网络公牛(Netbull)电脑木马的清除方法

网络别名网络公牛公牛,是国内木马,默认连接端口23444,V1.1的最新版本。服务器程序newserver。Exe运行,自动壳为checkdll。Exe位于C:WINDOWSSYSTEM,接下来checkdll引导。Exe将自动运行,所以它是隐藏的,危害是非常大的。同时,手术后服务器会自动绑定到以下文件:

下都:绑定记事本。Exe;编写。Exe,注册表编辑器。Exe,winmine。Exe,winhelp。exe。

Winnt / 2000:(在2000年将会出现在文档改变报警但也不能停止以下文件捆绑)记事本。exe。注册表编辑器。Exe,reged32。Exe;Drwtsn32。Exe;Winmine。exe。

手术后服务器将在运行时自动捆绑手机开启第三方软件(如:播放器。Exe、QQ、ICQ、等等)。注册网络的公牛也悄悄地在根下,如下:

  [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] “CheckDll.exe”=

“C:WINDOWSSYSTEMCheckDll.exe”

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunServices]

“CheckDll.exe”=”C:WINDOWSSYSTEMCheckDll.exe”

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun] “CheckDll.exe”=

“C:WINDOWSSYSTEMCheckDll.exe”

在我看来,网络是最讨厌它。它不使用文件关联功能,使用一个文件捆绑功能,和上面列出的文件绑定在一块,很难消除。你可能会问:为什么不其他木马使用这个函数吗?哈哈,其实还有很多木马使用绑定,这样做,也有一个缺点:容易暴露自己!只要是稍微有经验的用户,你会发现文件的长度发生了变化,怀疑自己的特洛伊木马。

消除方法:

1、删除程序的网络公牛开始以来C:WINDOWSSYSTEMCheckDll。exe。

2、网络建立的公牛在注册表键删除所有这些键(上面列出所有已删除)

3、检查上面列出的文件,如果发现文件的长度变化(增加了约40 k,可以与其他机器正常的文件),就删除它们!然后点击“开始- >附件- >系统工具- >信息- >工具- >系统文件检查器”,在弹出对话框中选择“将文件从安装软盘(E)”,填写框中提取文件(在你面前删除文件),一些“ok”按钮,然后按屏幕提示文件恢复。如果是自动运行,当手机开启第三方软件,如:媒体播放软件。Exe、QQ、ICQ捆绑起来,你必须删除这些文件,再重新安装。


标签:


顶部