1．特洛伊木马——NetBus

NetBus是一个和著名网络攻击程序Back Orifice类似的网络特洛伊木马程序。它会在被驻留的系统中开一个“后门”，使所有连接到Internet上的人都能神不知鬼不觉地访问到被驻留机器，然后控制者可以恶作剧地随意控制你的鼠标，在你机器上播放声音文件，或者打开你的光驱等，更危险的当然是删除你的文件，让你的机器彻底崩溃。

NetBus由两部分组成：客户端程序（netbus.exe）和服务器端程序（通常文件名为：patch.exe）。要想“控制”远程机器，必须先将服务器端程序安装到远程机器上（如：通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序）。

特别是NetBus 1.70，它在以前的版本上增加了许多“新功能”，从而使它更具危险性，如NetBus 1.60只能使用固定的服务器端TCP/UDP端口：12345，而在1.70版本中则允许任意改变端口号，从而减少了被发现的可能性；重定向功能（Redirection）更使攻击者可以通过被控制机控制其网络中的第三台机器，从而伪装成内部客户机。这样，即使路由器拒绝外部地址，只允许内部地址相互通信，攻击者也依然可以占领其中一台客户机并对网中其他机器进行控制。

通常，NetBus服务器端程序是放在Windows的系统目录中，它会在Windows启动时自动启动。该程序的文件名是patch.exe，如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话，文件名应为explore.exe或game.exe。可以检查Windows系统注册表，NetBus会在下面路径中加入其自身的启动项： "\HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run" NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del组合键，在任务列表中是看不到它的存在的。正确的去除方法为：

运行regedit.exe；

找到\HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run

将patch项或explore项删除；

重新启动机器后删除Windows系统目录下的patch.exe或explore.exe。  

有些木马程序在种木马的同时，感染系统文件，所以即使用以上方法去除了木马，系统文件被运行后，会重新种植木马。即使是防病毒软件，也不一定能彻底清除。

 2．震荡波病毒

（1）病毒描述

Sasser病毒，中文名为“震荡波”病毒，也有人称之为“杀手”病毒，这是一种蠕虫病毒。它利用微软WindowsNT内核平台上的LSASS漏洞，随机的扫描其他网络中计算机的IP端口，然后进行传播。
中毒电脑出现机器CPU资源被消耗殆尽、系统反复重启等症状。震荡波病毒的具体破坏方式是：在本地开辟后门，监听TCP 5554端口，作为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送，黑客可以通过这个端口偷窃用户机器的文件和其他信息。病毒开辟128个扫描线程，以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，试图利用windows的LSASS中存在一个缓冲区溢出漏洞进行攻击。一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出，导致对方机器程序非法操作以及系统异常等。

（2）病毒清除

第一步：http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx下载相应的漏洞补丁程序，断网安装。
第二步：清除内存中“avserve.exe”的进程。
第三步：清除在系统安装目录（默认为C:\\WINNT）下avserve.exe的病毒文件和系统目录下（默认为C:\\WINNT\\System32） _UP.exe的病毒文件。
第四步：删除注册表：HKEY_LOCAL_MACHINE\\Software\\Microsoft\\ Windows\\Currentversion\\Run项中名为“avserve.exe”的病毒键值。
第五步：重新启动计算机。

 3．求职信病毒

Worm.Klez.L是一种蠕虫病毒，病毒体内包含大量加密字符串。由于此病毒能提升自身的运行级别，使得一般程序无法结束或访问它的进程，包括Windows自带的任务管理器。因此无法手工清除此病毒。

病毒在得到运行后，首先提升自身的运行级别，然后将自己复制到Windows系统目录下，文件名总以Wink开头，同时还会放出一个小病毒体（Win32.Foroux.exe），最后分别运行它们并退出。当病毒被自己再次运行时，它会发现自身已处于系统目录下，此时病毒运行线路发生改变，它不再复制自身，而是创建7个病毒线程，并以系统服务的形式驻留内存。

Worm.Klez.L的最大特点在于其抑制杀毒软件的能力大为提高，甚至包括一些著名病毒（它的早期版本），只要是阻碍Worm.Klez.L传播的软件它都不放过。它通过注册表和内存两方面破坏这些软件。

更可恶的是Worm.Klez.L还把此进程所对应的程序文件也给删除了。由于杀毒软件和某些工具的代码块或数据块中常包含此类字符串。并且病毒每次轮询的间隔只有64毫秒（加上搜索的时间也不过几秒）。在它之后启动的杀毒软件在单击杀毒按钮前就已被干掉，以至于无法带毒杀毒。

 4．灰鸽子木马病毒

灰鸽子远程监控软件分两部分：客户端和服务端。黑客操纵着客户端，利用客户端配置生成出一个服务端程序，名字默认为G_Server.exe。G_Server.exe运行后将自己拷贝到Windows目录下（系统盘的windows目录），然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。（G_Server.exe这个名称并不固定，它是可以定制的。）

恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件，一定要删除此段代码。有危险代码的网页一旦发布到网页可能会感染其他用户。