104种清除木马的好方法 1

upring

很多新手对安全问题了解比较不多，计算机中了特洛伊木马不知道怎么样来清除。虽然现在有很多的清除特洛伊木马的软件，可以自动清除木马。但你不知道木马是怎样在计算机中运行的，如果你看了这篇文章之后，你就会明白一些木马的原理。
; f) i4 v( X( ~6 S' s1 @; o' R
1. 冰河v1.1 v2.2

% V7 Z4 J% v9 y* l1 N0 B冰河是国产最好的木马
$ ^. t9 x3 e3 s* E9 P* z
清除木马v1.1

& H. M) |7 w6 Y4 [( O  n, X/ f; T打开注册表Regedit

' X% [  l$ O3 n' Y点击目录至：

7 M- L2 ~* p+ w0 eHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
" J% w+ f' j) K' Q
+ X0 c/ C: D& a' l2 `查找以下的两个路径，并删除
; V" ~" K  y3 u
" C:\windows\system\ kernel32.exe"
7 z7 Q- \$ ~7 Y( b8 d
" C:\windows\system\ sysexplr.exe"

' A$ i, V' p$ F2 k; k2 b! H" o关闭Regedit

重新启动到MSDOS方式

删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序

/ J6 }  y% b8 \( e重新启动。OK
- N1 a1 |9 f6 e7 |5 J7 f
清除木马v2.2
: e, d' I( ?- E- M
服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。

% \3 ?0 u& ?+ u" e9 D6 N因此，不能明确说明。
: W: C0 H6 p; ~- X6 e' j. m" J4 p
$ y! B7 K7 L4 z1 Z9 c, S) D$ K你可以察看注册表，把可疑的文件路径删除。
1 y0 f3 R% U% B4 ?+ w
7 E" F7 P& s% @$ c; U& g重新启动到MSDOS方式

) m9 Y" t* x; n! S; F/ `删除于注册表相对应的木马程序

6 v9 G2 {' Q: w/ b3 f6 @) q重新启动Windows。OK
! i8 p( S6 M9 I
. |# W& ^$ }% f3 D) v2. Acid Battery v1.0
) {% ]) A  `- q1 A% D4 ^2 Z
清除木马的步骤：

打开注册表Regedit
5 G5 l$ N1 F- I' A
4 h5 T" w% A; P9 r点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Explorer ="C:\WINDOWS\expiorer.exe"

9 m) [$ e0 }: l# v' W9 h2 ^关闭Regedit
7 @" H! k* j& [+ ^- N
3 E. n: X# J3 |5 n8 e1 o! |重新启动到MSDOS方式
- Z' F- f$ F) i# Q
$ E; M9 @; y9 E, M& x2 R( \0 V0 y删除c:\windows\expiorer.exe木马程序
- Y  f$ o9 W3 s  J6 p3 \  T
5 N# ]5 W5 x( T( x# g注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。
7 o" z; w4 K( M, C
重新启动。OK

3. Acid Shiver v1.0 + 1.0Mod + lmacid
  T. s* ?# Z7 s0 W# |/ s; x9 Y
清除木马的步骤：

重新启动到MSDOS方式

删除C:\windows\MSGSVR16.EXE

& U+ Q" V$ a5 A% j2 y/ H然后回到Windows系统
* V: @) o2 `5 [! m$ \
打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
$ b0 \4 g' {' B/ z8 r" J
8 i9 `- w4 ~+ M( d9 ?1 J. G5 _删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"

  v2 V% y" Z: O* }$ c6 \) vHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"

+ ]+ X' z9 D* h' S6 u; ]关闭Regedit

重新启动。OK
. B  M+ `8 I! T- m' X$ e1 G
重新启动到MSDOS方式

删除C:\windows\wintour.exe然后回到Windows系统

+ e6 T. U7 |: v3 r( f打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

; h3 P" I& N3 z0 R& S! {( `, @: S删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
% ?8 J; t0 v6 Y8 u5 ^' a
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"

+ q' z' [# M4 Q; E* l关闭Regedit
) d  B: `8 Y; ]$ U
重新启动。OK

+ w; ~% @# ^( H# `4. Ambush

清除木马的步骤：

: Q3 j1 i0 ~' W! U& t$ R0 Z0 @打开注册表Regedit
% Y0 s# P/ Z/ M! K$ [7 j! m7 ^
点击目录至：
3 j6 P" H1 k% _/ g: O
! e+ c, o1 {& \4 C1 q8 ?& uHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
8 P1 b4 \5 Q, V$ G5 [  r
4 j! L, K& p. }4 b删除右边的zka = "zcn32.exe"
( [$ Y2 s7 V) ?6 M- @1 w9 X. Q
关闭Regedit
- J3 h, ~- p1 [8 b8 j4 ~+ K# @
  S: |% c9 o+ X8 u* p; O& K重新启动到MSDOS方式

删除C:\Windows\ zcn32.exe
4 [' j+ H0 P' G9 x$ Q
1 N! ~' U) R# r- R5 e" _重新启动。OK

- `+ r7 |7 p& C8 i5. AOL Trojan
; g% C4 Q) K1 R( N1 C$ q% P
清除木马的步骤：

启动到MSDOS方式

- ]' t* T3 P7 u7 \. ?2 x删除C:\ command.exe（删除前取消文件的隐含属性）

/ J% p' b' ]1 d9 Z  W注意：不要删除真的command.com文件。

删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性）
* G; B$ e7 ]  y
删除C:\ windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性）
, Y6 t  e2 D( Y$ s- S
6 _& R% b, s. F9 g打开WIN.INI文件

# j  W) S3 C: \7 I# C9 Q6 K在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径，必须清除它们：

  n, [0 o0 z$ G5 qrun=

load=
- F2 O  o9 S4 [, {3 W2 p
; {* E) x$ D" j, ^9 _保存WIN.INI
$ b+ d! s* [! d8 J
还要改正注册表Regedit
/ J& C" `/ Z8 a6 w, K
点击目录至：

/ @: ?* H4 y! j! \6 i$ ]/ e1 bHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

" |! N! P8 B  T6 i1 R. ]删除右边的WinProfile = c:\command.exe
* `, f6 i& D9 V% |6 {
关闭Regedit，重新启动Windows。OK
1 H" S' M1 N: z3 Z4 V; `
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1

清除木马的步骤：

5 t. e/ f$ I/ r1 f# v9 c注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。

我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
3 u* B# E: ~" Y" l
" |* g# }% {* @) m- L打开system.ini文件
% U# f+ _" t! w) K/ H  V& f
在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
2 o* i/ W/ b% M9 o' \
如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。
7 V# Y5 y) ]( d( U8 l
% U3 \) N2 N6 I7 R! J保存退出system.ini

打开win.ini文件

在[WINDOWS]下面有个run=

! q' V: L, T6 P2 U如果你看到=后面有路径文件名，必须把它删除。

正确的应该是run=后面什么也没有。
& q5 {" @" D9 j0 l, t
+ b! q. h4 T) t( @+ j- i1 z# s=后面的路径文件名就是木马，把它查找出来，删除。

保存退出win.ini。
+ K( V: j/ q3 J2 e
OK
; E9 A% B* O8 e7 r0 t
7. AttackFTP
+ J) Q. `  j6 f+ Q" P( R
清除木马的步骤：

打开win.ini文件
+ N/ @4 I$ t3 Z
! q" C! s! k( ?: ^6 g4 l& Z在[WINDOWS]下面有load=wscan.exe
7 B- i" I' ^' K* n. [5 ^; _
6 y; a& T! |2 a/ {. v7 U9 ]删除wscan.exe ，正确是load=
( t' G5 ~: _; N! C7 T4 {" C
$ l+ y# X+ J0 G8 M, Y# L- ^% B0 I' _保存退出win.ini。
- B* Q# g7 a8 U1 I6 K+ t! N9 J/ b
打开注册表Regedit
" k8 ?6 i3 O$ e
点击目录至：
7 l# q: h. K' e  R) }  D
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

* l/ \# e1 e5 z! X" D3 F删除右边的Reminder="wscan.exe /s"
2 j" x: v, ?" B+ l) _( A: Z9 ^
关闭Regedit，重新启动到MSDOS系统中

删除C:\windows\system\ wscan.exe

OK

8. Back Construction 1.0 - 2.5

清除木马的步骤：

打开注册表Regedit
. Z# b2 y5 J) e# {& \
点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2 h: F3 q# o1 ^5 z6 h5 S5 J0 z  R8 S0 p
删除右边的"C:\WINDOWS\Cmctl32.exe"
. d8 L+ X9 A  ~8 E9 F3 N
关闭Regedit，重新启动到MSDOS系统中

+ Z" i/ Z6 M' V0 _+ K. E删除C:\WINDOWS\Cmctl32.exe

$ L' e% F2 }/ c, C5 O* t! ZOK
% l+ k. s  f: l4 R" A; y/ ?; Z
9. BackDoor v2.00 - v2.03
* g/ z( C% t6 |8 ^7 [/ X* R
$ _; T+ U* J- E% s$ u% f) y清除木马的步骤：
$ J5 E9 H# q: }" s! T
打开注册表Regedit
( r) w( L4 ^( `0 k/ b
  {( L7 w! {- l3 \8 i" w点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2 r+ A/ o: }+ ^( i' B+ j