清除黑客程序(续)
#1 1.Netbus
中了Netbus的计算机会有如下特征:①会在C:\windows下生成一个小小的、背景为深蓝色的锅状卫星天线的图标;②也会在C:\windows\system下生成一个中心淡蓝色的锅状卫星天线的图标,名为“查看频道.scf”,这只能够在Win98中看到。如果你在此目录下看到上述的两个图标中的其中一个,可以先用鼠标右键点击此图标文件,选择“属性”,看看它的大小是否显示为“461KB”或者是“483KB”,如果是其中的一种,就点击“开始”→“运行”,输入“regedit”,打开注册表编辑器,选HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,看看里面的ab项,与你先前发现的那种图标的文件名是相同的,如果有,看看此ab项右边是不是出现“C:\windows\图标的名字.exe/nomsg”,是就删除这个ab项,退出到MS-DOS方式,进入windows子目录,找到图标文件后删除它,然后返回到Windows。
#1 2.Subseven
谈到木马,大家可能第一个映入脑海的就是BO,其实还有一个木马的功能不下于BO的,可能还有过之而无不及,那就是Subseven。
它是由subseven.exe、editsubserver.exe、server.exe和icqapi.dll四个文件组成的,各自分别是客户端程序、设置木马的编辑器、服务器程序。如果它在你的机子里面安家落户,你要发现它,不容易,因为它会隐藏自己的进程,但是你可以在C:\Windows\目录下发现一个名为mcrexe.exe的文件,如果你打开注册表编辑器,检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,会有一个名为mcrexe.exe的子键,删除它们吧!
#1 3.Happy99
这是一种病毒,它附着于E-mail附件上,如果你不知道它是病毒而去执行它,你会发现你的屏幕上自动打开了一个名为“Happy new year 1999”的窗口,里面是以黑色为底色的满天焰火,此后只要你发送附带附件的邮件,机子就会死机。
其实,该程序把自身copy到Win 95/98的System目录下,命名为Ska.exe,释放出文件Ska.dll,并会修改Wsock32.dll,把修改前的文件备份为Wsock32.ska,并修改了注册表,所以当你打开C:\Windows\System,发现其中有Ska.exe、ska.dll和wsock32.ska三个文件,你就知道你已经中毒了。这时别慌张,照旧打开注册表编辑器,检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce中有无键值Ska.exe,如果有,请将它删除,然后再删除C:\Windows\System中Ska.exe和Ska.dll两个文件,再将Wsock32.ska重新命名为Wsock32.dll就行了。