网上九大流行木马的清除方法(下)

黑洞2001

　　黑洞2001是国产木马程序，默认连接端口2001。黑洞的可怕之处在于它有强大的杀进程功能！也就是说控制端可以随意终止被控端的某个进程，如果这个进程是天网之类的防火墙，那么你的保护就全无了，黑客可以由此而长驱直入，在你的系统中肆意纵横。

　　黑洞2001服务端被执行后，会在c:windowssystem下生成两个文件，一个是S_Server.exe，S_Server.exe的是服务端的直接复制，用的是文件夹的图标，一定要小心哦，这是个可执行文件，可不是文件夹哦；另一个是windows.exe，文件大小为255488字节，用的是未定义类型的图标。黑洞2001是典型的文件关联木马，windows.exe文件用来机器开机时立刻运行，并打开默认连接端口2001，S_Server.exe文件用来和TXT文件打开方式连起来(即关联)！当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后，服务端就暂时被关闭，即木马暂时删除，当任何文本文件被运行时，隐蔽的S_Server.exe木马文件就又被击活了，于是它再次生成windows.exe文件，即木马又被中入！

　　清除方法：

　　1)、将HKEY_CLASSES_ROOT xtfileshellopencommand下的默认键值由S_SERVER.EXE %1改为C:WINDOWSNOTEPAD.EXE %1

2)、将HKEY_LOCAL_MACHINESoftwareCLASSES xtfileshellopencommand下的默认键值由S_SERVER.EXE %1改为C:WINDOWSNOTEPAD.EXE %1

　　3)、将HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunServices下的串值windows删除。

　　4)、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES下的Winvxd主键删除。 　　

　　5)、到C:WINDOWSSYSTEM下，删除windows.exe和S_Server.exe这两个木马文件。要注意的是如果已经中了黑洞2001，那么windows.exe这个文件在windows环境下是无法直接删除的，这时我们可以在DOS方式下将它删除，或者用进程管理软件终止windows.exe这个进程，然后再将它删除。

　　至此就安全的清除黑洞2001了。

　　Netspy（网络精灵）

　　Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了！其强大之处丝毫不逊色于冰河和BO2000！服务端程序被执行后，会在C:Windowssystem目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRun下建立键值C:windowssystem etspy.exe，用于在系统启动时自动加载运行。

　　清除方法：

　　1、重新启动机器并在出现Staring windows提示时，按F5键进入命令行状态。在C:windowssystem目录下输入以下命令：del netspy.exe 回车！

　　2、进入注册表HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentVersionRun，删除Netspy的键值即可安全清除Netspy。

　　SubSeven

　　SubSeven的功能比起大名鼎鼎的BO2K可以说有过之而无不及。最新版为2.2(默认连接端口27374)，服务端只有54.5k！很容易被捆绑到其它软件而不被发现！最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。SubSeven服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此查之很难

/P>

　　清除方法：