104种清除木马的好方法 1

upring

很多新手对安全问题了解比较不多，计算机中了特洛伊木马不知道怎么样来清除。虽然现在有很多的清除特洛伊木马的软件，可以自动清除木马。但你不知道木马是怎样在计算机中运行的，如果你看了这篇文章之后，你就会明白一些木马的原理。
" v! @) _  A# P$ D
1. 冰河v1.1 v2.2

' \3 q+ v: H2 \  S! n7 P3 R冰河是国产最好的木马

. \% j( W( Q2 H清除木马v1.1
8 {& ~  n% D, Q/ M# w4 U
( Y* p6 }# g2 B2 O打开注册表Regedit

点击目录至：
  c) q4 b0 H! l) `- H
1 G+ T5 a/ ?1 W* ?  }7 THKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

查找以下的两个路径，并删除

6 t3 {6 T3 X, B. V5 Q" C:\windows\system\ kernel32.exe"
3 w' S8 f" r) G
" C:\windows\system\ sysexplr.exe"

关闭Regedit
# W' R, g; P+ v; r: P
" M8 ^" [  \7 J$ F! L( a# j重新启动到MSDOS方式

! z$ t8 T2 d; V& W" S5 z删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序

重新启动。OK

清除木马v2.2

服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。

! \+ D- l, ]- Y/ L6 k8 c因此，不能明确说明。

+ Q0 D* m/ ~. [2 j' N你可以察看注册表，把可疑的文件路径删除。

重新启动到MSDOS方式

& J% A0 M8 ^1 X+ Q) g- D* n删除于注册表相对应的木马程序

重新启动Windows。OK

2. Acid Battery v1.0

$ y2 I! k+ @; s/ P/ x清除木马的步骤：

# p* [' e0 x# c打开注册表Regedit

" D, o$ c* U# q# v" c0 j+ c点击目录至：
5 g- e/ z' {! M; y+ F: G* L5 Z; x" S
2 R( E# p3 Q, z$ u/ HHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
% ^3 R4 M, Y# Z. x) d! _
删除右边的Explorer ="C:\WINDOWS\expiorer.exe"
  ~; f) Q8 r7 b, b# |
关闭Regedit

" H% ?2 @' U. w9 r& H5 ^重新启动到MSDOS方式

删除c:\windows\expiorer.exe木马程序

注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。
6 E, H0 M- c0 c
/ e: U' ?7 b" [9 U1 h* B重新启动。OK

/ [5 h- U0 l5 s, o9 g3 K$ V( z7 B3. Acid Shiver v1.0 + 1.0Mod + lmacid
/ {. t& [- k) @. J% O
2 \4 V# _* j' M3 {清除木马的步骤：
) M$ P9 L/ e' e4 N( t
重新启动到MSDOS方式

2 v* V9 c7 p. R0 H( q删除C:\windows\MSGSVR16.EXE
3 G1 a1 L& `; d0 a
- p. j. ^8 \" k6 C" i然后回到Windows系统

) D. f+ z3 R% M/ F  v打开注册表Regedit
3 u! T& C' D! J+ X6 v
" f. T" J9 ]7 X) N' \) r! O点击目录至：
7 _# e1 O+ {# n. |
; G" v  l7 a/ U- l) g- m. H& F' \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

# Y5 }' {+ W' Q" c9 L! O删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
! N6 ~7 K, N6 |4 U7 Z, M; t
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"

关闭Regedit
2 C. `. t  @  ?
5 r! l& K! b1 s3 E; ~1 `重新启动。OK
2 ]+ E# G$ O, X/ s5 }
重新启动到MSDOS方式

删除C:\windows\wintour.exe然后回到Windows系统

" o$ g- Q; b# H4 C- U; w打开注册表Regedit
8 A! e' Y3 p: [0 K" R; v/ {7 y& Z' B
点击目录至：
( n! \6 J) z% V) @: J  i, b/ w
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
: t$ m% u0 H" `7 p. V- \7 x  t
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
% B9 ?9 Q$ K9 D" }) w
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
+ _. ]% f* P# r0 ]1 x& K/ b
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
& M! G5 ?& M( e$ T  ]* p4 N! [
关闭Regedit
0 }: F) B- [! _- A1 u4 ?
( Y# N* p2 Y) M  T8 {3 {0 }重新启动。OK
+ b, r2 j: H4 i7 k1 z
4 z. s* p2 i: Q6 p5 f# l4. Ambush
3 {  j: R( Q5 s- T
清除木马的步骤：

打开注册表Regedit

点击目录至：
1 {( Q# j2 u9 ~. [5 n7 b/ r; u
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的zka = "zcn32.exe"

关闭Regedit

重新启动到MSDOS方式
9 M4 E3 W, v) p( q8 y3 ^  s
删除C:\Windows\ zcn32.exe

重新启动。OK
) D# W+ \7 {4 n& I6 g
5. AOL Trojan

$ s0 [3 m4 A  \2 h( ^4 I9 p清除木马的步骤：

启动到MSDOS方式

删除C:\ command.exe（删除前取消文件的隐含属性）

注意：不要删除真的command.com文件。
' T' j$ j: w: w
( [3 o& v1 \# O删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性）

删除C:\ windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性）

打开WIN.INI文件

在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径，必须清除它们：

run=

load=
  M5 L8 ?! _+ f: v
保存WIN.INI
" [: }6 F) P! x
$ G) u7 ]0 B( _. t8 X4 C还要改正注册表Regedit
7 G; P6 w2 B1 A6 s/ p
点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
$ L0 A  C" g, t/ K8 p, ^1 o6 u
$ b; X8 a; |+ r" d+ n" z$ C9 r: O& u删除右边的WinProfile = c:\command.exe
- Q0 ^1 ^7 Q6 s
关闭Regedit，重新启动Windows。OK
# T$ _5 ^* c" e! O6 G4 ^: b
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
7 g+ z' }' e% R2 W
" c$ r/ G: k: A7 \7 v3 x清除木马的步骤：
9 E, w/ t" t( V0 B- D
注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。

, {2 ]* V  V& C! [- k2 Y; @1 G" W我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
& R( \- S* N) ^) }# L7 }
打开system.ini文件
. j  P+ J! j0 o
1 P; m* A0 P% e! |1 u  o' x. |* \在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe

如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。

保存退出system.ini

打开win.ini文件
4 x% a" Z  @0 ]3 n. A% {* a6 P  C
在[WINDOWS]下面有个run=
  l- O( ]$ D3 `
如果你看到=后面有路径文件名，必须把它删除。
/ m9 O0 {- X! |+ Y8 i8 R$ s
/ p! W4 i& w7 p9 ^- j5 V" G3 X正确的应该是run=后面什么也没有。

3 N& E' w: L0 d$ E9 k=后面的路径文件名就是木马，把它查找出来，删除。

' `2 v7 D% }5 K* n. Q+ ~0 P保存退出win.ini。

2 X( q  G6 K  c/ F. ]8 \/ e# B% _OK
5 T! V! o. q! F7 F6 E
. h  g3 w2 G; y. ^8 C2 Y+ c7. AttackFTP

清除木马的步骤：
) `5 ^8 r; x7 w) k
打开win.ini文件

在[WINDOWS]下面有load=wscan.exe

0 _$ H" q% W& v9 l  Q' ]$ p删除wscan.exe ，正确是load=

6 B3 h+ T% S+ S$ g: h保存退出win.ini。
* Q7 g' E# d: j5 {- s7 e2 w) `
# o2 }2 e5 b: @0 R  Z6 S打开注册表Regedit

' W/ z5 x* q9 S4 s" Y点击目录至：
) Y2 e6 V  _2 f" R1 `* D% O
( j8 E* C0 F4 ]- J* d0 G+ qHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
# E+ P+ H3 d7 D! w. O! ]
删除右边的Reminder="wscan.exe /s"

关闭Regedit，重新启动到MSDOS系统中
6 N% v- |- v7 c" N
: l# j& x6 _8 P- j& @: B' ?/ @* _删除C:\windows\system\ wscan.exe

- h$ B5 n7 ?0 \  Z& jOK

8. Back Construction 1.0 - 2.5
7 D1 p8 |- ~" l4 n6 H
, z/ S5 l6 x0 Q2 F) g清除木马的步骤：
& P" d: q- d, G) a9 w3 D( |
8 ]% X9 d0 \9 U9 m+ `+ e& i  o/ S打开注册表Regedit

点击目录至：
4 W$ k8 k# N5 \3 @; X3 E) P- D
6 ^, y+ z: T# P8 J/ H( NHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的"C:\WINDOWS\Cmctl32.exe"
+ e0 x3 q6 o: X1 U6 E" C
- d( Q3 W8 Z2 {& h: u关闭Regedit，重新启动到MSDOS系统中
+ s2 {* x. A" p5 a1 P; T8 v
& }+ k" h0 D6 l删除C:\WINDOWS\Cmctl32.exe

; G/ W: L0 b) {/ Z( n/ {OK

9. BackDoor v2.00 - v2.03
* t" a2 r9 p+ S+ W
; C8 Q& W; o  \$ i清除木马的步骤：

打开注册表Regedit

点击目录至：
0 b4 H/ e8 J/ @. M. o- X' k2 _
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- W! Y4 x& [1 w9 s4 U* {3 y( E