104种清除木马的好方法 3

upring

版本1.0

5 ?6 W9 b! [3 g* I' f7 ], \删除右边的项目‘System32‘=c:\windows\system32.exe
# h* b! ~  {$ _7 o
9 J  A/ q! o+ s! E版本2.0-3.1

删除右边的项目‘SystemTray‘ = ‘Systray.exe‘

3 _; l% t5 B7 y6 Z# E# N- s保存Regedit，重新启动Windows
3 S" x8 T+ K% r# s7 @3 Y- B
4 @4 C$ r# Q6 h' n2 c$ f; K版本1.0删除c:\windows\system32.exe
6 Q$ o& \+ {  _7 J
5 r* C! V( t/ j% S, p版本2.0-3.1
5 P0 o4 M6 n/ m& H+ [0 {
- b6 B( z( O+ }删除c:\windows\system\systray.exe

ＯＫ
6 o( d- Q; w1 s# t1 f
# K: i$ t( ~" h# U23. Delta Source v0.5 - 0.7

. h7 `- r* ~3 \+ S2 Z1 U; j4 }清除木马的步骤：
! A7 J& y3 Y5 U$ l$ w: d& [
打开注册表Regedit
& B4 u/ F7 m1 J3 u4 R
6 I; y/ B# x+ i4 ~点击目录至：
, v* y: ?5 O  ^2 ~3 v! r
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
% j. D( u% X- j4 A( B+ d4 e
删除右边的项目：DS admin tool = C:\TEMPSERVER.exe

保存Regedit，重新启动Windows

* \- e- x  z2 r查找到C:\TEMPSERVER.exe，并删除它。

  Q9 H+ E- G! u+ EＯＫ

24. Der Spaeher v3

清除木马的步骤：

# \4 c' T& e: I: f3 H# G3 ]+ b6 a打开注册表Regedit

# |* e8 [/ E% F$ |/ n  z点击目录至：
, I6 B4 g0 f9 `1 w8 {# F  j- e" }0 y
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
& }  T3 T/ K4 H" M( {! g
删除右边的项目：explore = "c:\windows\system\dkbdll.exe "

保存Regedit，重新启动Windows

; L: C  }6 i: o% x; `& U6 i/ i' U删除c:\windows\system\dkbdll.exe木马文件。

ＯＫ

2 P+ c# v% M8 Y1 s/ [25. Doly v1.1 - v1.7 (SE)

* z; ~$ k7 h. V! f* y8 Y3 f: N! H清除木马V1.1-V1.5版本：
6 \: `6 J4 J- D6 _! m
( W& @% A2 [, A) c* z! W这几个木马版本的木马程序放在三处，增加二个注册项目，还增加到Win.ini项目。
& ]: {# `8 k' ~' G5 d
首先，进入MS-DOS方式，删除三个木马程序，但V1.35版本多一个木马文件mdm.exe。
# b9 u8 P6 U4 t" ]8 J
把下列各项全部删除：

C:\WINDOWS\SYSTEM\tesk.sys

C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe
' Q* U* b& @! P2 B7 f
, j7 o/ a# H: t5 Z: A( A7 N& Kc:\Program Files\MStesk.exe

c:\Program Files\Mdm.exe

( L. H* @0 z/ }+ n& D; l重新启动Windows。
6 P1 V" }% |- S
" p* r% E- N, j* t4 f接着，打开win.ini文件
3 G, D! u5 q( ^
9 f. P  _5 z- i2 N$ @# C9 z& R找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目，删除路径，改变为load=
" O* u! l6 J/ D
, j! |4 W  y1 C. {& p保存win.ini文件。
" K/ I7 J2 F5 I# |$ P/ L2 `/ H
, j4 r& q% j7 R* H最后，修改注册表Regedit

- C* @- L8 X8 ]5 B9 Y6 R找到以下两个项目并删除它们

9 E( L! u6 I& ?9 c; e/ iHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- ?; x9 n4 x, H/ p; o0 P8 V
) a+ E4 n+ f) s8 O5 M3 }Ms tesk = "C:\Program Files\MStesk.exe"

7 K. j; u, W1 A, h和
$ g5 M$ A$ N! A0 O9 u
HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run

0 f5 \0 o4 B* [, S5 ^5 L& GMs tesk = "C:\Program Files\MStesk.exe"
+ x8 {4 C. Q% u* j7 ~8 W8 P
$ P$ B6 @4 m& _+ v7 f% D7 F再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss
6 j" r8 M3 u9 g8 a
这个组是木马的全部参数选择和设置的服务器，删除这个ss组的全部项目。
% P2 E( X+ V, C- a! f
4 ^* {9 F. S, `0 T/ t; a5 P关闭保存Regedit。
5 u9 m7 u) E; F' |5 C
还有打开C:\AUTOEXEC.BAT文件，删除
* R5 {6 o9 B) I9 ~7 D
@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Items\

del c:\win.reg
4 l* ^( Z; E& z; H
; \$ K6 Y6 ~1 ]! v* U6 R关闭保存autoexec.bat。
5 P$ y9 B" L' B' y, A
# F4 ^! S" P1 n! _: rＯＫ

- j8 i6 _  V2 B1 ^' H清除木马V1.6版本：

: ~2 a, s6 T% D该木马运行时，将不能通过98的正常操作关闭，只能RESET键。彻底清除步骤如下：
2 Q1 ^7 K; A+ c
7 L* O+ l$ k) c1．打开控制面板——添加删除程序——删除memory manager 3.0，这就是木马程序，但是它并不会把木马的EXE文件删除掉。
' w- v' }( N3 U$ J0 G
4 v2 n, F2 o8 b4 ]/ @/ E3 y6 g2．用98或DOS启动盘启动（用RESET键）后，转入C:\，编辑AUTOEXEC。BAT，把如下内容删除：

@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe

del c:\win.reg
7 F* R( |/ X0 r' S
保存AUTOEXEC。BAT文件并返回DOS后，在C：\根目录下删除木马文件：

del sys.lon

del windows\startm~1\programs\startup\mdm.exe
# S2 ?/ f7 N  E) T# K
" i. {' D1 F' Z) O3 Tdel progra~1\mdm.exe
4 [2 f2 `& Y- P
3．抽出软盘重新启动，进入98后，把c:\program files\目录下的memory manager 目录删除。

2 W% r/ I8 B2 h/ _( l! P3 z清除木马V1.7版本：

首先，打开C:\AUTOEXEC.BAT文件，删除
8 K1 |4 b8 G5 ?3 g0 J0 Z" H
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe

/ N8 d# f  j, R8 R2 c( [% Gdel c:\win.reg
+ L* _+ L  P- q+ I
4 A# t. q. w2 j( a6 {3 Q关闭保存autoexec.bat
9 h' g  ~7 K8 C8 R
; y9 y: R' }6 a8 M然后打开注册表Regedit

; X5 U5 s2 }, L# q点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

+ E8 t- m% `4 s+ I2 X3 g2 J' h找到c:\windows\system\mdm.exe路径并删除这个项目
" d+ Q* {* W1 D- y. ~& L& M
5 }/ P: n- ]8 u; a. q( F5 _' {点击目录至：

5 y$ P( o4 j, Q( L% HHKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/

; S, Y, c4 Z- l) C0 @: L找到"C:\windows\system\kernal32.exe"路径并删除这个项目

3 I' ^0 n3 }1 h; s+ M- C/ [关闭保存Regedit。重新启动Windows。
7 K  O4 ^1 c- I  \  D
" l: X" n2 {6 M- q8 T4 z最后，删除以下木马程序：
8 d- N, `* Y5 o5 M; T
c:\sys.lon

1 c4 F" l2 j: f. J9 kc:\iecookie.exe
& [+ D1 n3 l$ D+ |* |
c:\windows\start menu\programs\startup\mdm.exe
' |2 |. _2 X7 ^8 M9 c  t
c:\program files\mdm.exe

. c7 g$ A* S4 ^1 Cc:\windows\system\mdm.exe

c:\windows\system\kernal32.exe
: G& F& y# a7 E( R6 j7 Q
7 |+ [; V( _4 R$ J2 ~4 q! h注意：kernal32是Ａ

$ p5 M$ d5 N% \7 eＯＫ

26. Donald Dick v1.52 - 1.55
; E0 }9 X: U6 F3 v% Q
清除木马V1.52-1.53版本：

打开注册表Regedit

点击目录至：
4 \& C5 w/ l' M$ f
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\VxD\VMLDIR\

删除右边的项目：StaticVxD = "vmldir.vxd"
8 L9 [8 S. V7 a! P, C! t% j' Y7 n$ X1 Y
4 r# i  k+ P2 N* \8 a, A+ W' S' J关闭保存Regedit，重新启动Windows
+ \6 Y3 k( p3 O# E5 O3 P6 Y
2 }% |9 L+ X& E2 X1 Y: x9 T1 P" Z删除C:\WINDOWS\System\vmldir.vxd

6 g* i7 n0 X3 m6 y1 [ＯＫ
  Q# m4 {: q1 a3 p
/ F* f# E6 M6 T" q+ c) O清除木马V1.54-1.55版本：

这两个版本跟上面的版本只是默认文件名不同，其它都一样，

, m" p% [: m2 Y: L把vmldir.vxd改为intld.vdx即可。
% h2 _) @, h; i. r4 q% @( M/ o) Y
27. Drat v1.0 - 3.0b

; P& k; P4 Z7 @+ J  |清除木马的步骤：
* m) a* @% W0 `/ S" Z
打开注册表Regedit
; [) t9 r9 Q0 a' P; R5 ?
; h; g5 A1 }" E2 |; P5 @9 x% A点击目录至：hkey_classes_root\exefile\shell\open\command
$ G0 U+ a, D3 K5 f0 n
找到@=SHELL32 \"%1\" %*把它更改为@="%1" %*

关闭保存Regedit，重新启动Windows。

/ ]! ^5 V+ u( ?查找c:\windows\下shell32．＊文件，并删除它。
- \% z2 {) T6 M' e, {* S
ＯＫ
' k7 T5 V/ J. e  |  [7 C
28. Eclipse 2000

# c" c1 t1 s, z$ S( Y清除木马的步骤：
- H, K; Y! Z9 y; N- m5 B
打开注册表Regedit
2 o1 t, W1 I0 G- G( B
( i. G/ ^% |* y% T$ @点击目录至：
/ m* u  e& k0 ]. U
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
8 [2 u, `% V  o3 U5 \
6 M: O4 _$ q8 A8 [" d( q删除右边的项目：bybt = "c:\windows\system\eclipse2000.exe"

点击目录至：
. F+ K; ~  G' K- F
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\

/ o' j! }, l0 P# T1 R