6．黑洞2001

“黑洞2001”是國產(chǎn)木馬程序，默認連接端口2001，它的圖標是一個文件夾，具有很強的迷惑性，一不小心，就會上當。下面介紹清除方法。

(1)使用“開始”→“運行”，輸入“regedit”命令，然后將HKEY_CLASSES_RO- OT＼txtfile＼shell＼open＼command下的默認鍵值由S_SERVER．EXE％1改為C：＼Windows＼NO- TEPAD．EXE％1：

(2)將HKEY_LOCAL_MACHINE＼Software＼CLASSES＼txtfile＼shell＼open＼command下的默認鍵值由S_SERVER．EXE％1改為C：＼Windows＼NOTEPAD．EXE％1；

(3)將HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServ- ices＼下的串值Windows刪除；

(4)將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE＼Software＼CLASSES下的Winvxd主鍵刪除；

(5)到C：＼Windows＼SYSTEM下，刪除Windows．exe和S_Server．exe這兩個木馬文件。

7．“無賴小子”2．4版本

“無賴小子”是國產(chǎn)木馬程序，默認連接端口8011，它可以被稱為注冊表操控方面的“木馬老大”。準確地說這個木馬并沒有完善的清除方法，因為它強大的注冊表修改功能使得每個注冊表鍵值都可能被修改，所以這里所使用的清除方法也只適合默認狀態(tài)下的清除。具體做法是使用進程管理器終止掉這個木馬的進程，然后在Windows下直接刪除 msgsvc．exe，至于注冊表中的鍵值，按照木馬最容易啟動自己的地方進行檢查，發(fā)現(xiàn)有改動的就刪除掉。可見，在中木馬病毒前備份注冊表是非常重要的。

8．“網(wǎng)絡神偷”(Nethief)

“網(wǎng)絡神偷”又名Nethief，是第一個反彈端口型的新型木馬。它的最大危害在于能夠使用反彈端口遠程控制局域網(wǎng)內(nèi)部的機器。它的工作方式：服務端使用主動端口，客戶端使用被動端口。當打開客戶端的時候，客戶端自動通過FTP主頁空間寫入一些數(shù)據(jù)告訴服務端，如自己的IP地址端口等信息，并進入監(jiān)聽狀態(tài)。而服務端定期的檢查一下FTP空間里面的輸入是否發(fā)生了變化，當發(fā)生了變化之后，它就會自動開始連接客戶端。為了隱蔽，客戶端的監(jiān)聽端口一般開在80，這樣即使用戶使用端口掃描軟件檢查自己的端口中，發(fā)現(xiàn)的也是類似“TCP服務端的IP地址：1026客戶端的IP地址：80ESTABLISHED”的信息，大多數(shù)人都還以為自己在瀏覽網(wǎng)頁。下面介紹手動清除方法。

(1)先刪除注冊表啟動項HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windo- ws＼CurrentVersionkRun下的internet／s鍵值(鍵名是在生成服務端時由用戶設置的，可能有些變化)；

(2)重啟后，再刪除系統(tǒng)目錄(C：＼Windows＼System)中的服務端程序intemet．exe(文件名也是由用戶設置的，可能有些變化)。

9．“網(wǎng)絡公牛”(Netbull)

“網(wǎng)絡公牛”又名Netbull，是國產(chǎn)木馬，默認連接端口234444。服務端程序newserver．exe運行后，會自動脫殼成checkdll．exe，位于C：＼Windows＼SYSTEM下，下次開機checkdll．exe將自動運行。同時，服務端運行后會自動捆綁以下文件：Windows 9X下：捆綁notepad．exe； write．exe，regedit．exe，winmine．exe，winhelp．exe；winnt／2000(在2000下會出現(xiàn)文件改動報警，但也不能阻止以下文件的捆綁)下：notepad．exe regedit．exe，reged32．exe；drwtsn32．exe； winmine．exe。

服務端運行后還會捆綁在開機時自動運行的第三方軟件(如：realplay．exe，QQ或ICQ等)上。

下面介紹手動清除方法。

(1)刪除網(wǎng)絡公牛的自啟動程序C：＼Windows＼SYSTEM＼CheckDll．exe；

(2)把網(wǎng)絡公牛在注冊表中所建立的鍵值全部刪除；

[HKEY_CURRENT_USER＼Software＼Micmsoft＼Windows＼CurrentVersion＼Run]

“CheckDll．exe”=“C：＼Windows＼SYSTEM＼CheckDll．exe”

[HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows、CurrentVersion＼RunServices]

“CheckDll．exe”=“C：＼Windows＼．SYSTEM＼CheckDll．exe”

[HKEY_USERS＼．DEFAULT＼Software＼Micmsoft＼Windows＼CurrentVersionkRun]

“CheckDll．exe”=“C：＼Windows＼SYSTEM＼CheckDll．exe”

(3)檢查上面列出的文件，如果發(fā)現(xiàn)文件長度發(fā)生變化(大約增加了40KB左右，可以通過與其他電腦上的正常文件比較而知)，就刪除它們!然后點擊“開始→附件→系統(tǒng)工具→系統(tǒng)信息→工具→系統(tǒng)文件檢查器”，在彈出的對話框中選中“從安裝軟盤提取一個文件(E)”，在框中填入要提取的文件(前面被刪除的文件)，點“確定”按鈕，然后按屏幕提示將這些文件恢復即可。如果是開機時自動運行的第三方軟件如：realplay．exe，QQ或ICQ等被捆綁上了，那就得把這些文件刪除，再重新安裝。

10．AttackFTP木馬

AttackFTP木馬也是目前比較典型的木馬，通常木馬文件被保存在Windows的系統(tǒng)目錄下，然后利用C：＼Windows下的Win．ini文件中的“Load=”及注冊表文件產(chǎn)生雙重引導木馬效果。

要清除AttackFTP木馬可以按照以下的步驟進行。

(1)打開win．ini文件，在“Windows”下面有“l(fā)oad=wscan．exe”，刪除其中的“wscan．ex-e”，正確是“l(fā)oad=”后面沒有任何文字敘述。修改完畢之后，別忘了保存關閉win．ini文件。

(2)打開注冊表并刪除運行路徑。打開目錄到HKEY_LOCAL_MACHINE＼SOFTWA- RE＼Microsoft＼Windows＼CurrentVersion＼Run，刪除右邊的Reminder=“wscan．exe／s”。

(3)重新啟動到MS-DOS系統(tǒng)中，刪除C：＼windowsksystem＼wscan．exe，待刪除之后重新開機進入Windos系統(tǒng)。

11．Win32．FunLove．4099

FunLove是一個非破壞性的內(nèi)存駐留的Win32病毒，它感染本地驅(qū)動器和網(wǎng)絡驅(qū)動器上的PE格式文件，因為有網(wǎng)絡傳播能力，它以一個感染的工作站為基地，通過對當前用戶寫授權的網(wǎng)絡資源進行傳播。雖然FunLove病毒對數(shù)據(jù)沒有直接的破壞性，但也會占用系統(tǒng)資源，降低運行速度。下面介紹手工清除方法。

在Windows 9X系統(tǒng)上的清除方法為。

(1)斷開網(wǎng)絡，備份重要文件；

(2)將病毒生成的FLCSS．exe文件刪除；

(3)用啟動盤引導系統(tǒng)，在DOS下查找并清除。

Windows 2000／NT系統(tǒng)上的清除方法為。

若Windows 2000／NT系統(tǒng)的NTFS硬盤分區(qū)染有此毒，處理比較煩瑣。因為使用DOS軟盤引導后不認硬盤分區(qū)，所以無法殺毒。在染毒的Windows 2000／NT系統(tǒng)下又殺不干凈病毒。

推薦消除方法為：

(1)斷開網(wǎng)絡，備份重要文件，將病毒生成的FLCSS．exe文件刪除；

(2)將患毒的硬盤掛接在無毒的機器上作為從盤；

(3)用無毒的主盤引導機器后，查找并清除從盤中的病毒。

12．歡樂時光(Happytime)

“歡樂時光”(Happytime)是一個VB源程序蠕蟲。它專門感染．htm，．html，．vbs，．a(chǎn)sp和．htt文件。它作為電子郵件的附件，并利用Outlook Express的功能缺陷把自己傳播出去。它利用一個被人們所知的Microsoft Outlook Express的安全漏洞，可以在用戶沒有運行任何附件時就運行自己。它利用Outlook Express的信紙功能，使自己復制在信紙的Html模板上，以便傳播。這和“Wscript．KakWorm”病毒很相似，當信發(fā)出去時，“歡樂時光”的源病毒隱藏在HTML文件上。只要用戶在Outlook Express上預覽了隱藏有病毒的HTML文件，甚至都不用打開它，它就能感染用戶的電腦。

清除“歡樂時光”病毒方法

(1)在C：＼Windows＼Web文件夾下，搜索文件和文件夾，名為“*．htt”；

(2)刪除找到的文件；

(3)更改注冊表，并刪除鍵值：HKEY_CURRENT_USER＼Software＼Help＼Count HKE- Y_CURR*ENT USER＼Software＼Help＼FileName；

(4)重新啟動機器；

(5)升級IE到6．0。

13．Worm．BadTrans．ll

“I-Worm．BadTrans．II”是一種蠕蟲病毒，如果郵件Client程序上沒有修補漏洞，只要讀郵件，被設置了儲藏鍵盤輸入內(nèi)容的特洛伊木馬，就會通過郵件傳播。該蠕蟲病毒運行時，會將自己復制到Windows的System目錄下，并命名為KERNEL32．EXE，并將它加到注冊表 HKLM＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce中，使自己能在下次Windows啟動時運行。同時還會生成一個dll文件：KDLL．DLL，該文件是儲藏輸入鍵盤內(nèi)容功能的特洛伊木馬。下面介紹手動清除方法。

在Windows 9X系統(tǒng)中：

(1)按“Alt”+“Shift”+“Ctrl”鍵，結(jié)束Kemel32．exe的進程；

(2)在Windows＼system＼下查找Kerne132．exe和Kdll．dll文件并刪除它們；

(3)刪除注冊表中HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curre- ntVersion＼RunOnce＼Keme132=Keme132．exe的主鍵。

在Windows 2000／NT系統(tǒng)中：

(1)在Windows 2000／NT下結(jié)束進程；方法為按“Alt”+“Shift”+“Ctrl”鍵出現(xiàn)任務管理器窗口，在進程選項中，查找KerneD2．exe文件，選中后結(jié)束程序進程；

(2)回到系統(tǒng)目錄WINNT＼ystem32＼刪除文件Kerne132．exe和KDLL．dll；

(3)刪除注冊表中HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Current- Version＼RunOnce＼Keme132=Keme132．exe的主鍵；

最后，別忘了升級IE6．0。

14．尼姆達(Nimda)

在手工查殺尼姆達(Nimda)時，須注意不同的平臺采取不同的方法。

對于Windows 98用戶：

(1)打開進程管理器，查看進程列表，結(jié)束其中進程名稱為“xxx．tmp．exe”以及“Loa- d．exe”的進程(其中xxx為任意文件名)；

(2)切換到系統(tǒng)的TEMP目錄，尋找文件長度為57344的文件，刪掉它們；

(3)切換到系統(tǒng)的System目錄，尋找大小為57344字節(jié)名稱為Riched20．DLL的文件并刪掉它；

(4)繼續(xù)在系統(tǒng)的System目錄下尋找名稱為load．exe，刪掉它；

(5)如果遇到Office運行異常，請將Windows 98安裝目錄下的壓縮包內(nèi)的RICHE- D20．DLL文件復制到C：＼windows＼system下，替換掉到原有的RICHED20．DLL文件；

(6)如發(fā)現(xiàn)C：盤共享，請打開共享文件夾管理，將共享“C$”去除；

(7)打開Sysmm．im文件，在[load]中如果有一行“shell=explorer．exe load．exedontrunold”，則改為“shell=explorer．exe”；

(8)升級IE到6．0版本。

對于Windows2000 Professional／Server／Advanced server／NT4 Server：

(1)首先安裝IIS補丁及IE相應的最新補丁；

(2)將服務器隔離，斷開所有網(wǎng)線；

(3)將IIS服務的Scripts目錄中TFTP*．exe和ROOT．exe文件全部移除：

(4)當受到尼姆達病毒的入侵后，系統(tǒng)中會出現(xiàn)一些新的共享，如C、D等，應該將其共屬性去掉；

(5)另外，查看一下administrators組中是否加進了“guest”用戶，如果是，請將guest用戶從administrators組中刪除；

(6)徹底清除Nimda病毒，查找與清除方式同Windows 98系統(tǒng)；

(7)恢復網(wǎng)絡連接；

(8)如果按照以上步驟仍無法解決問題，說明IIS補丁安裝有問題，請重新安裝IIS補丁；    (9)如果用戶服務器不提供Web服務，應將Web服務停止．，這樣比較安全。