大家好,综合小编来为大家讲解下手机中木马病毒了怎么清除，七种常见木马的清除方法这个很多人还不知道,现在让我们一起来看看吧！

网络公牛是国产木马，默认连接端口为23444。在服务器程序newserver.exe运行后，它将自动壳入checkdll.exe，它位于C: Windows系统下。

Checkdll.exe下次开机会自动运行，所以是隐藏的，有害的。同时，服务器运行后会自动绑定以下文件：

win2000下：notepad . exe edit . exe，reged32 . exedrwtsn 32 . exe；winmine.exe。

服务器运行后，会绑定第三方软件(如realplay.exe、QQ、ICQ等。)那种开机就自动运行的，网络大牛已经悄悄在注册表里生根发芽了。

网络大牛用的是文件绑定功能，和上面列出的文件是捆绑在一起的，清除起来非常困难。这也有一个缺点：容易暴露自己！只要是稍微有经验的用户，都会发现文件长度变了，从而怀疑自己被木马击中了。

清洁方法：

1.删除自启动程序C:网络大牛WINDOWSSYSTEMCheckDll.exe。

2.删除注册表中所有网络牛人建立的键值。

3.检查上面列出的文件。如果文件长度发生变化(大概多了40K左右，对比其他电脑上的正常文件就能知道)，删除！然后点击开始附件系统工具系统信息工具系统文件检查器。

在弹出的对话框中选择“从安装软盘(E)提取文件”，填写要提取的文件(您之前删除的文件)，点击“确定”按钮，然后按照屏幕提示恢复这些文件。

如realplay.exe、QQ、ICQ等第三方软件。在启动时自动运行，是捆绑的，你必须删除这些文件并重新安装。

网络间谍(网络向导)

Netspy又称网络精灵，是一款国产木马，最新版本为3.0，默认连接端口为7306。在这个版本中，新增了注册表编辑功能和浏览器监控功能，客户端现在可以使用NetMonitor代替。

可以通过ie或Navigate进行远程监控。服务器程序执行后，netspy.exe文件将在C: Windows系统目录下生成。

At the same time, the key value Cwindowssystemnetspy.exe is established under the operation of the current version of HKEY _ local _ machine software Microsoft windows,

用于系统启动时自动加载运行。

清洁方法：

1.当出现Staringwindows提示符时，重新启动计算机并按F5键进入命令行状态。在c:windows系统目录中输入以下命令：德尔netspy.exe；

2. Enter HKEY _ Local _ Machine

Software Microsoft Windows CurrentVersionRun, deleting the key value of network spy can safely remove network spy.

SubSeven

SubSeven的功能可以说比BO2K还要差。最新版本是2.2(默认连接端口是27374)，服务器只有54.5k，很容易被捆绑到其他软件而不被发现。最新版本的金山毒霸等杀毒软件都找不到。

服务器端程序server.exe，客户端程序subseven.exe。SubSeven服务器执行后变化很大，每次启动时进程名都会变，很难检查。

清洁方法：

1. Open the registry and edit it, and click: HKEY _ Local _ Machine Software.

在microsoftwindowscurentversionrun和RunService下，如果有加载文件，删除右边的项：loader="c: windowssystem * * * "。

注：加载器和文件名是随意改变的。

2.打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之。

3.打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有将它删除。

4.重新启动Windows，删除相对应的木马程序，一般在c：windowssystem下，在我在本机上做实验时发现该文件名为vqpbk.exe。

冰河

我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。

一旦运行G-server，那么该程序就会在C：Windowssystem目录下生成Kernel32.exe和sy***plr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，

sy***plr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sy***plr.exe就会被激活，它将再次生成Kernel32.exe。

清除方法：

1.删除C：Windowssystem下的Kernel32.exe和Sy***plr.exe文件；

2.冰河会在注册表HKEY_LOCAL_ MACHINEsoftwaremicrosoftwindowsCurrentVersionRun下扎根，

键值为C：windowssystemKernel32.exe，删除它；

3.在注册表的HKEY_LOCAL_ MACHINEsoftwaremicrosoftwindowsCurrentVersionRunservices下，

还有键值为C：windowssystemKernel32.exe的，也要删除；

4.最后，改注册表HKEY_CLASSES_ROOTtxtfileshellopencommand下的默认值，

由表中木马后的C：windowssystemSy***plr.exe%1改为正常的C：windowsnotepad.exe %1，即可恢复TXT文件关联功能。

网络神偷(Nethief)

网络神偷是个反弹端口型木马。什么叫“反弹端口”型木马呢？与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，为了隐蔽起见，客户端的监听端口一般开在80，

这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP　服务端的IP地址：1026　客户端的IP地址：80ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。

清除方法：

1.网络神偷会在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下建立键值“internet”，

其值为“internet.exe/s”，将键值删除；

2.删除其自启动程序C：WINDOWSSYSTEMINTERNET.EXE。

广外女生

“广外女生”是是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于“广外女生”服务端被执行后，

会自动检查进程中是否含有“金山毒霸”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用!

清除方法：

1.启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它；

2.我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”;

3.回到Windows模式下，运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件);

4.找到HKEY_CLASSES_ROOTexefileshellopencommand，将其默认键值改成“%1” %*;

5.删除注册表中名称为“Diagnostic Configuration”的键值；

6.关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe”。

WAY2.4

WAY2.4是国产木马程序，默认连接端口是8011。WAY2.4的注册表操作的确有特色，对受控端注册表的读写，

就和本地注册表读写一样方便!WAY2.4服务端被运行后在C：windowssystem下生成msgsvc.exe文件，图标是文本文件的图标，很隐蔽。看来它想冒充系统文件msgsvc32.exe。同时，

WAY2.4在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下建立串值Msgtask。

清除方法：

用进程管理工具查看，你会发现进程CWAY，只要删除它在注册表中的键值，再删除C：windowssystem下的msgsvc.exe这个文件就可以了。

要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到DoS下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，

本文[高级伪原创标题]到此分享完毕，希望对大家有所帮助。