104种清除木马的好方法 1

upring

很多新手对安全问题了解比较不多，计算机中了特洛伊木马不知道怎么样来清除。虽然现在有很多的清除特洛伊木马的软件，可以自动清除木马。但你不知道木马是怎样在计算机中运行的，如果你看了这篇文章之后，你就会明白一些木马的原理。
- x" }0 k" f+ o
$ f' ?- ^% d! S* z' t1. 冰河v1.1 v2.2

冰河是国产最好的木马
# k' ~$ ^6 l( z2 r  R# y1 O
, k6 d' M$ @! Y, ~1 M  @清除木马v1.1
0 ^+ |6 y! g' P% p  L$ B
打开注册表Regedit

/ y. g  t$ M7 i& \点击目录至：

9 R* c* P  e' t, ^" s8 j. F& ?HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

查找以下的两个路径，并删除
8 n7 u( e5 n3 ~# k9 G9 p
" C:\windows\system\ kernel32.exe"

" C:\windows\system\ sysexplr.exe"

* U, I* o# Y7 B. R- n/ W1 n关闭Regedit
3 P- a) z- K) G8 L7 l: @5 o
重新启动到MSDOS方式

删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序

重新启动。OK

清除木马v2.2
) b! D& w0 t& ~* h' J: m* m
' t8 m! w( S) i2 f& u  Q6 e服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。
& k2 V1 A- i. z8 ?* q4 J8 k: f
  N) U9 c1 m/ P# z5 J& w因此，不能明确说明。
* v8 }' w! t5 c  r+ p6 M. b
你可以察看注册表，把可疑的文件路径删除。
/ D; O+ ~2 w6 M/ R7 T( ~
0 z+ f# F% a5 n7 D- t+ b重新启动到MSDOS方式
' c8 h! e/ h" j$ o% i
% A" |/ d0 A1 ^9 c删除于注册表相对应的木马程序

重新启动Windows。OK

2. Acid Battery v1.0
5 e  p9 H  V, f: m+ @9 h' s4 s
清除木马的步骤：
6 \: {. u1 q3 K, _+ r) _2 r0 k" `% s$ D
打开注册表Regedit

; t( j8 r3 x6 |  K/ x点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Explorer ="C:\WINDOWS\expiorer.exe"

# ?( q/ E2 p/ z/ H6 v/ |/ [# t关闭Regedit
7 K7 z4 T7 {# \+ ^* v/ I
重新启动到MSDOS方式
2 `! ]# u- L* t2 a
删除c:\windows\expiorer.exe木马程序

注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。

重新启动。OK
3 d5 n- F+ x# ^
3. Acid Shiver v1.0 + 1.0Mod + lmacid
6 a5 R; S6 _9 H- s4 O9 d9 h
& Y2 p9 T- H5 K$ s4 a4 T清除木马的步骤：
# M6 D; S; J& _$ b9 v6 B
2 u+ q* }1 L0 m. C. O3 l! [重新启动到MSDOS方式
  F9 x' E6 I, N6 o5 P2 H
删除C:\windows\MSGSVR16.EXE
8 O% t" b, t7 N/ q  O/ {% t
然后回到Windows系统
" b$ ~- r$ }+ f. l5 u6 B5 O  i
打开注册表Regedit

; h8 B8 W( @( ]7 @6 ]$ t点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
4 [+ C6 M7 K* m2 h% M
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
1 ^3 g1 F' U7 K% `$ s, G
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
! c/ I  V. G& U2 H' q
关闭Regedit
3 _6 l2 ?# z( d1 D
重新启动。OK

# Z6 p) f% H- F( l2 W1 t3 D重新启动到MSDOS方式

" [! O, O/ \1 h& `6 t! Y6 _8 T6 O删除C:\windows\wintour.exe然后回到Windows系统

打开注册表Regedit

点击目录至：
* d8 ]* ^  D% H, ]! `$ H; C( |: A* ^
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

$ g) {, I/ o1 e删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
+ F4 c: Q) i7 R# N5 p  n7 U
$ F7 N; p3 I) a( wHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

* h, Z1 J$ X& Q+ i- |删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"

关闭Regedit
1 m8 _8 b: M9 ]9 _. }( `
% N4 q! W3 K- i重新启动。OK
& B9 d% ]1 M# }6 H( J0 i
4. Ambush
8 k! m( N8 K! K3 @
2 X" _- z4 @3 H$ M清除木马的步骤：
- M; F* d/ O8 y$ j0 m
5 R$ ^7 f' o( h! ?+ y  Q! D, M- [7 M打开注册表Regedit
9 |. I- k, `2 X4 ^$ A5 g# Q, x* O7 \
- x. z$ M, W: P! U# m* o点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的zka = "zcn32.exe"

5 a3 m6 G5 m3 V) X; ?7 c2 b6 z关闭Regedit
3 K: _2 `2 t! ~! X1 s4 A
+ p" M' ^( w1 r& w$ E0 A  l+ n重新启动到MSDOS方式

删除C:\Windows\ zcn32.exe

重新启动。OK
+ _* a3 n% l7 d, _3 r2 ?
+ c1 M, O. \3 G, F0 V5. AOL Trojan
3 L  a/ ~) }! {  C6 S0 P- M- N
2 f4 g" Z) ?4 w: ~9 g2 |清除木马的步骤：
1 A* Q: Z1 ^2 x! [
. s% {. T) @9 L: j7 Z启动到MSDOS方式
8 |8 u7 C  }: @, V6 j' ]
删除C:\ command.exe（删除前取消文件的隐含属性）

注意：不要删除真的command.com文件。

删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性）
! v2 V0 u; A. g! I3 F  O) ?
删除C:\ windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性）

打开WIN.INI文件
. _, I) Q! }, h& }
在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径，必须清除它们：
1 m8 i2 i6 x1 R6 q5 u6 q; r
run=

load=
, W. R" |1 r" u. n7 \) K% Q( K: m
保存WIN.INI

: C% e- ?, }: i: f* }还要改正注册表Regedit

0 e1 c6 n* e$ E' O3 g点击目录至：

7 m! c2 w0 A9 u" aHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的WinProfile = c:\command.exe

关闭Regedit，重新启动Windows。OK

6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1

" W- h  m* L- _$ e( K清除木马的步骤：

注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。
5 V0 j# v2 Y/ E4 r: a  a1 F# U( P, q/ D
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
5 K: u4 U( q6 Y: Q  K3 D
. s% d: }( u& ?6 ]  A! P1 r打开system.ini文件

在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
4 y" u4 k) c& w3 F
如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。

保存退出system.ini
4 i7 @; ~  O" L
打开win.ini文件
. g2 M; q# Q0 r( v/ c* Y9 {
% h" g8 @' @& F% e在[WINDOWS]下面有个run=
+ A( T( p7 n4 s! R+ |
+ |2 W' A7 M! w/ g" }7 n& q0 p; i如果你看到=后面有路径文件名，必须把它删除。
! R" {# C% O7 }: T
正确的应该是run=后面什么也没有。
% B. |% e3 B" F. U( |& G, @" i, H
=后面的路径文件名就是木马，把它查找出来，删除。

保存退出win.ini。

OK
0 I: R' X" Y2 j* y8 @- M$ E) i( J
7. AttackFTP

清除木马的步骤：
  n0 Z) o% X" C0 i9 E; o$ s) k$ p
打开win.ini文件
( d+ i/ E0 E! e/ ~2 P  B9 S
在[WINDOWS]下面有load=wscan.exe

; a. k' M2 I% M3 D# `; F+ a/ T2 t删除wscan.exe ，正确是load=

5 ^" D; c% i; K9 Z+ T保存退出win.ini。

" l5 d% _/ s$ d' Y- z. o3 g2 i2 }8 P打开注册表Regedit
# V, Q; @  P- D4 C! m
点击目录至：

3 z  k/ J6 ^) N( Z) }" rHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Reminder="wscan.exe /s"

' B) ]' k! P! p# D; |& m关闭Regedit，重新启动到MSDOS系统中
( T9 V: J0 \6 W, C
删除C:\windows\system\ wscan.exe
1 H( I' W# d; x! f9 |
. S# H4 H" Q3 u1 UOK
8 B6 S& _: \* V, e8 @6 p
8. Back Construction 1.0 - 2.5
3 t$ v. x' q3 I5 ~
( [8 F/ k9 _* H' {清除木马的步骤：
5 [- u6 {; e; D8 H$ M4 u
打开注册表Regedit

# Q1 w4 N% B7 r点击目录至：
+ K! k3 R8 s- u
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

' M4 P# U# w) e1 \, w; b删除右边的"C:\WINDOWS\Cmctl32.exe"

" K: N  l& U  [, F+ s7 {6 R关闭Regedit，重新启动到MSDOS系统中
. |0 E* V- q( m; |8 o+ G' e, E
删除C:\WINDOWS\Cmctl32.exe

- ^: s+ ?: t% P5 JOK
7 o: h) Z4 A  p
. S1 N. S' t; ~" |6 i9 k6 c. k# T- i; z4 ^9. BackDoor v2.00 - v2.03

清除木马的步骤：

4 S4 O7 f" p3 ?) z2 A" H: P" {打开注册表Regedit

% x5 s( e# U; X  v/ ]; n点击目录至：

, l4 D, C" b/ k# S7 |HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run