|
“网络公牛”又名Netbull是国产木马,默认连接端口234444。服务端程序newserver.exe运行后会自动脱壳成checkdll.exe,位于C:\Windows\system下,下次开机Checkdll.exe将自动运行。同时,服务端运行后会自动捆绑以下又件:
Windows 9X下:捆绑notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.exe;
Winnt/2000下(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)notepad.exe、
regedit.exe,regedit32.exe、drwtsn32.exe,winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上。
下面介绍手动清除方法:
1、删除网络公牛的自启动程序C:\Windows\SYSTEM\CheckDll.exe。
2、把网络公牛在注册表中所建立的键值全部删除:HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run,
“CheckDll.exe”=“C:\Windows\SYSTEM\CheckDll.exe”
HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\RunServices
CheckDll.exe=C:\Windows\SYSTEM\CheckDll.exe
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
“ CheckDll.exe”=“C\Windows\SYSTEM\CheckDll.exe”
3、检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右可以通过与其它电脑上的正常文件比较而知)就删除它们,然后点击“开始一>附件一>系统工具一>系统信息一>工具一>系统文件检查器,在弹出的对话框中选中”从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点”确定“按钮然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除再重新安装。
|
