木马的出现对我们的系统造成了很大的危害，但是由于木马通常植入得非常隐蔽，很难完全删除，因此，这里我们介绍一些常见木马的清除方法。

　　1. 网络公牛（netbull）

　　网络公牛是国产木马，默认连接端口23444。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于c:\windows\system下，下次开机checkdll.exe将自动运行，因此很隐蔽、危害很大。同时，服务端运行后会自动捆绑以下文件:

　　win2000下：notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe。

　　服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、qq、icq等)上，在注册表中网络公牛也悄悄地扎下了根。

　　网络公牛采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难。这样做也有个缺点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀疑自己中了木马。

　　清除方法：

　　1.删除网络公牛的自启动程序c:\windows\system\checkdll.exe。

　　2.把网络公牛在注册表中所建立的键值全部删除：

　　3.检查上面列出的文件，如果发现文件长度发生变化（大约增加了40k左右，可以通过与其它机子上的正常文件比较而知），就删除它们！然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件(e)”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、qq、icq等被捆绑上了，那就得把这些文件删除，再重新安装。

　　2. netspy（网络精灵）

　　netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用netmonitor，通过ie或navigate就可以进行远程监控了。服务端程序被执行后，会在c:\windows\system目录下生成netspy.exe文件。同时在注册表hkey_local_machine\software\ microsoft\windows\currentversion \run\下建立键值c\windows\ system\netspy.exe，用于在系统启动时自动加载运行。

　　清除方法：

　　1.重新启动机器并在出现staring windows提示时，按f5键进入命令行状态。在c:\windows\system\目录下输入以下命令：del netspy.exe；

　　2.进入hkey_local_machine\

　　software\microsoft\windows\ currentversion\run\，删除netspy的键值即可安全清除netspy。

　　3. subseven

　　subseven的功能比起bo2k可以说有过之而无不及。最新版为2.2(默认连接端口27374)，服务端只有54.5k，很容易被捆绑到其它软件而不被发现。最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。subseven服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此很难查。

    清除方法：

　　1.打开注册表regedit，点击至： hkey_local_machine\software\

　　microsoft\windows\currentversion\run和runservice下，如果有加载文件，就删除右边的项目：加载器=“c:\windows\system\***”。注：加载器和文件名是随意改变的

　　2.打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之。

　　3.打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有将它删除。

　　4.重新启动windows，删除相对应的木马程序，一般在c:\windows\system下，在我在本机上做实验时发现该文件名为vqpbk.exe。

　　4. 冰河

　　我们这里介绍的是其标准版，掌握了如何清除标准版，再来对付变种冰河就很容易了。 冰河的服务器端程序为g-server.exe，客户端程序为g-client.exe，默认连接端口为7626。一旦运行g-server，那么该程序就会在c:\windows\system目录下生成kernel32.exe和sysexplr.exe，并删除自身。kernel32.exe在系统启动时自动加载运行，sysexplr.exe和txt文件关联。即使你删除了kernel32.exe，但只要你打开txt文件，sysexplr.exe就会被激活，它将再次生成kernel32.exe。

　　清除方法：

　　1.删除c:\windows\system下的kernel32.exe和sysexplr.exe文件；

　　2.冰河会在注册表hkey_local_

　　machine\software\microsoft\windows\ currentversion\run下扎根，键值为c:\windows\system\kernel32.exe，删除它；

　　3.在注册表的hkey_local_

　　machine\software\microsoft\windows\ currentversion\runservices下，还有键值为c:\windows\system\kernel32.exe的，也要删除；

　　4.最后，改注册表hkey_classes_

　　root\txtfile\shell\open\command下的默认值，由表中木马后的c:\windows\system\sysexplr.exe %1改为正常的c:\windows\notepad.exe %1，即可恢复txt文件关联功能。