木马清除百种方法((精选10篇))由网友“铁铁的粉丝是我”投稿提供,下面是小编收集整理的木马清除百种方法,供大家参考借鉴,希望可以帮助到有需要的朋友。
篇1:木马清除百种方法
o.1 冰河v1.1 v2.2
这是国产最好的木马 作者:Snokebin
清除木马v1.1
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
查找以下的两个路径,并删除
“ C:windowssystem kernel32.exe”
“ C:windowssystem sysexplr.exe”
关闭Regedit
重新启动到MSDOS方式
删除C:windowssystem kernel32.exe和C:windowssystem sysexplr.exe木马程序
重新启动。OK
清除木马v2.2
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows。OK
2. Acid Battery v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Explorer =“C:WINDOWSexpiorer.exe”
关闭Regedit
重新启动到MSDOS方式
删除c:windowsexpiorer.exe木马程序
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
重新启动。OK
3. Acid Shiver v1.0 + 1.0Mod + lmacid
清除木马的步骤:
重新启动到MSDOS方式
删除C:windowsMSGSVR16.EXE
然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Explorer = “C:WINDOWSMSGSVR16.EXE”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的Explorer = “C:WINDOWSMSGSVR16.EXE”
关闭Regedit
重新启动。OK
重新启动到MSDOS方式
删除C:windowswintour.exe然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Wintour = “C:WINDOWSWINTOUR.EXE”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的Wintour = “C:WINDOWSWINTOUR.EXE”
关闭Regedit
重新启动。OK
4. Ambush
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的zka = “zcn32.exe”
关闭Regedit
重新启动到MSDOS方式
删除C:Windows zcn32.exe
重新启动。OK
5. AOL Trojan
清除木马的步骤:
启动到MSDOS方式
删除C: command.exe(删除前取消文件的隐含属性)
注意:不要删除真的command.com文件。
删除C: americ~1.0buddyl~1.exe(删除前取消文件的隐含属性)
删除C: windowssystemnorton~1regist~1.exe(删除前取消文件的隐含属性)
打开WIN.INI文件
在[WINDOWS]下面“run=”和“load=”都加载者特洛伊木马程序的路径,必须清除它们:
run=
load=
保存WIN.INI
还要改正注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的WinProfile = c:command.exe
关闭Regedit,重新启动Windows。OK
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木马的步骤:
注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件
在[BOOT]下面有个“shell=文件名”。正确的文件名是explorer.exe
如果不是“explorer.exe”,那么那个文件就是木马程序,把它查找出来,删除。
保存退出system.ini
打开win.ini文件
在[WINDOWS]下面有个run=
如果你看到=后面有路径文件名,必须把它删除。
正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。
保存退出win.ini。
OK
7. AttackFTP
清除木马的步骤:
打开win.ini文件
在[WINDOWS]下面有load=wscan.exe
删除wscan.exe ,正确是load=
保存退出win.ini。
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Reminder=“wscan.exe /s”
关闭Regedit,重新启动到MSDOS系统中
删除C:windowssystem wscan.exe
OK
8. Back Construction 1.0 - 2.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的“C:WINDOWSCmctl32.exe”
关闭Regedit,重新启动到MSDOS系统中
删除C:WINDOWSCmctl32.exe
OK
9. BackDoor v2.00 - v2.03
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的''c:windowsnotpa.exe /o=yes''
关闭Regedit,重新启动到MSDOS系统中
删除c:windowsnotpa.exe
注意:不要删除真正的notepad.exe笔记本程序
OK
10. BF Evolution v5.3.12
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的(Defau
lt)=“ ”
关闭Regedit,再次重新启动计算机。
将C:windowssystem .exe(空格exe文件)
OK
11. BioNet v0.84 - 0.92 + 2.21
0.8X版本是运行在Win95/98
0.9X以上版本有运行在Win95/98 和WinNT上两个软件
客户-服务器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑
NT被感染的系统完全一样。
清除木马的步骤:
首先准备一张98的启动盘,用它启动后,进入c:windows目录下,用attrib libupd~1.
exe -h
命令让木马程序可见,然后删除它。
抽出软盘后重新启动,进入98下,在注册表里找到:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
的子键WinLibUpdate = “c:windowslibupdate.exe -hide”
将此子键删除。
12. Bla v1.0 - 5.03
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Systemdoor = “C:WINDOWSSystemmprdll.exe”
关闭Regedit,重新启动计算机。
查找到C:WINDOWSSystemmprdll.exe和
C:WINDOWSsystemrundll.exe
注意:不要删除C:WINDOWSRUNDLL.EXE正确文件。
并删除两个文件。
OK
13. BladeRunner
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
可以找到System-Tray = “c:somethingsomething.exe”
右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要
的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。
重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。
14. Bobo v1.0 - 2.0
清除木马v1.0
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的DirrectLibrarySupport =“C:WINDOWSSYSTEMDllclient.exe”
关闭Regedit,重新启动计算机。
DEL C:WindowsSystemDllclient.exe
OK
清除木马v2.0
打开注册表Regedit
点击目录至:
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/
ICQ Accel是一个“假象“的主键,选中ICQ Accel主键并把它删除。
重新启动计算机。OK
15. BrainSpy vBeta
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
右边有 ??? = “C:WINDOWSsystemBRAINSPY .exe”
???标签选是随意改变的。
关闭Regedit,重新启动计算机
查找删除C:WINDOWSsystemBRAINSPY .exe
OK
16. Cain and Abel v1.50 - 1.51
这是一个口令木马
进入MS-DOS方式
查找到C:windowsmsabel32.exe
并删除它。OK
17. Canasson
清除木马的步骤:
打开WIN.INI文件
查找c:msie5.exe,删除全部主键
保存win.ini
重新启动计算机
删除c:msie5.exe木马文件
OK
18. Chupachbra
清除木马的步骤:
打开WIN.INI文件
[Windows]的下面有两个行
run=winprot.exe
load=winprot.exe
删除winprot.exe
run=
load=
保存Win.ini,再打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
删除右边的''System Protect'' = winprot.exe
重新启动Windows
查找到C:windowssystem winprot.exe,并删除。
OK
19. Coma v1.09
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
删除右边的''RunTime'' = C:windowsmsgsrv36.exe
重新启动Windows
查找到C:windows msgsrv36.exe,并删除。
OK
20. Control
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
删除右边的Load MSchv Drv = C:windowssystemMSchv.exe
保存Regedit,重新启动Windows
查找到C:windowssystemMSchv.exe,并删除。
OK
21. Dark Shadow
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRunServices
删除右边的winfunctions=“winfunctions.exe”
保存Regedit,重新启动Windows
查找到C:windowssystem winfunctions.exe,并删除。
OK
22. DeepThroat v1.0 - 3.1 + Mod (Foreplay)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
版本1.0
删除右边的项目''System32''=c:windowssystem32.exe
版本2.0-3.1
删除右边的项目''SystemTray'' = ''Systray.exe''
保存Regedit,重新启动Windows
版本1.0删除c:windowssystem32.exe
版本2.0-3.1
删除c:windowssystemsystray.exe
OK
23. Delta Source v0.5 - 0.7
作者联系QQ:929230
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
删除右边的项目:DS admin tool = C:TEMPSERVER.exe
保存Regedit,重新启动Windows
查找到C:TEMPSERVER.exe,并删除它。
OK
24. Der Spaeher v3
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
删除右边的项目:explore = “c:windowssystemdkbdll.exe ”
保存Regedit,重新启动Windows
删除c:windowssystemdkbdll.exe木马文件。
OK
--
25. Doly v1.1 - v1.7 (SE)
清除木马V1.1-V1.5版本:
这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到Win.ini项目。
首先,进入MS-DOS方式,删除三个木马程序,但V1.35版本多一个木马文件mdm.exe。
把下列各项全部删除:
C:WINDOWSSYSTEMtesk.sys
C:WINDOWSStart MenuProgramsStartupmstesk.exe
c:Program FilesMStesk.exe
c:Program FilesMdm.exe
重新启动Windows。
接着,打开win.ini文件
找到[WINDOWS]下面load=c:windowssystemtesk.exe项目,删除路径,改变为load=
保存win.ini文件。
最后,修改注册表Regedit
找到以下两个项目并删除它们
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Ms tesk = “C:Program FilesMStesk.exe”
和
HKEY_USER.DefaultSoftwareMicrosoftWindowsCurrentVersionRun
Ms tesk = “C:Program FilesMStesk.exe”
再寻找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionss
这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。
关闭保存Regedit。
还有打开C:AUTOEXEC.BAT文件,删除
@echo off copy c:sys.lon c:windowsStartMenuStartup Items
del c:win.reg
关闭保存autoexec.bat。
OK
清除木马V1.6版本:
该木马运行时,将不能通过98的正常**作关闭,只能RESET键。彻底清除步骤如下:
1.打开控制面板--添加删除程序--删除memory manager 3.0,这就是木马程序,但
是它并不会把木马的EXE文件删除掉。
2.用98或DOS启动盘启动(用RESET键)后,转入C:,编辑AUTOEXEC。BAT,把如下内容
删除:
@echo off copy c:sys.lon c:windowsstartm~1programsstartupmdm.exe
del c:win.reg
保存AUTOEXEC。BAT文件并返回DOS后,在C:根目录下删除木马文件:
del sys.lon
del windowsstartm~1programsstartupmdm.exe
del progra~1mdm.exe
3.抽出软盘重新启动,进入98后,把c:program files目录下的memory manager 目录
删除。
清除木马V1.7版本:
首先,打开C:AUTOEXEC.BAT文件,删除
@echo off copy c:sys.lon c:windowsstartm~1programsstartupmdm.exe
del c:win.reg
关闭保存autoexec.bat
然后打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
找到c:windowssystemmdm.exe路径并删除这个项目
点击目录至:
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到“C:windowssystemkernal32.exe”路径并删除这个项目
关闭保存Regedit。重新启动Windows。
最后,删除以下木马程序:
c:sys.lon
c:iecookie.exe
c:windowsstart menuprogramsstartupmdm.exe
c:program filesmdm.exe
c:windowssystemmdm.exe
c:windowssystemkernal32.exe
注意:kernal32是A
OK
75. Revenger v1.0 - 1.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:AppName =“C:...server.exe”
关闭保存Regedit,重新启动Windows
在c:windows查找相应的木马程序server.exe,并删除
OK
76. Ripper
清除木马的步骤:
打开system.ini文件
将shell=explorer.exe sysrunt.exe
改为shell= explorer.exe
关闭保存system.ini,重新启动Windows
在c:windows查找相应的木马程序sysrunt.exe,并删除
OK
77. Satans Back Door v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的项目:sysprot protection =“C:windowssysprot.exe”
关闭保存Regedit,重新启动Windows
删除C:windowssysprot.exe
OK
78. Schwindler v1.82
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:User.exe = “C:WINDOWSUser.exe”
关闭保存Regedit,重新启动Windows
删除C:WINDOWSUser.exe
OK
79. Setup Trojan (Sshare) +Mod Small Share
这个共享隐藏C盘的木马
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionNetworkLanMan
选择右边有''C$''的项目,并全部删除
关闭保存Regedit,重新启动Windows
OK
80. ShadowPhyre v2.12.38 - 2.X
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:WinZipp = “C:WINDOWSSYSTEMWinZipp.exe /nomsg”
或者WinZip = “C:WINDOWSSYSTEMWinZip.exe /nomsg”
关闭保存Regedit,重新启动Windows
删除C:WINDOWS WinZipp.exe或者C:WINDOWS WinZip.exe
OK
81. Share All
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionNetworkLanMan
这里你将看到所有被木马共享出来的你的硬盘符号,把它们一个个删除掉。
82. ShitHeap
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的项目:recycle-bin = “c:windowssystemrecycle-bin.exe”
或者recycle-bin = “c:windowssystem.exe”
关闭保存Regedit,重新启动Windows
删除c:windowssystemrecycle-bin.exe或者c:windowssystem.exe
OK
83. Snid v1 - 2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:System-tray = ''c:windowstemp$01.exe''
关闭保存Regedit,重新启动Windows
删除c:windowstemp$01.exe
OK
84. Softwarst
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:NetApp = C:windowssystemwinserv.exe
关闭保存Regedit,重新启动Windows
删除C:windowssystemwinserv.exe
OK
广告秀: “激扬青春”IT风采校园行 功能强大好玩的 仙境虚拟形象 已经正式发布 推荐精品图书《电脑爱好者典藏版-——应用专题百宝箱》
向版主反映这个帖子 | IP: 已记录
04-30-2003 11:32 AM
liuyekun
超级的会员(五级)
注册日期: 12月31日
来自:
发帖数: 1104
No.2
85. Spirit Beta - v1.2 (fixed)
清除木马v Beta版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:internet = “c:windowsnetip.exe ”
关闭保存Regedit
打开win.ini文件
查找到run=c:windowsnetip.exe
更改为:run=
关闭保存win.ini,重新启动Windows
删除c:windowsnetip.exe和c:windowsnetip.exe
OK
清除木马v 1.2版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:SystemTray = “c:windowswindown.exe ”
关闭保存Regedit,重新启动Windows
删除c:windowswindown.exe
OK
清除木马v 1.2(fixed)版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Server 1.2.exe = “c:windowsserver 1.2.exe”
关闭保存Regedit,重新启动Windows
删除c:windowsserver 1.2.exe
OK
86. Stealth v2.0 - 2.16
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Winprotect System = “C:WINDOWSwinprotecte.exe
关闭保存Regedit,重新启动Windows
删除C:WINDOWSwinprotecte.exe
OK
87. SubSeven - Introduction
清除木马v1.0 - 1.1:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:SystemTrayIcon = ”C:WINDOWSSysTrayIcon.Exe“
关闭保存Regedit,重新启动Windows
删除C:WINDOWSSysTrayIcon.Exe
OK
清除木马v1.3 - 1.4 - 1.5:
打开win.ini文件
查找到run=nodll
更改为run=
关闭保存win.ini,重新启动Windows
删除c:windowsnodll.exe
OK
清除木马v1.6:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:SystemTray = ”SysTray.Exe“
关闭保存Regedit,重新启动Windows
删除C:windowssystray.exe
OK
清除木马v1.7:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
查找到右边的项目:C:windowskernel16.dl,并删除
关闭保存Regedit,重新启动Windows
删除C:windowskernel16.dl
OK
清除木马v1.8:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
查找到右边的项目:c:windowssystem.ini.,并删除
关闭保存Regedit。
打开win.ini文件
查找到run= kernel16.dl
更改为run=
关闭保存win.ini。
打开system.ini文件
查找到shell=explorer.exe kernel32.dl
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除C:windowskernel16.dl
OK
清除木马v1.9 - 1.9b:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的项目:RegistryScan = ”rundll16.exe“
关闭保存Regedit,重新启动Windows
删除C:windowsrundll16.exe
OK
清除木马v2.0:
打开system.ini文件
查找到shell=explorer.exe trojanname.exe
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除c:windowsrundll16.exe
OK
清除木马v2.1 - 2.1 Gold + SubStealth- 2.1.3 Mod + 2.1.3 MUIE + 2.1 Bonus:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的项目:WinLoader = MSREXE.EXE
hkey_classes_rootexefileshellopencommand
将右边的项目更改为:@=”“%1” %*“
关闭保存Regedit。
打开win.ini文件
查找到run=msrexe.exe和
load=msrexe.exe
更改为run=
load=
关闭保存win.ini。
打开system.ini文件
查找到shell=explore.exe msrexe.exe
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除C:windows msrexe.exe
C:windowssystemsystray.dll
OK
清除木马v2.2b1:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
删除右边的项目:加载器 = ”c:windowssystem***“
注:加载器和文件名是随意改变的
关闭保存Regedit。
打开win.ini文件
更改为run=
关闭保存win.ini。
打开system.ini文件
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除相对应的木马程序
OK
88. Telecommando 1.54
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:SystemApp=”ODBC.EXE“
关闭保存Regedit,重新启动Windows
删除C:windowssystem ODBC.EXE
OK
--
89. The Unexplained
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:InetB00st = ”C:WINDOWSTEMPINETB00ST.EXE“
关闭保存Regedit,重新启动Windows
删除C:WINDOWSTEMPINETB00ST.EXE
OK
90. Thing v1.00 - 1.60
清除木马v1.00-1.12:
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:(Default) = ”C:somepathherething.exe“
也有一些是在:
HKEY_LOCAL_MACHINESystemCurrentControlSetcontrolSessionManagerKnown16DL
Ls
删除右边的项目:wsasrv.exe = ”wsasrv.exe“
关闭保存Regedit,重新启动Windows
删除C:somepathherething.exe
OK
清除木马v 1.20版本:
进入MS_DOS方式:
del winspc13.exe
del ms097.exe
打开system.ini文件
查找到shell=explorer.exe ms097.exe
更改为:shell=explorer.exe
关闭保存system.ini,重新启动Windows
OK
清除木马v1.50版本:
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
这个项目的路径和文件名是随机改变的,察看有可疑的文件路径,将它删除。
关闭保存Regedit。
打开system.ini文件
查找到shell=explorer.exe后面是木马文件
更改为:shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除相应的木马文件
OK
清除木马v1.50版本:
进入MS_DOS方式:
del winspc13.exe
del ms097.exe
打开system.ini文件
查找到shell=explorer.exe后面是木马文件
更改为:shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除相应的木马文件
OK
91. Transmission Scount v1.1 - 1.2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Kernel16” = C:WINDOWSKernel16.exe
关闭保存Regedit,重新启动Windows
删除C:WINDOWSKernel16.exe
OK
92. Trinoo
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目: System Services = service.exe
关闭保存Regedit,重新启动Windows
删除C:windowssystemservice.exe
OK
93. Trojan Cow v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:SysWindow = “C:WINDOWSSyswindow.exe”
关闭保存Regedit,重新启动Windows
删除C:WINDOWSSyswindow.exe
OK
94. TryIt
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Rc5Dec = C:Program FilesInternet Explorer_.exe -guistart
关闭保存Regedit,重新启动Windows
删除C:Program FilesInternet Explorer_.exe
OK
95. Vampire v1.0 - 1.2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Sockets =“c:windowssystemSockets.exe”
关闭保存Regedit,重新启动Windows
删除c:windowssystemSockets.exe
OK
96. WarTrojan v1.0 - 2.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Kernel32 = “C:somepathserver.exe”
关闭保存Regedit,重新启动Windows
删除C:somepathserver.exe
OK
97. wCrat v1.2b
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:MS Windows System Explorer =“C:WINDOWSsysexplor.exe”
关闭保存Regedit,重新启动Windows
删除C:WINDOWSsysexplor.exe
OK
98. WebEx (v1.2, 1.3, and 1.4)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:RunDl32 = “C:windowssystemtask_bar”
关闭保存Regedit,重新启动Windows
删除C:windowssystemtask_bar.exe和c:windowssystemmsinet.ocx
OK
99. WinCrash v2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:WinManager = “c:windowsserver.exe”
关闭保存Regedit
打开win.ini文件
查找到run=c:windowsserver.exe
更改为:run=
保存关闭win.ini,重新启动Windows
删除c:windowsserver.exe
OK
100. WinCrash
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:MsManager =“SERVER.EXE”
关闭保存Regedit,重新启动Windows
删除C:windowssystem SERVER.EXE
OK
101. Xanadu v1.1
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:SETUP = “c:somepathsetup.exe”
关闭保存Regedit,重新启动Windows
删除c:somepathsetup.exe
OK
102. Xplorer v1.20
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:PCX = “C:WINDOWSsystemPCX.exe”
关闭保存Regedit,重新启动Windows
删除C:WINDOWSsystemPCX.exe
OK
103. Xtcp v2.0 - 2.1
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:msgsv32 = “C:WINDOWSsystemwinmsg32.exe”
关闭保存Regedit,重新启动Windows
删除C:WINDOWSsystemwinmsg32.exe
OK
104. YAT
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的项目:Batterieanzeige = ''c:pathnamehereserver.exe /nomsg''
关闭保存Regedit,重新启动Windows
删除c:pathnamehereserver.exe
OK
篇2:如何清除征途木马
现在木马 如何清除征途木马
征途木马档案
Svhost32.exe征途木马可以盗取《征途》的密码、其他游戏密码、IM工具密码等等。感染病毒之后,会生成Svhost32.exe、Rundl132.exe进程、msccrt.exe进程等,这些迷惑性进程并不是木马的核心,真正的主谋其实躲藏在阴暗处。该木马的杀手锏应该是插入到Explorer.exe进程的DLL文件。
Svhost32进程“出卖”征途木马
今天安全诊所迎来了一个就诊者。从他咬牙切齿地叙述中,裘医生了解到小王对该病毒深恶痛绝。这也不奇怪,病毒盗取了他的征途游戏的密码,让他损失不小。
的一般是木马病毒,那么到底是哪种木马呢?从小王描述的病毒发作特征中,裘医生发现病毒修改了IE的默认主页为u4.sky99.cn/。
该木马占用了大量
另外获取用户的密码信息的方式也极其危险,极易导致
去除木马病毒的伪装
由于Svhost32.exe征途木马有一些没有破坏性的伪装文件,裘医生决定先去除这些垃圾文件。
打开了IceSword,裘医生很快便在其进程选项中发现了Svhost32.exe进程的文件是“C:WindowsDownloadSvhost32.exe”。
右键单击该进程选择“结束进程”命令即可,接着进入该目录删除该文件。同样的,Rundl132.exe进程的文件是C:windowsrundl132.exe,结束进程后也删除该文件。
同样的,发现msccrt.exe进程的文件是C:windowsmsccrt.exe,结束进程后也删除该文件。由于这些进程都能自启动,打开System Repair Engineer来清除自启动
清空load值来防止病毒自启动。接着删除值为“C:windowsDownloadsvhost32.exe”的启动项目xy和值为“C:DOCUME~1ADMI NI~1LOCALS~1Te mpupxdn.exe”的启动项目upxdn。
由于病毒试图窜改UserInit项目来达到运行自己的目的,不过这次并未进行实质性修改,只是破坏了原来的值,因此把UserInit项目重新修改为正常的“C:windowssystem32Userinit.exe”(不包括引号)即可。
幕后主谋现身
裘医生清除完这些病毒文件,下面就是让插入Explorer.exe进程的病毒文件现身了。打开了《超级巡警》,选择“进程管理”选项,根据病毒发作时间很快便发现了位于“C:Program FilesCommon FilesMicrosoft Sha redMSINFO”的可疑文件xiaran.dat;位于“C:DOCUME~1ADMINI~1LOCALS~1Temp”的可疑文件upxdn.dll和位于“C:Windowssystem32”的可疑文件msccrt.dll。这些文件不但以黄色警告色显示,而且文件属性显示创建时间都是病毒发作期(图4)。
主谋就地正法
狡猾的主谋已经被发现了,下面就开始清除这些文件吧。裘医生选中这些文件,右键单击选择“强制卸载标记模块”命令,这样这些文件就不能得到Explorer.exe进程的庇护了。
接着就可以进入这些文件的目录逐个删除了。完成之后,重新启动计算机,未发现病毒进程,系统运行也稳定了。这说明病毒已经被成功清除了。
Svhost32.exe征途木马,一般通过浏览恶意网站来传播。因此,我们安装杀毒软件开启网页和文件实时防护功能,可以比较好地防范这类木马。开启下载软件(如:迅雷、快车)的文件病毒监控也是必要的。
篇3:如何清除网页木马
如果你使用的是 Windowsxp 系统,那么就来到C:Program FilesInternet Explorer 这个目录中,找到IE的主文件,然后点击右键, 我来操作大家看看 ,先发送到桌面快捷方式,接着单击开始按钮选择运行然后打开CMD,输入命令 net user hxhack 123456 /add 添加一个名为hxhack的普通用户(这里没必要去把它升级为管理员权限) 选择刚才IE的快捷方式,右键选择 运行方式 然后选择下列用户 然后输入我们刚才新建的用户 然后确定就OK 此后,只要你使用hxhack这个帐户打开的IE窗口就不怕任何网页木马,
如何清除网页木马
,
我给大家解释一下这个方法能够绝杀一切网页木马的原理,WindowsXP系统是一个单用户系统,所以当前的活动用户只有一个,而刚才的浏览器使用的是hxhack这个非活动帐户,这样网页木马在通过hxhack这个帐户进行操作时,是被系统否认的,也就是说不予执行,我们可以在任务管理器里看到当前活动的用户只有一个,也就是说当前的登录用户是administrator所以说是不会中网马的(WWW.023DN.COM)。篇4:如何清除征途木马
现在木马
征途木马档案
Svhost32.exe征途木马可以盗取《征途》的密码、其他游戏密码、IM工具密码等等。感染病毒之后,会生成Svhost32.exe、Rundl132.exe进程、msccrt.exe进程等,这些迷惑性进程并不是木马的核心,真正的主谋其实躲藏在阴暗处。该木马的杀手锏应该是插入到Explorer.exe进程的DLL文件。
Svhost32进程“出卖”征途木马
今天安全诊所迎来了一个就诊者。从他咬牙切齿地叙述中,裘医生了解到小王对该病毒深恶痛绝。这也不奇怪,病毒盗取了他的征途游戏的密码,让他损失不小。
的一般是木马病毒,那么到底是哪种木马呢?从小王描述的病毒发作特征中,裘医生发现病毒修改了IE的默认主页为u4.sky99.cn/。
该木马占用了大量
另外获取用户的密码信息的方式也极其危险,极易导致
去除木马病毒的伪装
由于Svhost32.exe征途木马有一些没有破坏性的伪装文件,裘医生决定先去除这些垃圾文件。
打开了IceSword,裘医生很快便在其进程选项中发现了Svhost32.exe进程的文件是“C:WindowsDownloadSvhost32.exe”。
右键单击该进程选择“结束进程”命令即可,接着进入该目录删除该文件,
同样的,Rundl132.exe进程的文件是C:windowsrundl132.exe,结束进程后也删除该文件。
同样的,发现msccrt.exe进程的文件是C:windowsmsccrt.exe,结束进程后也删除该文件。由于这些进程都能自启动,打开System Repair Engineer来清除自启动
清空load值来防止病毒自启动。接着删除值为“C:windowsDownloadsvhost32.exe”的启动项目xy和值为“C:DOCUME~1ADMI NI~1LOCALS~1Te mpupxdn.exe”的启动项目upxdn。
由于病毒试图窜改UserInit项目来达到运行自己的目的,不过这次并未进行实质性修改,只是破坏了原来的值,因此把UserInit项目重新修改为正常的“C:windowssystem32Userinit.exe”(不包括引号)即可。
幕后主谋现身
裘医生清除完这些病毒文件,下面就是让插入Explorer.exe进程的病毒文件现身了。打开了《超级巡警》,选择“进程管理”选项,根据病毒发作时间很快便发现了位于“C:Program FilesCommon FilesMicrosoft Sha redMSINFO”的可疑文件xiaran.dat;位于“C:DOCUME~1ADMINI~1LOCALS~1Temp”的可疑文件upxdn.dll和位于“C:Windowssystem32”的可疑文件msccrt.dll。这些文件不但以黄色警告色显示,而且文件属性显示创建时间都是病毒发作期(图4)。
主谋就地正法
狡猾的主谋已经被发现了,下面就开始清除这些文件吧。裘医生选中这些文件,右键单击选择“强制卸载标记模块”命令,这样这些文件就不能得到Explorer.exe进程的庇护了。
接着就可以进入这些文件的目录逐个删除了。完成之后,重新启动计算机,未发现病毒进程,系统运行也稳定了。这说明病毒已经被成功清除了。
Svhost32.exe征途木马,一般通过浏览恶意网站来传播。因此,我们安装杀毒软件开启网页和文件实时防护功能,可以比较好地防范这类木马。开启下载软件(如:迅雷、快车)的文件病毒监控也是必要的。
篇5:如何清除盗号木马
网络中肆无忌惮泛滥的木马盗取网络交易账号、获取用户私密信息以谋取利益,普通用户往往由于对木马不够了解和对安全防范麻痹大意,造成严重的后果。许多人都有中木马的经历,那么中了木马怎么清除,平时怎么防护,请看下面的文章。
怎么判断中了木马
病人:木马危害实在太大了,那我怎么知道自己的电脑中了木马呢?
医生:电脑中了木马后,有时候会有一些非常典型的症状,比如杀毒软件自动关闭、电脑运行速度变慢、经常有一些陌生网页窗口弹出、系统中某些程序无法运行等;也有时候症状并不明显,不过我们可以通过一些蛛丝马迹来初步分析电脑是否中了木马,比如查看“任务管理器”是否有不熟悉的进程(一旦发现则到网上进行搜索看是否是病毒程序),从系统文件夹、注册表、启动程序等查看是否有可疑的文件或项目。
下面我们以感染了近期比较活跃的SoundMan木马的电脑为例来了解一下木马的一些常见行为。
小知识:SoundMan木马
SoundMan木马是利用Realtek声卡相关程序以及图标迷惑用户的一款“网游木马下载器”,它除了具备普通木马能够屏蔽显示隐藏文件的功能外,还可以用替换服务等方式启动自身,并具有结束杀毒软件和在后台下载大量网游木马的功能。
1.隐藏文件已经无法显示
打开一个文件夹,在上方菜单中选择“工具/文件夹选项”,在“查看”中勾选“显示所有文件和文件夹”,并去掉“隐藏已知文件类型的扩展名”前面的勾。经过这样的操作后,隐藏文件还是无法显示。
提示:一旦发现设置了“显示所有文件和文件夹”,而系统仍无法显示隐藏文件的话,一定要引起足够的重视,极有可能有木马入侵。
2.查看System32文件夹
进入System32文件夹中(假设Windows XP安装在C盘),可以发现木马创建了ineters.exe、SoundMan.exe、tthh3.ini这三个文件(编注:之前我们已经对显示隐藏文件做了处理)。
提示:木马一般会在系统文件夹System32中释放病毒文件以及相关的ini文件,如果怀疑中了木马,注意检查此文件夹中那些在出现中毒症状前后所创建的文件。
3.查看用户账户
单击“开始/设置/控制面板”,双击“用户账户”,如果发现电脑中的Guest账户无故被激活,或是多出其它的陌生账号,例如名为Microsoft的账户,也要提高警惕,这也是感染木马的一个典型特征。
4.查看auto文件
当系统中了SoundMan.exe木马后,只要有新的可移动存储接入,此木马便会写入auto.exe和autorun.inf 文件,所以我们在鼠标右键菜单中发现有auto、autorun任何一个选项,或是在移动硬盘或闪存根目录下查看发现auto.exe和autorun.inf 这两个文件,则证明中毒。
提示:现在的木马一般都会利用移动存储设置的自动播放功能进行病毒的写入和传播,所以如果在硬盘分区以及移动存储设备根目录下发现auto.exe和autorun.inf 这两个文件,则电脑与移动硬盘都已经中毒。
除了检查上面那些地方外,我们还可以从以下几个木马喜欢喜欢藏身的地方来查找蛛丝马迹。
一是从“Win.ini”文件判断是否中毒。利用记事本打开“C:Windows”目录下的Win.ini文件。在文件的[windows]字段中查找启动命令“load=”和“run=”后面是否跟有程序,在一般情况下“=”后面是空白的,如果在“=”号后面跟着程序(图2),那一般是中了木马病毒。
二是从“System.ini”文件判断是否中毒。利用记事本方式打开位于“C:Windows”目录下的“System.ini”文件,如果发现[boot]字段中“shell=Explorer.exe”后添加了程序,一般都是木马服务端程序。另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径程序名”,这里也有可能被木马所利用。在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,它们起到加载驱动程序的作用,但也是添加木马程序的好场所,所以也需要进行检查。
三是打开注册表编辑器进行查找。木马一般会利用注册表中的Run、RunServices、RunOnce等子项来加载,在“开始”/“运行”中输入“regedit”进入注册表编辑器,在以下几个地方进行查看。
(1)注册表中的启动项
查看“HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersion”下的RunServices、RunServices Once、Run、RunOnce以及 “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”下的RunServices、Run、RunOnce下是否有可疑项目。
如果发现其中加载了一些陌生程序到系统文件夹中,那么则可能中了木马病毒。
(2)文件关联键
有些木马还会通过修改注册表中的某一类型文件的键值来加载程序。检查“HKEY_CLASSES_ROOTXXX(编注:这里的XXX可以是exefile、comfile、batfile、htafile、piffile)shellopencommand”子键中“默认”值:““%1” %*”;检查“HKEY_LOCAL_MACHINESoftwareCLASSES XXX(编注:这里的XXX可以是exefile、comfile、batfile、htafile、piffile)shellopencommand”子键中“默认”值:““%1” %*”。
这些“%1 %*”可以被赋值,如果发现默认值被修改,例如病毒木马将其改为“muma.exe %1 %*”,则可能中毒。
横扫网络木马
病人:我已经中了木马,应当怎么清除?
医生:如果电脑系统分区中没有重要数据,那么利用备份及一键恢复直接重新恢复系统是最简单的方法。如果无法这样做,可以用一些工具软件来帮忙清理木马。
目前很多木马病毒,譬如本例中的SoundMan.exe能够删除安全软件的启动项目、劫持安全/杀毒软件,并且连接网络下载其它木马及病毒。所以首先要做的就是删除注册表的启动项、修复被劫持的杀毒软件/安全软件,然后利用杀毒软件或专杀工具来清除木马。
下载SREng软件并更改名称运行,首先对注册表中的RUN键进行修复,选择“系统修复”选项中的“注册表”选项卡,删除未知的启动项目,比如路径为系统文件夹(C:win dowssystem32或C:winntsystem32)中的Sound Man.exe木马病毒程序启动项(图3)。
提示:除了“注册表”启动项外,我们最好进入 “启动项目”中的“Win.ini”、“System.ini”等选项中进行查看并清除相关联的病毒加载项,以免病毒死灰复燃。
然后再选择“系统修复”中的“文件关联”选项,勾选错误的文件关联,单击“修复”按钮,修复被木马病毒劫持的程序,包括杀毒软件和一些安全工具等。
为了防止激活木马,在“系统修复”的“高级修复”选项中单击下方“修复安全模式”对电脑安全模式进行修复,最后进入到安全模式下进行杀毒软件病毒库的更新及病毒查杀,同时下载木马病毒的专杀工具对木马及病毒进行扫描清除。
提示:除了利用SREng软件进行修复 ,我们还可以利用小工具包来进行系统修复,小工具包在电脑报网站www2.cpcw.com/bzsoft/进行下载,打开工具包后,双击恢复显示隐藏文件.REG导入注册表,再打开Icesword软件,清除系统文件夹中的病毒文件、使用IFEO映像劫持修复工具修复被劫持的杀毒软件及安全软件,最后就是用杀毒软件进行查杀。小工具下载下来后改名后再使用,以免被木马病毒劫持。
如何预防木马
病人:木马虽然已经清除了,但是我怎么避免以后电脑再被木马侵袭呢?
医生:为了更好的保护系统不受到破坏,打好我们的网游账号保卫战,除了为一个完全干净无毒系统做个备份,我们还可以通过以下的方法来进行网游木马的预防。
1.必须安装杀毒软件及防火墙,并对其进行升级,相应系统补丁也要随时更新,还要定期进行病毒木马扫描。
2.安装游戏账号保护软件
目前有很多专门针对网游账号保护的安全工具,它们采取的原理不同,但对游戏账号都有一定的保护作用,条件允许的情况下可安装这样的保护软件。如何选择,可参考本期F7版的评测。
3.通过注册表设置,阻止病毒通过IFEO劫持杀毒软件,具体操作方法:单击“开始”→“运行”,在命令行中输入regedt32,找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Options,右键单击此选项,在弹出的菜单中选择“权限”,然后把Administrors用户组和Users用户组的权限全部取消。
利用注册表限制IFEO的读写权限
总结
养成安全的电脑操作习惯+严密的安全设置+定期检查这三大强效药剂,我们完全可以让病毒木马远离自己的电脑系统,玩网络游戏时再也不用担心和木马亲密接触!但是由于杀毒软件以及安全工具的设置及使用需要一定的电脑基础,整个木马产业链由于缺少相关法律有效的监控而发展的越来越大,导致许多对电脑安全设置不熟悉的用户遭遇木马侵袭围剿,用户的私密信息一旦被不法分子掌握,将会给用户造成严重的后果。我们呼吁除了电脑用户加强自身的电脑安全意识和技能外,还需要国家法律以及网络监管部门一起携手,共同打造一个安全的网络环境!
篇6:清除游戏木马实例
清除盗游戏帐号的密西木马变种(Trojan.PSW.Misc.r)等
endurer原创
-04-29 第1版
有位网友反应说,他的电脑运行MYIE2时经常出错关闭,
让他用HijackThis(您可以到endurer.ys168.com下载)扫描log,发现如下可疑项目:
F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:WINDOWSsystem32wmpdrm.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O4 - HKLM..Run: [QQ] C:Program Filessystemrun.exe
O4 - HKLM..Run: [3721.com] C:Program Filessystemsystem.exe
O4 - HKLM..Run: [Torjan Program] C:WINDOWSWINLOGON.EXE
O4 - HKLM..Run: [lingx] C:WINDOWSlinxeIntrenet.exe
O4 - HKLM..Run: [spoolsv] C:WINDOWSsystem32spoolsvspoolsv.exe -printer
用WinRAR寻找上面的文件,除了C:WINDOWSlinxeIntrenet.exe外,都找到并打包备份,并为文件加上.del扩展名或把文件夹改名。看到C:WINDOWSWINLOGON.EXE的图标,让我想起了前不久遇到的传奇 木马Trojan.PSW.Lmir(详见:遭遇Trojan.PSW.Lmir等病毒),仔细一找,果然发现MSCONFIG.COM、regedit.com、rundll32.com等com文件,都加了.del扩展名。
下载瑞星注册表修复工具,果然EXE文件关联被修改了,于是修复。
卸载了中文上网(CNNIC_IDN)和桌面媒体。
到endurer.ys168.com下载“瑞星杀毒助手”,使用瑞星在线免费查毒,结果如下:
2006-10-29 18:33:8 瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名 病毒名
WINLOGON.EXE>>C:WINDOWSWINLOGON.EXE Trojan.PSW.Misc.r
C:WINDOWSsystem32MSCONFIG.COM.del Trojan.PSW.Misc.r
C:WINDOWSsystem32regedit.com.del Trojan.PSW.Misc.r
C:WINDOWSsystem32command.pif Trojan.PSW.Misc.r
C:WINDOWSsystem32spted.dll Trojan.DL.QQHelper.gen
C:WINDOWSsystem32JPG图片.dll.del Backdoor.Prosti.bo
C:WINDOWSsystem32rundll32.com.del Trojan.PSW.Misc.r
C:WINDOWSsystem32dxdiag.com.del Trojan.PSW.Misc.r
C:WINDOWSsystem32finder.com.del Trojan.PSW.Misc.r
C:WINDOWSDebugDebugProgram.exe Trojan.PSW.Misc.r
C:WINDOWS1.com.del Trojan.PSW.Misc.r
C:WINDOWSexplorer.com.del Trojan.PSW.Misc.r
C:WINDOWSExERoute.exe.del Trojan.PSW.Misc.r
C:WINDOWSfinder.com.del Trojan.PSW.Misc.r
C:WINDOWSWINLOGON.EXE.del Trojan.PSW.Misc.r
C:Program FilesCommon Filesiexplore.pif Trojan.PSW.Misc.r
C:Program FilesInternet ExplorerPLUGINSSystem.exe Trojan.Agent.ayt
C:Program FilesInternet Exploreriexplore.com Trojan.PSW.Misc.r
C:Program Filessystem1run.exe Trojan.DL.VB.aqn
C:Program Filessystem1dmshell.dll Trojan.Clicker.tot
其中第1项,内存中的WINLOGON.EXE进程已被瑞星查毒程序清除,其余的全部用“瑞星杀毒助手”清除,
可惜瑞星对
C:WINDOWSsystem32wmpdrm.dll
C:WINDOWSsystem32spoolsvspoolsv.exe
没反应。
“密西木马(Trojan.PSW.Misc)病毒: 木马,通过网络传播,依赖系统:WIN 9X/NT//XP。
这是一个 木马,运行后它会将自身复制到系统目录中,同时修改注册表启动项目以实现随系统启动自动运行。该 木马会在后台运行,并试图盗取网络游戏《传奇》、《传奇世界》、《魔兽》等的帐号和密码,给游戏玩家带来损失。
篇7:如何手工清除冰河木马
也许您中了冰河,苦于想把它弄掉,这里给你介绍一种方法,手工清除:
环境:win95/98
1.运行regedit进入注册表
2.到我的电脑HKEY_CLASSES_ROOT xtfileshellopencommand
3.将默认的数据记下(例如:c:windowsc_server.exe)
4.将默认的数据改为c:windows otepad.exe %1
5.重新启动电脑,进入dos模式,
6.把c:windowsc_server.exe删除。
7.重新启动电脑。
篇8:搜集最完整清除木马方法
很多计算机爱好者对安全问题了解不多,特别是计算机中了特洛伊木马不知道怎么样来清
除,虽然现在有很多的清除特洛伊木马的软件,可以自动清除木马。但你不知道木马是怎样在计算机中
运行的,如果你看了这篇文章之后,你就会明白一些木马的原理。
文章里面也有我自己处理木马的一些经验。
本资料来部分方法来自网上搜集整理而得,在这供大家研究学习所用
……………………………………………………………………………………………………………………
清除木马V1.54-1.55版本:
这两个版本跟上面的版本只是默认文件名不同,其它都一样,
把vmldir.vxd改为intld.vdx即可。
Drat v1.0 - 3.0b
清除木马的步骤:
打开注册表Regedit
点击目录至:hkey_classes_rootexefileshellopencommand
找到@=SHELL32 “%1” %*把它更改为@=“%1” %*
关闭保存Regedit,重新启动Windows。
查找c:windows下shell32.*文件,并删除它。
OK
Eclipse
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:bybt = “c:windowssystemeclipse2000.exe”
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunServices
删除右边的项目:cksys = “c:windowssystem could be anything .exe”
关闭保存Regedit,重新启动Windows
查找到eclipse2000.exe木马文件,并删除
Eclypse v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Rnaapp =“C:WINDOWSSYSTEMmaapp.exe”
关闭保存Regedit,重新启动Windows
删除C:WINDOWSSYSTEMmaapp.exe
注意:不要删除Rnaapp.exe
OK
Executer v1
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
在右边的项目查找到“C:windowssexec.exe”,并删除。
关闭保存Regedit,重新启动Windows
相应删除木马程序文件。
OK
FakeFTP beta
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Rundll32 = rundll3.tww /h
关闭保存Regedit,重新启动Windows
找到C:windows文件夹下的三个文件并删除它们
rundll3.bat - 9x.reg - nt.reg
OK
Forced Entry
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:MicrosoftRegistration32 = “C:somepath rojanhrs.exe”
关闭保存Regedit,重新启动Windows
由于路径容易改变,只要查找到trojanhrs.exe,并删除它。
GateCrasher v1.0 - 1.2
清除木马v1.0:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Explore=‘c:windowsexplore.exe‘
关闭保存Regedit,重新启动Windows
然后,删除相应的木马程序。
OK
清除木马v1.1:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Inet=‘EXPLORE.EXE‘
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
清除木马v1.2:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Command = ‘c:windowssystem.exe‘
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
Girlfriend v1.3x (Including Patch 1 and 2)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Windll.exe =“C:windowswindll.exe”
Regedit里也保存着服务器的数据
HKEY_LOCAL_MACHINESOFTWAREMicrosoftGeneral
删除General项目标题
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
Golden Retreiver v1.1b
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Task Manager=“c:mstask.exe”
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除,
OK
Hack`a`Tack 1.0 - 2000
清除木马v1.0-1.2:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Explorer32 =“C:windowsExpl32.exe”
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
冰河v1.1 v2.2
冰河是国产最好的木马
清除木马v1.1
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
查找以下的两个路径,并删除
“ C:windowssystem kernel32.exe”
“ C:windowssystem sysexplr.exe”
关闭Regedit
重新启动到MSDOS方式
删除C:windowssystem kernel32.exe和C:windowssystem sysexplr.exe木马程序
重新启动。OK
清除木马v2.2
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows。OK
Acid Battery v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Explorer =“C:WINDOWSexpiorer.exe”
关闭Regedit
重新启动到MSDOS方式
删除c:windowsexpiorer.exe木马程序
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
重新启动。OK
Acid Shiver v1.0 + 1.0Mod + lmacid
清除木马的步骤:
重新启动到MSDOS方式
删除C:windowsMSGSVR16.EXE
然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Explorer = “C:WINDOWSMSGSVR16.EXE”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的Explorer = “C:WINDOWSMSGSVR16.EXE”
关闭Regedit
重新启动。OK
重新启动到MSDOS方式
删除C:windowswintour.exe然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Wintour = “C:WINDOWSWINTOUR.EXE”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的Wintour = “C:WINDOWSWINTOUR.EXE”
关闭Regedit
重新启动。OK
Ambush
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的zka = “zcn32.exe”
关闭Regedit
重新启动到MSDOS方式
删除C:Windows zcn32.exe
重新启动。OK
AOL Trojan
清除木马的步骤:
启动到MSDOS方式
删除C: command.exe(删除前取消文件的隐含属性)
注意:不要删除真的command.com文件。
删除C: americ~1.0uddyl~1.exe(删除前取消文件的隐含属性)
删除C: windowssystemorton~1egist~1.exe(删除前取消文件的隐含属性)
打开WIN.INI文件
在[WINDOWS]下面“run=”和“load=”都加载者特洛伊木马程序的路径,必须清除它们:
run=
load=
保存WIN.INI
还要改正注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的WinProfile = c:command.exe
关闭Regedit,重新启动Windows。OK
Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木马的步骤:
注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件
在[BOOT]下面有个“shell=文件名”。正确的文件名是explorer.exe
如果不是“explorer.exe”,那么那个文件就是木马程序,把它查找出来,删除。
保存退出system.ini
打开win.ini文件
在[WINDOWS]下面有个run=
如果你看到=后面有路径文件名,必须把它删除。
正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。
保存退出win.ini。
OK
AttackFTP
清除木马的步骤:
打开win.ini文件
在[WINDOWS]下面有load=wscan.exe
删除wscan.exe ,正确是load=
保存退出win.ini。
打开注册
篇9:手动清除木马的一般方法
首先,你有中了木马的迹象,你应该先看看你的启动组有哪些东西是自动加载的,木马肯定是在这里面的,发现陌生的的程序了?还不止一个?没关系,一个一个来,记下名字。
然后找个进程查看工具(为什么要看进程?木马从来都是没窗体的或隐藏的,但却逃不出进程查看器),xp/2000有自带的工具,ctrl+shift+esc呼出,98/me用windows优化大师的进程查看器。
找到进程后,先结束他的进程(不然程序在使用中怎么删得到?),然后再把自启动项删除(因为高级点的木马有保护功能,如多线裎木马)。再隔离该可疑程序。最后重起计算机。这步要一个一个的来,不然你怎么知道哪个是木马?但是如果你对自己的电脑很熟悉的话,一般一眼就能看出来哪些不是自己装的程序。
如果还是有中木马的迹象,重复上面的步骤。
如果已经知道木马程序的位置,那么先结束进程,然后删除启动项目,删除木马程序。重起。
看完后,你是不是觉得很简单,就那么几步? :)
############### windows9x/me 下的一些自启动方法#########
1. Autostart 文件
C:windowsstart menuprogramsstartup {chinese/english}
在注册表中的位置: HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionExplorerShell
Folders Startup=“C:windowsstart menuprogramsstartup”
所以它将很容易被程序更改
2. Win.ini
[windows]
load=file.exe
run=file.exe
3. System.ini [boot]
Shell=Explorer.exe file.exe
4. c:windowswinstart.bat
看似平常,但每次都重新启动
5. Registry键
[HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRunServices]
[HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]
[HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRunServices]
6. c:windowswininit.ini
一旦运行就被windows删除,安装的setup程序常用
Example: (content of wininit.ini)
[Rename]
NUL=c:windowspicture.exe
例子:将c:windowspicture.exe设置为NUL, 表示删除它,完全隐蔽的执行!
篇10:手工清除木马的一般方法
首先你要具备一些电脑的常识,比如查看自己的电脑有哪些自启动程序;然后你要对自己的电脑比较熟悉,为什么?晕,。。。。每个人的电脑都不一样,只有你自己知道自己装了哪些硬件软件。最后要说句,不要怕,做好ghost,系统还原等备份工作。就算系统被你搞崩溃了,你也学到东西了。
首先,你有中了木马的迹象,你应该先看看你的启动组有哪些东西是自动加载的,木马肯定是在这里面的。发现陌生的的程序了?还不止一个?没关系,一个一个来,记下名字。
然后找个进程查看工具(为什么要看进程?木马从来都是没窗体的或隐藏的,但却逃不出进程查看器),xp/2000有自带的工具,ctrl+shift+esc呼出,98/me用windows优化大师的进程查看器。
找到进程后,先结束他的进程(不然程序在使用中怎么删得到?),然后再把自启动项删除(因为高级点的木马有保护功能,如多线裎木马)。再隔离该可疑程序。最后重起计算机。这步要一个一个的来,不然你怎么知道哪个是木马?但是如果你对自己的电脑很熟悉的话,一般一眼就能看出来哪些不是自己装的程序。
如果还是有中木马的迹象,重复上面的步骤。
如果已经知道木马程序的位置,那么先结束进程,然后删除启动项目,删除木马程序。重起。
看完后,你是不是觉得很简单,就那么几步?:)
###############windows9x/me下的一些自启动方法#########
1.Autostart文件
C:windowsstartmenuprogramsstartup{chinese/english}
在注册表中的位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell
FoldersStartup=“C:windowsstartmenuprogramsstartup”
所以它将很容易被程序更改
2.Win.ini
[windows]
load=file.exe
run=file.exe
3.System.ini[boot]
Shell=Explorer.exefile.exe
4.c:windowswinstart.bat
看似平常,但每次都重新启动
5.Registry键
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices]
★ 论信息安全的论文
★ 杀毒也讲究技巧
★ 木马的童话
【木马清除百种方法(精选10篇)】相关文章:
网络银行如何防范网络黑手2023-06-12
杀毒要有效才算彻底的杀毒2022-04-29
金山毒霸使用教程之防御监控2023-08-01
安全论文2022-05-25
教你做服务级的木马后门2023-07-09
arp协议书2022-11-21
新手也能对付病毒:手工清除落雪2022-12-31
金山毒霸使用教程之清理专家功能篇2022-10-25
计算机病毒实验报告2022-09-08
WIN技巧:堵住系统自动运行堵住病毒木马2022-05-07