104种清除木马的好方法 1

upring

很多新手对安全问题了解比较不多，计算机中了特洛伊木马不知道怎么样来清除。虽然现在有很多的清除特洛伊木马的软件，可以自动清除木马。但你不知道木马是怎样在计算机中运行的，如果你看了这篇文章之后，你就会明白一些木马的原理。

9 j5 U0 g3 L1 f6 e& F) _1. 冰河v1.1 v2.2

冰河是国产最好的木马
" n# _6 q) k5 K* X
8 J" t, H, Z3 [! H4 w4 K/ Z' Z清除木马v1.1
6 l$ D! u0 l5 W& u% Y
( I7 S  f3 e- v# a  \; r6 F打开注册表Regedit
) q; o$ M8 s4 G7 T2 g1 {
点击目录至：
8 d' T2 J$ K  L6 G0 `
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
) O* v" [5 M( C
9 I4 m* o: @: z4 ~2 |( U5 b! |( t/ K) f查找以下的两个路径，并删除
# M3 y1 t8 Z3 ~4 h; u/ o* Z8 y
  I) B' [7 C% l  K) O" C:\windows\system\ kernel32.exe"

  A) F- K+ Q, C" C:\windows\system\ sysexplr.exe"

1 f) M1 H: b/ C- ?关闭Regedit

$ [3 L0 c0 ]* h  a  n8 Y重新启动到MSDOS方式

删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序

重新启动。OK
: T- o0 A7 m' w- O/ y* ^
8 y2 {9 I9 f" f5 _清除木马v2.2
6 B' u' {* I6 ]1 k4 n/ r
服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。

# s7 Z  }; \7 c- a, Y0 |6 }: B+ u因此，不能明确说明。

你可以察看注册表，把可疑的文件路径删除。
& }) T& R3 A( b1 q# p  C
# n! y. ]8 F$ z4 k8 [9 Z重新启动到MSDOS方式

删除于注册表相对应的木马程序

: y9 y# I4 i0 p7 z重新启动Windows。OK
! z0 ]* u5 D  ?
2. Acid Battery v1.0

清除木马的步骤：

1 X8 Q4 P8 G2 |* p6 K+ J& s: i打开注册表Regedit

  S' z0 F4 `! N! c# n0 g0 B点击目录至：

, {) V! d% U5 x" b; A8 vHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

. g3 ?. u$ H) }2 n" F7 t删除右边的Explorer ="C:\WINDOWS\expiorer.exe"

' f1 o5 t6 V+ Y' h- E关闭Regedit

9 ?8 @) p* `7 C) m- y( J! z) {重新启动到MSDOS方式
& c3 N+ `% l6 k/ w
* ^5 D% t% o! F删除c:\windows\expiorer.exe木马程序

注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。
2 S- i0 ]8 b, l* M: I) f% \
5 @; P1 Z' |) E重新启动。OK
& |  k% E" n: z( n7 [  |4 J6 I4 d/ ]1 T
9 _/ ]) p' }# E6 B1 c3. Acid Shiver v1.0 + 1.0Mod + lmacid
" g. S1 Y# F# H! x7 X7 d
2 T& g$ r; M/ h/ r3 O* V( {5 n清除木马的步骤：

重新启动到MSDOS方式
- J" |- d, g- u% t8 r" d
5 ^+ h! y9 f& h1 d# I6 }删除C:\windows\MSGSVR16.EXE

然后回到Windows系统
. ?$ Q: @0 y) R! G3 _* ]
打开注册表Regedit
& b0 X% e7 I% O" b( o3 h7 D* X
点击目录至：
1 i) x; n0 o) u7 o
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"

3 P3 b. Z; F! s+ o% bHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
3 p+ Z8 G; r4 e: Q
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
7 Z/ w" W- u  \2 s4 O
6 k2 H, X" n0 y关闭Regedit
8 s* q7 U8 i! n. m; D
9 @: K/ J' Q, w" J6 d重新启动。OK

* ]0 K9 y; f" x重新启动到MSDOS方式
, I+ b+ M5 r# k  t
- N1 C) ?8 z5 R* Q. F. y删除C:\windows\wintour.exe然后回到Windows系统
: R, Y5 a7 q5 ]) c9 m$ n- ^
打开注册表Regedit
5 v* a" n4 L) J) j3 A2 q
! E8 |/ w; N2 s  e点击目录至：
8 d, P( ]4 d) N5 W+ b8 q
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ u' S2 L" A3 \$ e. O" f
/ k' T% o7 a' i5 R% @0 F删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
' N# n+ A; J$ F4 A4 P: t! {
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
3 _8 p0 b& k; D' ]3 G
关闭Regedit
- Z* d8 Z7 n* Y. p8 d
重新启动。OK

2 V8 E. g# g4 B$ k* |0 T; b& A4. Ambush

清除木马的步骤：

& c3 E: X' R- \! t, t$ U打开注册表Regedit

点击目录至：
2 x- w2 V/ g; O# X! ~1 c
9 E) U9 r/ Y( N5 e3 FHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
6 C9 |& f% T6 C$ k, l8 M. \
删除右边的zka = "zcn32.exe"

关闭Regedit

! u; N2 j/ K2 a: [! t重新启动到MSDOS方式
7 R' N5 C/ U8 k3 s/ [: B1 M
删除C:\Windows\ zcn32.exe

重新启动。OK

' s% U7 [3 m- w! Z8 ]/ O5. AOL Trojan
/ v# x7 y6 r6 b% G$ i
清除木马的步骤：

启动到MSDOS方式
% ]% w5 v) e9 c8 `, ?% s
' P1 ~0 h. t1 G' x! `删除C:\ command.exe（删除前取消文件的隐含属性）
! ]' b7 L( G) \& T" p4 d9 e" P
* l* u: b7 k( E1 y注意：不要删除真的command.com文件。
0 d, q* m+ X  p. U7 f. C/ d
删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性）

1 {/ J- n7 P# Y( |( n删除C:\ windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性）
) V" o; T# ~; j; ~: l& Q) I% R
  y) P! @) O' H$ l. [/ S" c( W# U打开WIN.INI文件

在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径，必须清除它们：
0 N/ g7 q* X& K/ n. _3 r: {" i
2 O/ o9 `. I) N) G* }& Arun=

load=

. y( b8 a6 y- R) o5 L2 `7 S  I保存WIN.INI
9 d- g3 t0 X3 o4 g
还要改正注册表Regedit
4 i" [% g- j# f% w$ Y% U
7 W3 ^( Q0 B) d. p$ ]2 i* d) y点击目录至：
$ `0 h* n, e  z, x- t
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

1 V, i$ c# v, a4 e$ N删除右边的WinProfile = c:\command.exe
0 e/ C* j4 v) g" J3 x
关闭Regedit，重新启动Windows。OK

4 H1 M9 `/ X% I6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
0 e% s, |2 L; o0 `
2 a5 I1 j/ D4 _& x5 {4 T8 w) J) b- |清除木马的步骤：
; A' p4 {; w3 P
8 h9 b/ P  u" N* u3 ?# p( b* G注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。

我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
: j" ]4 x' v+ W7 h8 L7 Y7 F
打开system.ini文件
' x& H& l, Y5 l) d
在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe

. G, I# l8 m5 A0 `: e. d, N如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。

2 q2 i: ?* E. u: N- }, d8 Q& b5 x保存退出system.ini

打开win.ini文件

在[WINDOWS]下面有个run=
: N4 W& n6 X) q, m4 |
6 W- F3 ]# ^1 a  b4 M如果你看到=后面有路径文件名，必须把它删除。
* y7 U: z$ v1 S) d% H4 e
正确的应该是run=后面什么也没有。

1 ?, t7 o! W( D/ R$ z7 }! _5 H! F=后面的路径文件名就是木马，把它查找出来，删除。

保存退出win.ini。

2 Z' U% q3 |/ @. V( TOK
8 }5 w7 Y( w) w: M
1 Z+ h4 Y, r" w- Q* t/ v7. AttackFTP
( K% _6 c/ q) c- U3 o
0 N7 t8 O' q! c清除木马的步骤：
6 [0 ^  M" `! r# |: K
+ i; R$ v  @+ g$ a) N) g3 W打开win.ini文件

在[WINDOWS]下面有load=wscan.exe

删除wscan.exe ，正确是load=

  ~* [0 `7 {( c5 r* o保存退出win.ini。
/ |6 G- H: r) ]
打开注册表Regedit
2 |' z. I/ X; i! x- C
点击目录至：
2 Z0 g/ D' u1 F; m3 ^
, M  W' |6 A" n& ]7 cHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
$ M; D" d, E5 H+ |9 l
删除右边的Reminder="wscan.exe /s"

% v! U( e. ^! @  ^关闭Regedit，重新启动到MSDOS系统中

+ k$ z$ \7 U8 U9 K8 T删除C:\windows\system\ wscan.exe

OK

1 o! S% ]) q9 T& d3 U) y' p8. Back Construction 1.0 - 2.5
# d8 g8 Y4 q9 q! Y/ i
, W. a6 w* j9 [清除木马的步骤：
) q- m2 R, S* J. f
# Y  j0 }% ]3 q# ~/ f2 V/ R/ o. x5 j+ t打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
" j; R6 J& v/ h1 ]7 f8 o
" N- U; Y, s, h. @' _删除右边的"C:\WINDOWS\Cmctl32.exe"

关闭Regedit，重新启动到MSDOS系统中

删除C:\WINDOWS\Cmctl32.exe

1 i" C; q4 `: H4 fOK
' Y, D: J; `8 R! d1 @: u* u
9. BackDoor v2.00 - v2.03

+ v# M- A3 y' r清除木马的步骤：

  Z! g1 M% X% u9 R) ^+ _4 }打开注册表Regedit

" t) C% x9 W" [+ |6 x. O点击目录至：
! L, g: G2 a2 n. C+ d+ z2 d
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run