第一章 清除黑客程序

網上的黑客不多，使用黑客程序的不少，不少網友深受黑客程序之害,在這裏，我拋磚引玉介紹一些清除黑客程序的簡單方法，希望能給大家一些幫助。

1.冰河

冰河是國人自行開發的一種木馬程序，中了冰河木馬的機器將輕而易舉地被遠程機器所控製，就像使用自己的機器一樣方便進行各種操作。

清除方法一：

如果安裝了"冰河"客戶端程序，就很簡單了。運行客戶端程序，在自動掃描中輸入自己的IP，看一下掃描結果是否為"OK"，並且左邊的"文件管理器"中是否會出現自己的IP。如果有，在"命令控製台"中的"控製類命令"中的"係統控製"中點擊"自動卸載冰河"就可以了。

清除方法二：

如果沒有"冰河"這個軟件，也不用著急，可以用清理注冊表的辦法的方法查找並解除冰河木馬。

運行REGEDIT命令打開注冊表編輯器，在KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中查看鍵值中有沒有自己不熟悉的自動啟動文件，擴展名為EXE。（一般"冰河"的默認文件名為KERNEL32.EXE，注意此文件的名字可能會被種馬的人改變）。

如果有，那我們先刪除該鍵值中這一項，再刪除RUNDRIVES這個鍵值。一般"冰河"用戶端程序的自我保護設為：關聯TXT文件或EXE文件，關聯的文件為：SYSEXPLR.EXE。

A.在"查看"菜單中選擇"文件夾選項"彈出文件夾選項對話框，選擇"文件類型"在"已注冊文件類型"框中找到"TXTFILE"這一項，看一下"打開方式"有無變化（一般為：NOTEPAD），如果關聯對象不是NOTEPAD，選擇"編輯"按鈕，在"操作"框中刪除"OPEN"這一項，那關聯TXT文件的用戶程序就失效了。

B.如果是關聯的EXE文件，那打開注冊表編輯器，在HKEY_CLASSES_ROOT\.exe中把"默認"的鍵值隨便改成什麼（注意看清楚，等會兒要改回來）。

以上這兩步做完後，退出WINDOWS，在DOS狀態下刪除該"冰河"用戶端程序，重新啟動即可。

注意：要把EXE文件的注冊表改回來。

附：建議采用第一種辦法：）方便簡單，如果采用第二種辦法，而你對注冊表不是太熟悉的話，請一定先備份注冊表文件。

2.BackOrifice(BO)

BO可能是全球影響最大的一種黑客程序了，想必大家都有所耳聞，我就不口羅嗦了。

清除方法：

用清理注冊表的辦法。運行REGEDIT命令，打開注冊表編輯器，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices看右邊是否有某個ab項出現（默認）".exe"，如果有立即刪除這個ab項，並確認刪除後原來".exe"的地方變為(未設置鍵值）。接著點擊開始菜單的"關閉係統"，選擇"重新啟動計算機並切換到MS－DOS方式"。退出後，輸入cdc:\windows\system回車，輸入delexe～1回車，輸入delwindll.dll回車,返回Windows。

3.Netspy

Netspy由國內黑客編製，全中文界麵，功能較弱，但使用簡單，所以在國內危害很大。

清除方法：

還是使用清理注冊表的辦法。運行REGEDIT命令，打開注冊表編輯器，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run看右邊是否有兩個ab項分別出現NETSPY和SPYNOTIFY,如果有，立即刪除這兩個ab項。用同上的方法退出到MS－DOS方式，輸入cdc:\windows\system回車，輸入delnetspy.exe回車，輸入delspynot～1.exe回車，返回Windows。解決黑客程序的方法還有使用殺毒軟件，使用殺毒軟件的另一個好處在於可以查找出硬盤中感染黑客程序的文件。以防因再次運行該文件而再次中黑客程序。