七种常见木马的清除方法（精品多篇）范文

[寄语]七种常见木马的清除方法（精品多篇）为好范文网的会员投稿推荐，但愿对你的学习工作带来帮助。

WAY2. 篇一

WAY2.4是国产木马程序，默认连接端口是8011。WAY2.4的注册表操作的确有特色，对受控端注册表的读写，就和本地注册表读写一样方便！WAY2.4服务端被运行后在C：windowssystem下生成msgsvc.exe文件，图标是文本文件的图标，很隐蔽。看来它想冒充系统文件msgsvc32.exe。同时，WAY2.4在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下建立串值Msgtask。

清除方法：

用进程管理工具查看，你会发现进程CWAY，只要删除它在注册表中的键值，再删除C：windowssystem下的msgsvc.exe这个文件就可以了。

要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到DoS下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了。注意在删除前请做好备份。

网络神偷(Nethief 篇二

网络神偷是个反弹端口型木马。什么叫“反弹端口”型木马呢？与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP 服务端的IP地址：1026 客户端的IP地址：80ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。

清除方法：

1.网络神偷会在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下建立键值“internet”，其值为“internet.exe/s”，将键值删除；

2.删除其自启动程序C：WINDOWSSYSTEMINTERNET.EXE。

Netspy(网络精灵 篇三

Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了。服务端程序被执行后，会在C：Windowssystem目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersion Run下建立键值Cwindowssystemnetspy.exe，用于在系统启动时自动加载运行。

清除方法：

1.重新启动机器并在出现Staringwindows提示时，按F5键进入命令行状态。在C：windowssystem目录下输入以下命令：del netspy.exe;

2.进入HKEY_LOCAL_MACHINE

SoftwaremicrosoftwindowsCurrentVersionRun，删除Netspy的键值即可安全清除Netspy。

SubSeven 篇四

SubSeven的功能比起BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374)，服务端只有54.5k，很容易被捆绑到其它软件而不被发现。最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。SubSeven服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此很难查。

清除方法：

1.打开注册表Regedit，点击至： HKEY_LOCAL_MACHINESOFTWARE

MicrosoftWindowsCurrentVersionRun和RunService下，如果有加载文件，就删除右边的项目：加载器=“c：windowssystem***”。注：加载器和文件名是随意改变的。

2.打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之。

3.打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有将它删除。

4.重新启动Windows，删除相对应的木马程序，一般在c：windowssystem下，在我在本机上做实验时发现该文件名为vqpbk.exe。

广外女生 篇五

“广外女生”是是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于“广外女生”服务端被执行后，会自动检查进程中是否含有“金山毒霸”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！

清除方法：

1.启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它；

2.我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“”;

3.回到Windows模式下，运行Windows目录下的程序(就是我们刚才改名的文件);

4.找到HKEY_CLASSES_ROOTexefileshellopencommand，将其默认键值改成“%1” %*;

5.删除注册表中名称为“Diagnostic Configuration”的键值；

6.关掉注册表编辑器，回到Windows目录，将“”改回“Regedit.exe”。

你也可以在好范文网搜索更多本站小编为你整理的其他七种常见木马的清除方法（精品多篇）范文。