104种清除木马的好方法 3

upring

版本1.0

5 ^9 k% A, \9 p' B$ M  b6 X删除右边的项目‘System32‘=c:\windows\system32.exe
9 b1 h- X6 A7 g( d$ e2 ]7 v4 R
版本2.0-3.1
* M9 r! B/ \' k  B
删除右边的项目‘SystemTray‘ = ‘Systray.exe‘
2 @7 o5 o+ m) R8 R; Q  P+ b8 a
8 l3 M* p1 O" R保存Regedit，重新启动Windows

版本1.0删除c:\windows\system32.exe
& [- f8 t1 E6 }5 d
2 n9 b/ C) v! w2 k) V1 q- i版本2.0-3.1
% K) k% |$ r" c- t
' V2 L4 ~, Q4 v0 J9 O* n删除c:\windows\system\systray.exe
+ Q6 k/ R& ^5 G/ y
3 Z* D0 q- y0 t, S+ x9 n2 CＯＫ

23. Delta Source v0.5 - 0.7

清除木马的步骤：

打开注册表Regedit
* Q& w* P7 K3 S8 L4 [+ n+ D5 W
点击目录至：

! G5 y" a  T% |HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

5 H6 \' v( Y0 C8 W2 V删除右边的项目：DS admin tool = C:\TEMPSERVER.exe
7 Q! u7 ^& ?1 ?: Z' p
保存Regedit，重新启动Windows

% O1 u# p( ^* o/ P* [% l查找到C:\TEMPSERVER.exe，并删除它。

ＯＫ

% @* E5 Z/ h/ o: L9 c* C8 C24. Der Spaeher v3

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
3 F# n% [$ ~$ d- C/ Z$ {4 A
+ U5 \( \' S2 \删除右边的项目：explore = "c:\windows\system\dkbdll.exe "

0 S% F  y! o% ~1 w8 E! ]保存Regedit，重新启动Windows

! z6 \& k* e, h3 ^; B! k删除c:\windows\system\dkbdll.exe木马文件。

ＯＫ
- p! p4 T: S6 X. Q
25. Doly v1.1 - v1.7 (SE)
' M# [0 [  t  H& B6 `2 \
清除木马V1.1-V1.5版本：

这几个木马版本的木马程序放在三处，增加二个注册项目，还增加到Win.ini项目。
8 g# z9 h; \+ N# R+ ?, g) I" p
首先，进入MS-DOS方式，删除三个木马程序，但V1.35版本多一个木马文件mdm.exe。

' Y& r9 I9 X1 A6 Q% M% o% j  j/ E把下列各项全部删除：
' N9 e$ ]& F, L2 \8 s2 c1 ]
" H: R1 S3 r! `% O7 |9 e$ t5 mC:\WINDOWS\SYSTEM\tesk.sys
; }# G+ t# q! g% l3 K
C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe

c:\Program Files\MStesk.exe
; ?8 C" h7 f' M% D) U& A& |2 X
; o. J' N  U- oc:\Program Files\Mdm.exe

$ ]; H0 g0 x( h3 x重新启动Windows。

接着，打开win.ini文件

% z% F3 J; e7 T* D2 I& \找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目，删除路径，改变为load=

3 k% w1 N9 I2 [2 C5 W) j3 n+ q1 D7 V保存win.ini文件。
9 U( J$ d% i8 t0 G
& B% g+ E" L1 w& W最后，修改注册表Regedit
  D6 i% d8 {9 d9 \' Y
找到以下两个项目并删除它们

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Ms tesk = "C:\Program Files\MStesk.exe"

: a& U" r1 E8 T' A  _$ `* T) \) T8 Z和
9 ]5 F0 S/ Z5 r5 f& H
HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run
% M3 K4 p$ F& i$ q+ f# c# y
+ f" w9 w: {8 Y# h0 C+ ~2 FMs tesk = "C:\Program Files\MStesk.exe"
( }# ]9 {; z# x" Q! y1 j. p
再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss

这个组是木马的全部参数选择和设置的服务器，删除这个ss组的全部项目。

关闭保存Regedit。

# p8 E7 p1 B7 p1 ^# l还有打开C:\AUTOEXEC.BAT文件，删除
0 ^2 W' Q1 f5 w) K' [; h
@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Items\
' Y/ p2 L4 t9 t! \
3 w0 I9 J% b! g1 Y% hdel c:\win.reg

, a5 Q  X7 y" C关闭保存autoexec.bat。

ＯＫ
# D- j+ {' X' @& e2 `/ q! S+ j1 g
& q* D: M  n% U) L. H- @# `清除木马V1.6版本：

该木马运行时，将不能通过98的正常操作关闭，只能RESET键。彻底清除步骤如下：
4 |! l3 `* l- f- r4 }$ g; t, L
1．打开控制面板——添加删除程序——删除memory manager 3.0，这就是木马程序，但是它并不会把木马的EXE文件删除掉。
! D% {( U1 H: G# T3 B6 T& ]
+ M- g; J) u! b) v8 a* ^2．用98或DOS启动盘启动（用RESET键）后，转入C:\，编辑AUTOEXEC。BAT，把如下内容删除：

@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe

del c:\win.reg

保存AUTOEXEC。BAT文件并返回DOS后，在C：\根目录下删除木马文件：

del sys.lon

9 I1 g+ ~# G0 ldel windows\startm~1\programs\startup\mdm.exe

! Q: v  d9 Y' ^' z+ ]$ j& c: Ldel progra~1\mdm.exe

3．抽出软盘重新启动，进入98后，把c:\program files\目录下的memory manager 目录删除。
/ N7 _% F2 K0 \( _8 a8 d
清除木马V1.7版本：
) d9 \# @. R; u6 i, E
首先，打开C:\AUTOEXEC.BAT文件，删除
) O2 Y" U  G* v( b) z, y6 \4 d
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe

del c:\win.reg
- L( m' b* ~3 c3 x' p' u) z
关闭保存autoexec.bat
8 M: o) b* t# E& e
3 K! v) Y) O$ e$ i; H然后打开注册表Regedit
, e5 q4 j+ J8 k# K; @* Y% v
点击目录至：
4 j0 x# _4 Y( t& k; u
9 C6 g9 K' z% a) ~4 U- S# }. cHKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

找到c:\windows\system\mdm.exe路径并删除这个项目

$ E9 M, ?! F( r1 f5 X" ]点击目录至：

HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
3 W$ r5 q0 `! r( a' Q3 v
找到"C:\windows\system\kernal32.exe"路径并删除这个项目

. @% V6 L2 b. B! n/ \关闭保存Regedit。重新启动Windows。

/ [) u( ?( g$ U4 L8 o最后，删除以下木马程序：
4 f) x3 o; Z1 N0 ~8 k) o) }
c:\sys.lon

. q, c8 L1 `6 K5 cc:\iecookie.exe
  @0 M2 G8 t0 M% M7 F5 g
c:\windows\start menu\programs\startup\mdm.exe

c:\program files\mdm.exe
8 n7 h  A4 h: ?6 S0 B5 ?8 @
c:\windows\system\mdm.exe
, m2 m! ?2 n- T% }! J5 L" _  z/ J
3 B. Z4 C# o' X. U9 h) Kc:\windows\system\kernal32.exe
8 ]$ s! G# F2 {; P
, ?; C# B4 a, c+ P/ {注意：kernal32是Ａ
1 a6 C- c/ B6 j& O5 _7 P
ＯＫ

26. Donald Dick v1.52 - 1.55

清除木马V1.52-1.53版本：
' r! D# f5 d* Q5 _+ x- V
打开注册表Regedit

! _7 I) K9 z- B! a3 ]* h点击目录至：

) K- \- Z  h5 e( }& B( o2 n- v& MHKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\VxD\VMLDIR\
$ I2 H0 q) ]4 U$ e' j9 y, b
& O% d% R9 s, Y* T0 B; Q' B5 G6 I删除右边的项目：StaticVxD = "vmldir.vxd"

关闭保存Regedit，重新启动Windows
; c2 ?. ], F! }) [
删除C:\WINDOWS\System\vmldir.vxd
) w+ f) _* F# a3 E
ＯＫ
/ K. u) t8 K" x$ y, r3 l
清除木马V1.54-1.55版本：
: V. y9 `& {: e- t' x
1 q0 |1 ^' ]* f+ v- }4 Q这两个版本跟上面的版本只是默认文件名不同，其它都一样，

把vmldir.vxd改为intld.vdx即可。
; _/ r$ C4 `4 u- y+ F$ g! `9 A
) c7 B3 L/ f2 R: f3 |% t$ l, l27. Drat v1.0 - 3.0b
% D* O) ]; N- z! E& p9 p
清除木马的步骤：
9 @- `" A# {7 r) Z
' v. y2 B$ k" _4 D# y打开注册表Regedit

/ w* i7 p, K+ S3 f点击目录至：hkey_classes_root\exefile\shell\open\command

找到@=SHELL32 \"%1\" %*把它更改为@="%1" %*

关闭保存Regedit，重新启动Windows。

查找c:\windows\下shell32．＊文件，并删除它。
, ~- V3 f, Q( K$ A& F; b
ＯＫ
2 ^" R" X" _, T' T
28. Eclipse 2000

/ H+ N" K; q0 V( m- j% K! V清除木马的步骤：

8 K' a  s: @- M2 g打开注册表Regedit
% v  }  ]6 c- s, Z" d# [
; h  g& j+ I# h  t) a. p) r点击目录至：
  C$ p" H2 x; B" a6 n
8 G' A( f" s' nHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
2 U3 ?/ a# I, ]* P
删除右边的项目：bybt = "c:\windows\system\eclipse2000.exe"

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\

" A5 J& @# Y+ C" [