新农小编为您整理七种常见木马的清除的方法(2)

　　清除方法：  

　　1.删除C:\Windows\system下的Kernel32.exe和Sy***plr.exe文件；  

　　2.冰河会在注册表HKEY_LOCAL_ MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根，键值为C:\windows\system\Kernel32.exe，删除它；  

　　3.在注册表的HKEY_LOCAL_ MACHINE\software\microsoft\windows\ CurrentVersion\Runservices下，还有键值为C:\windows\system\Kernel32.exe的，也要删除；  

　　4.最后，改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，由表中木马后的C:\windows\system\Sy***plr.exe %1改为正常的C:\windows\notepad.exe %1，即可恢复TXT文件关联功能。  

  
　网络神偷（Nethief）  

　　网络神偷是个反弹端口型木马。什么叫“反弹端口”型木马呢？与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP　服务端的IP地址:1026　客户端的IP地址:80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。  

　　清除方法：  

　　1.网络神偷会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”，其值为“internet.exe /s”，将键值删除；  

　　2.删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。  

　　 　　 广外女生  

　　“广外女生”是是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于“广外女生”服务端被执行后，会自动检查进程中是否含有“金山毒霸”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！ 　　  

　　清除方法：  

　　1.启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它；  

　　2.我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”；  

　　3.回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改名的文件）；  

　　4.找到HKEY_CLASSES_ROOT\exefile\shell\open\command，将其默认键值改成"%1" %*；  

　　5.删除注册表中名称为“Diagnostic Configuration”的键值；  

　　6.关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe”。  

　　WAY2.4  

　　WAY2.4是国产木马程序，默认连接端口是8011。WAY2.4的注册表操作的确有特色，对受控端注册表的读写，就和本地注册表读写一样方便！WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件，图标是文本文件的图标，很隐蔽。看来它想冒充系统文件msgsvc32.exe。同时，WAY2.4在注册表HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask。  

　　清除方法：  

　　用进程管理工具查看，你会发现进程CWAY，只要删除它在注册表中的键值，再删除C:\windows\system下的msgsvc.exe这个文件就可以了。  

　　要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到DoS下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了。注意在删除前请做好备份。