就得把这些文件删除，再重新安装。

2．Netspy（网络精灵）

Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了。

服务端程序被执行后，会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run\下建立键值C\windows\system\netspy.exe，用于在系统启动时自动加载运行。

清除方法：

（1）重新启动机器并在出现Staring windows提示时，按“F5”键进入命令行状态。在C:\windows\system\目录下输入以下命令：

del netspy.exe。

（2）进入HKEY_LOCAL_MACHINE\Software\microsoft\windows\Current Version\Run\，删除Netspy的键值即可安全清除Netspy。

3．SubSeven

SubSeven的功能比起BO2K可以说有过之而无不及。最新版本为2.2（默认连接端口为27374），服务端只有54.5KB，很容易被捆绑到其他软件而不被发现。最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。SubSeven服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此很难查询。

清除方法：

（1）打开注册表Regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunService下，如果有加载文件，就删除右边的项目：加载器=“C:\windows\system\***”（注：加载器和文件名是可随意改变的）。

（2）打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之。

（3）打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有将它删除。

（4）重新启动Windows，删除相对应的木马程序，一般在C:\windows\system下。

4．冰河

这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe。

清除方法：

（1）可以手动删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件。

（2）一般冰河会入侵注册表HKEY_LOCAL_MA-CHINE\software\microsoft\windows\Current Version\Run，键值为C:\windows\system\Kernel32.exe，删除它。

（3）在注册表的HKEY_LOCAL_MACHINE\software\microsoft\windows\Current Version\Runservices下，还有键值为C:\windows\system\Kernel32.exe的，也要删除。

（4）最后改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，由表中木马后的C:\windows\system\Sysexplr.exe %1改为正常的C:\windows\notepad.exe%1，即可恢复TXT文件关联功能。

5．网络神偷（Nethief）

网络神偷是个反弹端口型木马。与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口，为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP 服务端的IP地址:1026 客户端的IP地址:80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。

清除方法：

（1）网络神偷会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer sion\Run下建立键值“internet”，其值为“internet.exe /s”，将键值删除。

（2）删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。

6．广外女生

“广外女生”是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于“广外女生”服务端被执行后，会自动检查进程中是否含有“金山毒霸”“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！

清除方法：

（1）启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它。

（2）找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”。

（3）回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改名的文件）。

（4）找到HKEY_CLASSES_ROOT\exefile\shell\open\command，将其默认键值改成“\”%1“%*”。

（5）删除注册表中名称为“Diagnostic Configuration”的键值。

（6）关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe”。

7．WAY2.4

WAY2.4是国产木马程序，默认连接端口是8011。WAY2.4的注册表操作的确有特色，对受控端注册表的读写，就和本地注册表读写一样方便！WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件，图标是文本文件的图标，很隐蔽。看来它想冒充系统文件msgsvc32.exe。

WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask。

清除方法：

（1）用进程管理工具查看，你会发现进程CWAY，只要删除它在注册表中的键值，再删除C:\windows\system下的msgsvc.exe这个文件就可以了。

（2）要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到DOS下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了。请在删除前做好备份。