七种常见木马的破坏表现及清除(2)

　　清除方法：

　　1.重新启动机器并在出现Staring windows提示时，按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令：del netspy.exe；

　　2.进入HKEY_LOCAL_MACHINE\

　　Software\microsoft\windows\ CurrentVersion\Run\，删除Netspy的键值即可安全清除Netspy。

　　三、SubSeven

　　SubSeven的功能比起BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374)，服务端只有54.5k，很容易被捆绑到其它软件而不被发现。最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。SubSeven服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此很难查。

　　清除方法：

　　1.打开注册表Regedit，点击至： HKEY_LOCAL_MACHINE\SOFTWARE\

　　Microsoft\Windows\CurrentVersion\Run和RunService下，如果有加载文件，就删除右边的项目：加载器=“c:\windows\system\***”。注：加载器和文件名是随意改变的

　　2.打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之。

　　3.打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有将它删除。

　　4.重新启动Windows，删除相对应的木马程序，一般在c:\windows\system下，在我在本机上做实验时发现该文件名为vqpbk.exe。

　　四、冰河

　　我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe。

　　清除方法：

　　1.删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件；

　　2.冰河会在注册表HKEY_LOCAL_

　　MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根，键值为C:\windows\system\Kernel32.exe，删除它；

　　3.在注册表的HKEY_LOCAL_

　　MACHINE\software\microsoft\windows\ CurrentVersion\Runservices下，还有键值为C:\windows\system\Kernel32.exe的，也要删除；

　　4.最后，改注册表HKEY_CLASSES_

　　ROOT\txtfile\shell\open\command下的默认值，由表中木马后的C:\windows\system\Sysexplr.exe %1改为正常的C:\windows\notepad.exe %1，即可恢复TXT文件关联功能。

　　五、网络神偷（Nethief）

　　网络神偷是个反弹端口型木马。