木馬概述
同時,服務端運行後會自動捆綁以下檔案:
win9x下:捆綁notepad.exe;write.exe,regedit.exe,winmine.exe,winhelp.exe;
winnt/2000下:(在2000下會出現檔案改動報警,但也不能阻止以下檔案的捆綁)notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服務端運行後還會捆綁在開機時自動運行的第三方軟體(如:realplay.exe、QQ、ICQ等)上。在註冊表中網路公牛也悄悄地紮下了根,如下:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices]
"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CheckDll.exe"="C:\WINDOWS\SYSTEM\CheckDll.exe"
在我看來,網路公牛是最討厭的了。它沒有採用檔案關聯功能,採用的是檔案捆綁功能,和上面所列出的檔案捆綁在一塊,要清除非常困難!你可能要問:那么其它木馬為什麼不用這個功能?哈哈,其實採用捆綁方式的木馬還有很多,並且這樣做也有個缺點:容易暴露自己!只要是稍微有經驗的用戶,就會發現檔案長度發生了變化,從而懷疑自己中了木馬。
清除方法
1、刪除網路公牛的自啟動程式C:\WINDOWS\SYSTEM\CheckDll.exe。
2、把網路公牛在註冊表中所建立的鍵值全部刪除(上面所列出的那些鍵值全部刪除)
3、檢查上面列出的檔案,如果發現檔案長度發生變化(大約增加了40K左右,可以通過與其它機子上的正常檔案比較而知),就刪除它們!然後點擊“開始->附屬檔案->系統工具->系統信息->工具->系統檔案檢查器”,在彈出的對話框中選中“從安裝軟碟提取一個檔案(E)”,在框中填入要提取的檔案(前面你刪除的檔案),點“確定”按鈕,然後按螢幕提示將這些檔案恢復即可。如果是開機時自動運行的第三方軟體如:realplay.exe、QQ、ICQ等被捆綁上了,那就得把這些檔案刪除,再重新安裝。