扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
清除方法:
1.重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在C:\windows\system\目录下输入以下命令:del netspy.exe;
2.进入HKEY_LOCAL_MACHINE\
Software\microsoft\windows\ CurrentVersion\Run\,删除Netspy的键值即可安全清除Netspy。
三、SubSeven
SubSeven的功能比起BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374),服务端只有54.5k,很容易被捆绑到其它软件而不被发现。最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe,客户端程序subseven.exe。SubSeven服务端被执行后,变化多端,每次启动的进程名都会发生变化,因此很难查。
清除方法:
1.打开注册表Regedit,点击至: HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run和RunService下,如果有加载文件,就删除右边的项目:加载器=“c:\windows\system\***”。注:加载器和文件名是随意改变的
2.打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除之。
3.打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。
4.重新启动Windows,删除相对应的木马程序,一般在c:\windows\system下,在我在本机上做实验时发现该文件名为vqpbk.exe。
四、冰河
我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:\Windows\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe。
清除方法:
1.删除C:\Windows\system下的Kernel32.exe和Sysexplr.exe文件;
2.冰河会在注册表HKEY_LOCAL_
MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根,键值为C:\windows\system\Kernel32.exe,删除它;
3.在注册表的HKEY_LOCAL_
MACHINE\software\microsoft\windows\ CurrentVersion\Runservices下,还有键值为C:\windows\system\Kernel32.exe的,也要删除;
4.最后,改注册表HKEY_CLASSES_
ROOT\txtfile\shell\open\command下的默认值,由表中木马后的C:\windows\system\Sysexplr.exe %1改为正常的C:\windows\notepad.exe %1,即可恢复TXT文件关联功能。
五、网络神偷(Nethief)
网络神偷是个反弹端口型木马。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。