104种清除木马的好方法 3

upring

版本1.0
4 {  p& f1 h" x+ e
* M# f4 }. V: ^" \% a7 V( b删除右边的项目‘System32‘=c:\windows\system32.exe
) ^, N" n& N7 O  u" C. }  k  C
版本2.0-3.1
5 r6 b, ^  H! W3 M) q# O9 G& N
( R* @: O2 {# k' b( Z删除右边的项目‘SystemTray‘ = ‘Systray.exe‘
; U( s* ]  s! S/ S
保存Regedit，重新启动Windows
/ V% ~$ j7 D& u7 k' V3 w; j
版本1.0删除c:\windows\system32.exe
3 ^2 r! b/ v$ |: z
版本2.0-3.1

删除c:\windows\system\systray.exe
, I' j8 g9 P4 f- F
/ f5 A& a) A: I7 nＯＫ
* P9 f7 l' S  }8 {# k, O7 p- f
23. Delta Source v0.5 - 0.7
- h2 B/ {+ v. ^9 c3 A/ j
清除木马的步骤：

打开注册表Regedit
, ]& S" B6 y1 c9 p) Z4 _
点击目录至：

; ?9 b1 h1 M2 A2 `- _4 FHKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
7 _/ V0 _$ k8 F6 p
1 W+ k% n3 y: h+ d7 L删除右边的项目：DS admin tool = C:\TEMPSERVER.exe

# u( Z1 |! J/ `$ a& y保存Regedit，重新启动Windows

查找到C:\TEMPSERVER.exe，并删除它。
7 q4 L$ c. v  H2 ^1 F( n1 F
7 G- p+ |; u! s: J/ {- [ＯＫ
, q: b( c  z% _# {
8 [1 M# }1 K" m6 O3 l1 W$ R, O24. Der Spaeher v3

0 P$ E# F+ n% D7 `. Z0 ^' r# u清除木马的步骤：

打开注册表Regedit
+ J1 G7 r8 a6 S6 Q0 [
点击目录至：
( ^: Y6 L4 q2 O6 O6 Y+ m/ b
" u5 ~' ~3 t9 o- g1 e7 ]( SHKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
: [6 O8 D& O4 ^5 V
6 W0 A/ O9 e. ]1 e) Q/ V删除右边的项目：explore = "c:\windows\system\dkbdll.exe "

保存Regedit，重新启动Windows

+ ~5 e+ L0 h4 u# b删除c:\windows\system\dkbdll.exe木马文件。

1 }* U( E* G! d. g7 u) x& I7 QＯＫ

25. Doly v1.1 - v1.7 (SE)

清除木马V1.1-V1.5版本：

% ^2 W# Y2 K; ]; H这几个木马版本的木马程序放在三处，增加二个注册项目，还增加到Win.ini项目。

首先，进入MS-DOS方式，删除三个木马程序，但V1.35版本多一个木马文件mdm.exe。
/ ~) Q0 b# A6 x3 v! u& q* x
9 d, @: e* Y+ i( s把下列各项全部删除：

1 I  g& ^% \2 {4 zC:\WINDOWS\SYSTEM\tesk.sys

( o1 ^+ Q/ b7 u. `3 ~% |( k+ g2 BC:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe

$ |# D$ y* a" U! Hc:\Program Files\MStesk.exe

5 p' o5 x1 X7 K) N/ R) @0 V1 wc:\Program Files\Mdm.exe

* I$ _( U1 V4 x2 u  T重新启动Windows。
8 V4 N" b$ d! V( E+ r. k4 ~" T
接着，打开win.ini文件

找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目，删除路径，改变为load=
& M1 i9 r$ X* b' M
保存win.ini文件。

* J, G7 ?# Z0 t( o& X最后，修改注册表Regedit

+ v! y! A1 o, s' e. a8 D找到以下两个项目并删除它们
8 o7 {; a) ~2 _: L( z' x# u& r3 N
) S6 q/ @5 ~  V; hHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
+ f' I) N5 A, s+ n: |
Ms tesk = "C:\Program Files\MStesk.exe"

和

HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run
! ?' {4 g% R* e. F( ?( [) x
Ms tesk = "C:\Program Files\MStesk.exe"
+ D0 B4 t, ~8 Z
- `5 }+ M) P4 B2 b" o' x: Y, {再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss
. n  c6 m* b) S) |( z' P% {1 n6 R
: |4 C$ C3 z# x$ g& t+ Q# W1 C6 d# k这个组是木马的全部参数选择和设置的服务器，删除这个ss组的全部项目。
+ E2 O* g! f1 z
' ^$ b9 L6 M6 s+ W关闭保存Regedit。
& L% r+ h! I) ^2 n" ~4 c6 y
# S, ~5 d: h' l% S" Z6 X还有打开C:\AUTOEXEC.BAT文件，删除

@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Items\

- ^" z; _5 `3 c1 O8 hdel c:\win.reg
) }' t+ {. z6 x8 k+ I
1 j) O- P- g* d' g& ?% \关闭保存autoexec.bat。
9 c/ g3 E; ^: M; y
9 L' }: D6 E: ]6 _ＯＫ
" G. s* T2 g# d) y* T2 G1 Y
! d; K+ k5 K- u( N, v+ R清除木马V1.6版本：

- Y. J& j1 H4 G该木马运行时，将不能通过98的正常操作关闭，只能RESET键。彻底清除步骤如下：
" c) Q8 p. D1 }: b( v9 p  h* e0 Z
1．打开控制面板——添加删除程序——删除memory manager 3.0，这就是木马程序，但是它并不会把木马的EXE文件删除掉。
6 d/ f4 H* {! d8 H, f
5 V, n# q: [# r; G0 S2．用98或DOS启动盘启动（用RESET键）后，转入C:\，编辑AUTOEXEC。BAT，把如下内容删除：

8 q" t+ p8 D! J. P* n@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
+ [" c- U; [7 i$ Y& o: @1 i0 w
. ~: K1 ~8 V; O. q5 S  Ldel c:\win.reg
3 |* e% {7 p, c3 k
保存AUTOEXEC。BAT文件并返回DOS后，在C：\根目录下删除木马文件：
- [5 {. A1 \  D$ ^# O
6 l# b2 B6 \- |" \$ vdel sys.lon
3 ]2 h8 s  P; H/ X" n5 v/ c5 W5 \
del windows\startm~1\programs\startup\mdm.exe

del progra~1\mdm.exe
+ n# Z0 m+ a8 K* k. W8 [3 m" W! e3 y
* v: A" I0 V4 w8 i7 c- L, m% ~3．抽出软盘重新启动，进入98后，把c:\program files\目录下的memory manager 目录删除。
9 X  n3 N7 a4 P% z! c% v
9 {: J5 H% Z8 c9 l! t清除木马V1.7版本：

7 M5 c& j' `0 D! F首先，打开C:\AUTOEXEC.BAT文件，删除
* m& {- n8 h* t7 r8 ~1 V
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe

5 O( Z' |+ `* d% L: Gdel c:\win.reg
1 X6 V% Q1 M5 O- ^: c. [8 }% s
关闭保存autoexec.bat
5 l* o! b5 C. I
. l; s# V4 T+ p# }然后打开注册表Regedit

) i! X. A% k+ k1 ^! P点击目录至：
! e+ ]$ k& }0 b4 c2 a  F* x0 h  m
9 g* w# [% r& _  YHKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

找到c:\windows\system\mdm.exe路径并删除这个项目

点击目录至：
3 j) k- r, E) c
7 U! Z( d8 Y, H6 W1 [2 Y) WHKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/

找到"C:\windows\system\kernal32.exe"路径并删除这个项目

关闭保存Regedit。重新启动Windows。
- `  K( ?2 L: N
, f* O$ h1 P% [) z最后，删除以下木马程序：

' d$ ]! O! |# q8 c$ cc:\sys.lon
7 X: l" A6 j% A8 i6 X7 O
  [" ]9 l# C: A2 Gc:\iecookie.exe
# v3 H$ {" P+ P. ^
0 h6 C9 C; C# d* Ic:\windows\start menu\programs\startup\mdm.exe

c:\program files\mdm.exe
3 u$ ?9 I9 m+ H$ p1 s
c:\windows\system\mdm.exe

c:\windows\system\kernal32.exe
5 v+ @# ^5 u1 I1 ~2 I  I5 n
注意：kernal32是Ａ

* i* l7 p6 B* g4 E# JＯＫ
( o" @/ I3 H$ C; D6 l3 \
& w+ n; T0 K7 K' J$ }- ]26. Donald Dick v1.52 - 1.55
/ s8 K7 F8 g: ^( J' Y
清除木马V1.52-1.53版本：

打开注册表Regedit
9 z1 F+ t( u. [7 S, s9 F
点击目录至：

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\VxD\VMLDIR\

删除右边的项目：StaticVxD = "vmldir.vxd"
1 n% a% \7 R" ]1 K3 C3 E6 \: c
关闭保存Regedit，重新启动Windows

删除C:\WINDOWS\System\vmldir.vxd
$ O, D9 p8 ], y; L( G! h
8 m  o4 g" n2 z" n. U9 OＯＫ

清除木马V1.54-1.55版本：
5 j  h* }4 c# m* l6 ~4 g; `* c) ?
; r5 A9 C( p: b, N: A这两个版本跟上面的版本只是默认文件名不同，其它都一样，
, N0 Q2 f( D. ?( u$ S, Q
7 z% b& f- I5 P1 E把vmldir.vxd改为intld.vdx即可。
- {% \/ \( N- y$ k! B8 y9 X
27. Drat v1.0 - 3.0b

# b3 l% a, k" w. ^% H" d4 ]清除木马的步骤：
5 H( c* H# d$ T# N
0 Y* c4 s5 H9 ]6 }. p* }打开注册表Regedit

& H$ Q7 @8 d( ?点击目录至：hkey_classes_root\exefile\shell\open\command

找到@=SHELL32 \"%1\" %*把它更改为@="%1" %*
* F$ }2 x0 @1 W3 o2 w! N4 Q
+ f4 H' A$ b! [& |" w% e/ I关闭保存Regedit，重新启动Windows。
0 Y! U1 A: x4 u8 O
- U* l  P7 H1 X0 ]  x* f& t查找c:\windows\下shell32．＊文件，并删除它。

ＯＫ

28. Eclipse 2000
" i  |9 B5 h2 Y4 h4 S. V
清除木马的步骤：
+ L& t8 ^7 I+ Q* b$ ]* J+ s. k! m6 T
1 z' G8 U& O( d7 F' x+ F  c打开注册表Regedit

点击目录至：
& [3 M1 m0 a% p5 ~/ M  L6 `/ F
9 w% s9 U5 d5 H& ^3 THKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

5 m9 q) i7 o! W8 I5 G. Q- f删除右边的项目：bybt = "c:\windows\system\eclipse2000.exe"
+ H2 a7 q4 N1 d/ l9 e
点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\
) R* h% K: v2 R