104种清除木马的好方法 3

upring

版本1.0

8 p. z( O3 ~9 t  P* w4 Q. j7 c删除右边的项目‘System32‘=c:\windows\system32.exe

版本2.0-3.1

删除右边的项目‘SystemTray‘ = ‘Systray.exe‘

保存Regedit，重新启动Windows
! h! c9 e# Y# q2 j' Q: `
6 B! P: V7 c  M版本1.0删除c:\windows\system32.exe

版本2.0-3.1
. v- {  {. M) J% J8 u5 z$ p- ]/ Z
4 k0 V; g0 v6 r( o" z+ V删除c:\windows\system\systray.exe
3 ?6 f1 w; h( h& _/ ?0 r) T
6 W' Y9 p8 b6 o5 X) B& TＯＫ
; H! ?0 S; x% z% G4 Z0 x
9 w# W. C$ E3 S+ |4 G23. Delta Source v0.5 - 0.7
9 |0 U& k' v2 v9 v# J6 c( C8 M
1 p' a' a' h& A4 M' |/ {7 `0 `清除木马的步骤：
* K* s" ~7 ~* I$ |) g( x+ g
打开注册表Regedit
, Q& y, H6 v; w1 k
点击目录至：
' N% H5 Q6 n: y2 K6 c8 Y$ `9 C1 ^0 B
( A: k0 `7 R6 r% L0 R% k0 f, zHKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的项目：DS admin tool = C:\TEMPSERVER.exe
" S; R+ B" Z2 K% i
保存Regedit，重新启动Windows

* ]: a8 @8 l" c- s' ~+ a查找到C:\TEMPSERVER.exe，并删除它。
' S9 n" [! b- f7 m; I/ X0 [  I' F  ]* n
" L9 O8 d& o1 Y7 \' ]1 B& a0 D& ZＯＫ

24. Der Spaeher v3

/ ]) c! x8 g" N5 ^) P! S6 G" {清除木马的步骤：

打开注册表Regedit
5 b* r  ~  A: b) q7 e8 E& e5 X
点击目录至：
% ^* V9 t3 a8 d
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的项目：explore = "c:\windows\system\dkbdll.exe "
2 D* p7 ~$ ^$ O5 y+ Q5 h( P
; w. Y9 G6 R4 b* T* I6 ^保存Regedit，重新启动Windows
5 Y! ?4 j1 d/ ?% X/ y. y4 ^3 s  b
* p! q5 Z8 a& _3 Q4 Z删除c:\windows\system\dkbdll.exe木马文件。
: k/ p( |3 }$ Q
ＯＫ

25. Doly v1.1 - v1.7 (SE)
+ W! }2 }  H: h: F, w' X
2 ~. K) O8 |' @5 C( u: H0 n清除木马V1.1-V1.5版本：

7 `3 s* E/ _' }" P2 b( ~. r! Z( _这几个木马版本的木马程序放在三处，增加二个注册项目，还增加到Win.ini项目。
1 Z' t& q0 Q" I3 z$ H
首先，进入MS-DOS方式，删除三个木马程序，但V1.35版本多一个木马文件mdm.exe。
) c$ y" M# Y) H, K" x! d
把下列各项全部删除：

5 l* `, z# O$ D! T$ {C:\WINDOWS\SYSTEM\tesk.sys
( A7 h: J1 X( s
, r9 p# Z( x" m* k2 LC:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe
1 l( h) z: i$ X; u7 t
1 Z! r4 W: i8 J( {/ \c:\Program Files\MStesk.exe
/ |( W1 |* F; `- W4 w
c:\Program Files\Mdm.exe

重新启动Windows。

& Z5 {- r$ v7 C( k$ z3 u接着，打开win.ini文件

4 s, j8 H2 E, b" s, n4 W4 y' K3 \找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目，删除路径，改变为load=

保存win.ini文件。
9 W7 {$ S' [3 K% K+ q/ ]7 f
( T2 i- W% @4 [6 D+ Q2 y最后，修改注册表Regedit
5 O- Y2 j5 L( S
找到以下两个项目并删除它们

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Ms tesk = "C:\Program Files\MStesk.exe"
9 A+ [( Z, d' t
和
' r1 ]( T, {; b+ g5 r
HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run
, M' `7 r7 q3 t! t' L+ y
Ms tesk = "C:\Program Files\MStesk.exe"
) l! y. j1 f5 R4 q
再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss

这个组是木马的全部参数选择和设置的服务器，删除这个ss组的全部项目。
8 D3 C& d- t! d$ x2 L! y; f  A3 S
关闭保存Regedit。

还有打开C:\AUTOEXEC.BAT文件，删除

@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Items\
+ p4 D, w" r4 Z* J  F; Y& d" Q
4 r! J% v/ i4 _6 ]del c:\win.reg
0 X$ H3 g1 D8 [+ B6 J- u- M
" _' J2 }: n2 ^关闭保存autoexec.bat。
$ `' ~) ?0 [: X: ^* V7 z" j
4 E, o3 W( t6 `: c) oＯＫ

* B& ~2 a% _, b清除木马V1.6版本：

该木马运行时，将不能通过98的正常操作关闭，只能RESET键。彻底清除步骤如下：
; R) a+ Y' S1 |9 e( I
9 Z9 U: h$ S" c, }" v1．打开控制面板——添加删除程序——删除memory manager 3.0，这就是木马程序，但是它并不会把木马的EXE文件删除掉。
8 j/ \9 M6 j% u% S& |
. z4 J0 f3 R' \2．用98或DOS启动盘启动（用RESET键）后，转入C:\，编辑AUTOEXEC。BAT，把如下内容删除：

@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe

del c:\win.reg

8 y/ j: D7 M; U, i" C% x0 H* K6 n保存AUTOEXEC。BAT文件并返回DOS后，在C：\根目录下删除木马文件：
# O. g9 w' {* q0 R) ]# f
del sys.lon
, i) x. F9 f$ Z4 a
del windows\startm~1\programs\startup\mdm.exe
: q" m$ q3 J: a( L9 y1 z
del progra~1\mdm.exe
; T( J/ L# g2 w! c8 A9 [
3．抽出软盘重新启动，进入98后，把c:\program files\目录下的memory manager 目录删除。

清除木马V1.7版本：

首先，打开C:\AUTOEXEC.BAT文件，删除

@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe

, z# G$ x6 _' j2 T* }- R: hdel c:\win.reg

关闭保存autoexec.bat

8 c/ Z& J& H3 L+ M然后打开注册表Regedit
9 I1 b0 T$ y2 t" X& ]
点击目录至：
, S& U5 x2 ~  [: C
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

) G. h6 B2 y: T6 b1 R找到c:\windows\system\mdm.exe路径并删除这个项目
" P$ t2 a- q# [2 H$ P
7 K- m( w; p( h% k% o1 c, _点击目录至：
& g6 \: K* k- D8 |2 z+ F
5 H/ ?' X& j: ?, C2 xHKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/

找到"C:\windows\system\kernal32.exe"路径并删除这个项目
7 q5 Q# z" ^3 n% m1 M1 e% N$ f
关闭保存Regedit。重新启动Windows。
# v# M- G! k( z8 t" Y2 `' F
最后，删除以下木马程序：
; ?) ~0 U: y3 Q6 Y3 Q0 v
c:\sys.lon
: H/ u" B  B* u% g! c$ R
c:\iecookie.exe
$ g3 _  k0 ]* L# H' C+ w0 }  G. Q
3 [5 j5 V3 d/ j" U2 Cc:\windows\start menu\programs\startup\mdm.exe
4 `% q3 t  r8 |' v. _
. y4 u5 o2 }  e% Y4 }2 Ac:\program files\mdm.exe

7 }6 z- m" ~5 a+ h0 Nc:\windows\system\mdm.exe

c:\windows\system\kernal32.exe
4 P, r( d2 _. D, r1 S' |& i
注意：kernal32是Ａ

; g8 P7 d, l( V- f8 W) T# vＯＫ

2 e- S& f9 S- v) ^1 C; b26. Donald Dick v1.52 - 1.55

9 L: h. K, ]# d( S# Q- R清除木马V1.52-1.53版本：

打开注册表Regedit
# x8 h# V7 _8 v& k4 g
, m" C8 R+ n9 V: V8 d" \+ i  \点击目录至：
* ]4 c0 T# H$ }- m" O% t
2 V/ g6 N; b3 N5 rHKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\VxD\VMLDIR\

删除右边的项目：StaticVxD = "vmldir.vxd"

# w2 @- v( I: l! m7 M! v关闭保存Regedit，重新启动Windows
: O7 o3 r7 j  d: \0 @/ b3 H
删除C:\WINDOWS\System\vmldir.vxd

ＯＫ
- J  m5 c4 P0 W$ {' J
( A0 c* v9 O* ~& @1 l8 _" B. a+ n清除木马V1.54-1.55版本：
$ T- |4 Y: L: ]  ~, N! W
0 i. M" u0 ~8 {& m2 o) s* X: h/ F- J5 `' H这两个版本跟上面的版本只是默认文件名不同，其它都一样，

把vmldir.vxd改为intld.vdx即可。
) {0 d; B( W, B$ o6 ~( a/ A" B
27. Drat v1.0 - 3.0b

) F; Q3 Z6 @: z/ x1 m* Z- J9 i清除木马的步骤：

打开注册表Regedit

! l# F+ _* n$ \) i点击目录至：hkey_classes_root\exefile\shell\open\command
# C* f# u3 g& ~
找到@=SHELL32 \"%1\" %*把它更改为@="%1" %*

$ j3 v6 c* v& {! k$ c. M- K关闭保存Regedit，重新启动Windows。

) _2 r0 Q6 v1 g9 M( N+ I1 C+ X查找c:\windows\下shell32．＊文件，并删除它。

ＯＫ
/ i% s' D; e0 O( H
28. Eclipse 2000

清除木马的步骤：

$ f/ _0 E! H. W# Y/ U  X% ^- V打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
$ c- Z8 W6 k! ]) W- w2 f
# E- D$ |% S& ]! ~+ H1 G. U删除右边的项目：bybt = "c:\windows\system\eclipse2000.exe"
. l7 p  x' [4 c3 @# W
; L% ^6 r6 m( v点击目录至：

; T* R- H5 g2 yHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\

, {  S. `  K' D' O" ?# Y  b