104种清除木马的好方法 3

upring

版本1.0
& w$ a  Q6 K' L5 S' x
删除右边的项目‘System32‘=c:\windows\system32.exe
4 Z9 B; Y9 |5 l; y
版本2.0-3.1

6 E" j/ D( H+ h  ^! \删除右边的项目‘SystemTray‘ = ‘Systray.exe‘

保存Regedit，重新启动Windows
5 P4 W3 }  n9 s) O' b
. E1 s. b3 d$ ]1 l$ B版本1.0删除c:\windows\system32.exe

0 s  g9 W- X& D; X& q版本2.0-3.1
' C6 V( A7 V9 J$ c$ e
删除c:\windows\system\systray.exe
7 C3 }7 l# Q+ p8 p- h, E: S
ＯＫ

23. Delta Source v0.5 - 0.7
$ N9 x* P4 k# M
3 w5 ~% l" `: M$ o$ y" q% s. z清除木马的步骤：

: T4 s7 p6 g/ Q$ R: l+ Q& |打开注册表Regedit
" l( c1 Y. v* W3 }
点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
$ W9 k# r: H" ^
删除右边的项目：DS admin tool = C:\TEMPSERVER.exe

保存Regedit，重新启动Windows
: D0 |& J1 c  f7 C1 X! l
查找到C:\TEMPSERVER.exe，并删除它。
2 z: H/ y2 |. _) H; z, D& Q
1 `9 s4 N( ~% G" xＯＫ
0 E& j; c# D7 T0 x% x
7 h" i. A. a: {$ C0 W* Z" m24. Der Spaeher v3
3 W$ n# c$ }! \+ }1 ?' j  X
清除木马的步骤：
7 J- B2 R& \" R  }
打开注册表Regedit
% P$ b  c6 j9 E2 H% n  a4 ?$ e
点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

. [* k2 ^) g$ x+ H/ i删除右边的项目：explore = "c:\windows\system\dkbdll.exe "

, p" |8 j! K$ @+ {保存Regedit，重新启动Windows
* u$ F/ T' D0 w4 C2 z. T
删除c:\windows\system\dkbdll.exe木马文件。

, M( u  U1 H% @  Y5 pＯＫ
1 B& f+ d" |& u9 V7 H2 l
25. Doly v1.1 - v1.7 (SE)
8 }6 H. K: {: b3 K5 i8 w; g
清除木马V1.1-V1.5版本：
. e/ P7 B) Y% j7 V! h
这几个木马版本的木马程序放在三处，增加二个注册项目，还增加到Win.ini项目。

首先，进入MS-DOS方式，删除三个木马程序，但V1.35版本多一个木马文件mdm.exe。

$ l6 M  O: G% i) N/ ?6 q7 X把下列各项全部删除：
3 t6 _5 V- r" L
+ x1 m2 M' Y4 q2 Y3 G' ZC:\WINDOWS\SYSTEM\tesk.sys
( N4 j; G( V: G) ~' f( w
* I: C% Q5 e3 C# vC:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe
8 [( R7 \1 t9 U! w3 f
c:\Program Files\MStesk.exe
0 d+ K0 R& g7 q, m7 l  {
% o( J+ R  r' a* Qc:\Program Files\Mdm.exe
' h$ c: d% ?( |5 @! s+ \* @* d
重新启动Windows。

接着，打开win.ini文件
- M3 M& k4 m3 A/ J: a
找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目，删除路径，改变为load=

( Z5 _: T$ }& O- H2 |保存win.ini文件。

最后，修改注册表Regedit
4 K8 A/ |, V0 c8 K% m0 u
找到以下两个项目并删除它们
  l+ K% F# A5 g0 W7 a* o
4 e( e* ^) _  D4 QHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
: L2 x! T3 {4 O* L7 i
Ms tesk = "C:\Program Files\MStesk.exe"

! n( W, v/ K8 P( Y) k8 s! ^) B和
5 e: ^4 w7 V+ O% ?) Z
5 x# ~4 k5 W. O& M& p# xHKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run
6 D& K6 ]& n! C
9 F' x  U6 M2 s. QMs tesk = "C:\Program Files\MStesk.exe"

9 d& N8 S; s' {) R, K再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss

这个组是木马的全部参数选择和设置的服务器，删除这个ss组的全部项目。
% V) }- ~3 n% m2 ?. g! t$ J
关闭保存Regedit。
3 \- h$ E. k) D0 O: e
还有打开C:\AUTOEXEC.BAT文件，删除
: T& c# a: h! x- n0 Q. y
@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Items\

del c:\win.reg
1 T# V) Z9 T" C7 w
+ E  v, ^7 k! j/ c! x" K  _6 P  L关闭保存autoexec.bat。
/ P/ H1 U8 K- l
ＯＫ

清除木马V1.6版本：

, U7 e: g9 m# i' \该木马运行时，将不能通过98的正常操作关闭，只能RESET键。彻底清除步骤如下：
5 T/ s! G, r& q/ m* _2 Y/ G
1．打开控制面板——添加删除程序——删除memory manager 3.0，这就是木马程序，但是它并不会把木马的EXE文件删除掉。
" L9 ^8 c/ a& f! T- y4 ?! E
2．用98或DOS启动盘启动（用RESET键）后，转入C:\，编辑AUTOEXEC。BAT，把如下内容删除：
' i5 T. f( ~) _
7 k$ ^7 P4 R; E2 j( A@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe

del c:\win.reg

保存AUTOEXEC。BAT文件并返回DOS后，在C：\根目录下删除木马文件：

del sys.lon
' H4 Q4 g, q! j1 t$ C+ m
del windows\startm~1\programs\startup\mdm.exe

del progra~1\mdm.exe
# f5 a) F: j7 Z. {
7 ], x( O) s- d5 C1 S" s1 t3．抽出软盘重新启动，进入98后，把c:\program files\目录下的memory manager 目录删除。

清除木马V1.7版本：
1 V2 Z1 J$ l. t9 c
首先，打开C:\AUTOEXEC.BAT文件，删除

. m/ ~# M) J; w$ t+ Z5 U3 c- X0 a@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
! {3 I' F9 M/ ~, @/ E0 R7 m
del c:\win.reg
7 }/ z: H8 v' f8 D6 O
关闭保存autoexec.bat

# L: z! S, \* }然后打开注册表Regedit

点击目录至：
2 h' Q! `% T5 n: x1 I( @
4 ~, x4 V: J2 O* g* \HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

找到c:\windows\system\mdm.exe路径并删除这个项目
2 u6 b( G" f1 d3 K5 l
点击目录至：

/ M2 _% \6 K& K3 p7 SHKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/

找到"C:\windows\system\kernal32.exe"路径并删除这个项目
+ b4 ~. ~- G1 a5 q  p! f: E
关闭保存Regedit。重新启动Windows。

最后，删除以下木马程序：
8 j, F  s0 A; H, `6 b( ~3 u
c:\sys.lon
6 F8 N2 W* S7 R7 ~$ K. C
c:\iecookie.exe

2 Q2 g. a* p0 q/ y2 \# Hc:\windows\start menu\programs\startup\mdm.exe

& {2 ]9 ^2 K+ ?2 ?c:\program files\mdm.exe
% ^7 J* \7 w& n1 c* O8 U( b& l
' Z# _3 i2 ?4 g6 Zc:\windows\system\mdm.exe

c:\windows\system\kernal32.exe
3 }: `: z% x6 l
  V% D( L7 R2 C注意：kernal32是Ａ
* ?" u( h6 i6 P6 [
ＯＫ

26. Donald Dick v1.52 - 1.55
2 P0 B1 A: `; R% A7 P6 ^
( z5 C- i2 [1 h+ ^5 g8 T5 I2 z; E清除木马V1.52-1.53版本：
4 o) h, m. e9 q6 \, g* q! c; Q( B
打开注册表Regedit
9 y2 \. Y' `5 l
. G2 u3 `  \( E$ r1 S点击目录至：

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\VxD\VMLDIR\
: U% [% H: P4 E3 Q. `/ s
' }; c0 O4 W* Z- \8 \) _- Y2 z, C删除右边的项目：StaticVxD = "vmldir.vxd"
  l) N) D; u+ V1 Z4 O, C% N
# c2 {) n; }3 \' l1 i3 g4 w# H7 F6 h+ F关闭保存Regedit，重新启动Windows

  \5 g/ b. ?0 @删除C:\WINDOWS\System\vmldir.vxd
8 r8 Y6 K1 X2 [" w1 B3 P
8 }! i6 o/ v- B  u/ y- m8 o- G! z; [) ]ＯＫ
1 W3 b% c6 P/ j1 g, p5 Y
; d% B0 L7 K! J, q$ h4 u% K# h清除木马V1.54-1.55版本：
0 h! i1 Q$ j1 q; Y1 z
这两个版本跟上面的版本只是默认文件名不同，其它都一样，
3 ~$ }% y6 q+ p
# D- }- G; Z+ [0 a# R  j把vmldir.vxd改为intld.vdx即可。

27. Drat v1.0 - 3.0b

! ]# T0 r  e/ a2 M5 G. u清除木马的步骤：

打开注册表Regedit
5 ^& K/ J0 y0 ^/ |1 m3 Q$ t
/ w7 E6 Z* ~$ ]) ]点击目录至：hkey_classes_root\exefile\shell\open\command
( S3 ?* f( X1 W0 o- H0 ^
找到@=SHELL32 \"%1\" %*把它更改为@="%1" %*
5 d: V& V& z4 m0 h
7 r3 }1 S& N* T关闭保存Regedit，重新启动Windows。
/ C1 m9 h& I% s/ L
) Y4 M$ Q) T/ }8 g/ D* p# ?查找c:\windows\下shell32．＊文件，并删除它。

ＯＫ

28. Eclipse 2000

清除木马的步骤：
" G/ C3 F, j8 Z% @
' b  q9 Y9 Q5 ^打开注册表Regedit
, `7 C( U7 E/ M
  S" G, K2 v- R4 ?  ?; X# {点击目录至：
4 C1 s' N* f+ I7 ~* Q
2 Y' [# \( J) m) _; a+ Z6 b* mHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目：bybt = "c:\windows\system\eclipse2000.exe"
. s# D! w6 X1 F- V  m
, q, i' F2 t7 @& u, a( u3 D点击目录至：

& u4 ~  w4 A4 z' g* l0 o1 KHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\
, H) c: C3 H+ j% J( J