查看: 992|回復: 8

100种木马的手工清除方法(1)

233 主題	8 好友	1759 積分

大學生

Rank: 6 Rank: 6

TA的每日心情

	開心 2024-9-19 13:50

簽到天數: 371 天

[LV.9]以壇為家II

推廣值: 0
貢獻值: 343
金錢: 315
威望: 1759
主題: 233

發消息

樓主

發表於 2012-1-14 16:53:11

有很多新手对安全问题了解比较不多，计算机种了特洛伊木马不知道怎么样来清除。虽然现在有很多的清除特洛伊木马的软件，可以自动清除木马。但你不知道木马是怎样在计算机中运行的，如果你看了这篇文章之后，你就会明白一些木马的原理。虽然收集了很多木马的资料，但我也不能保证全部正确。
如果热心的网友有木马的资料，可以发对本站。谢谢大家的支持。
1. 冰河v1.1 v2.2 这是国产最好的木马
清除木马v1.1 打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 查找以下的两个路径，并删除 \"
C:\\windows\\system\\ kernel32.exe\" \" C:\\windows\\system\\ sysexplr.exe\" 关闭Regedit
重新启动到MSDOS方式删除C:\\windows\\system\\ kernel32.exe和C:\\windows\\system\\
sysexplr.exe木马程序重新启动。OK
清除木马v2.2 服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。因此，不能明确说明。你可以察看注册表，把可疑的文件路径删除。
重新启动到MSDOS方式删除于注册表相对应的木马程序重新启动Windows。OK
2. Acid Battery v1.0 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 删除右边的Explorer
=\"C:\\WINDOWS\\expiorer.exe\" 关闭Regedit 重新启动到MSDOS方式删除c:\\windows\\expiorer.exe木马程序
注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。重新启动。OK
3. Acid Shiver v1.0 + 1.0Mod + lmacid 清除木马的步骤：重新启动到MSDOS方式
删除C:\\windows\\MSGSVR16.EXE 然后回到Windows系统打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 删除右边的Explorer =
\"C:\\WINDOWS\\MSGSVR16.EXE\"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
删除右边的Explorer = \"C:\\WINDOWS\\MSGSVR16.EXE\" 关闭Regedit 重新启动。OK 重新启动到MSDOS方式
删除C:\\windows\\wintour.exe然后回到Windows系统打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 删除右边的Wintour =
\"C:\\WINDOWS\\WINTOUR.EXE\"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
删除右边的Wintour = \"C:\\WINDOWS\\WINTOUR.EXE\" 关闭Regedit 重新启动。OK
4. Ambush 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ 删除右边的zka =
\"zcn32.exe\" 关闭Regedit 重新启动到MSDOS方式删除C:\\Windows\\ zcn32.exe 重新启动。OK
5. AOL Trojan 清除木马的步骤：启动到MSDOS方式删除C:\\ command.exe（删除前取消文件的隐含属性）
注意：不要删除真的command.com文件。删除C:\\ americ~1.0\\buddyl~1.exe（删除前取消文件的隐含属性）删除C:\\
windows\\system\\norton~1\\regist~1.exe（删除前取消文件的隐含属性）打开WIN.INI文件
在[WINDOWS]下面\"run=\"和\"load=\"都加载者特洛伊木马程序的路径，必须清除它们： run= load= 保存WIN.INI
还要改正注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 删除右边的WinProfile
= c:\\command.exe 关闭Regedit，重新启动Windows。OK
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1 清除木马的步骤：
注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件在[BOOT]下面有个\"shell=文件名\"。正确的文件名是explorer.exe
如果不是\"explorer.exe\"，那么那个文件就是木马程序，把它查找出来，删除。保存退出system.ini 打开win.ini文件
在[WINDOWS]下面有个run= 如果你看到=后面有路径文件名，必须把它删除。正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马，把它查找出来，删除。保存退出win.ini。 OK
7. AttackFTP 清除木马的步骤：打开win.ini文件在[WINDOWS]下面有load=wscan.exe 删除wscan.exe
，正确是load= 保存退出
开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
删除右边的Reminder=\"wscan.exe /s\" 关闭Regedit，重新启动到MSDOS系统中删除C:\\windows\\system\\
wscan.exe OK
8. Back Construction 1.0 - 2.5 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
删除右边的\"C:\\WINDOWS\\Cmctl32.exe\" 关闭Regedit，重新启动到MSDOS系统中删除C:\\WINDOWS\\Cmctl32.exe OK
9. BackDoor v2.00 - v2.03 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
删除右边的'c:\\windows\\notpa.exe /o=yes' 关闭Regedit，重新启动到MSDOS系统中
删除c:\\windows\\notpa.exe 注意：不要删除真正的notepad.exe笔记本程序ＯＫ
10. BF Evolution v5.3.12 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
删除右边的(Default)=\" \" 关闭Regedit，再次重新启动计算机。将C:\\windows\\system\\ .exe（空格exe文件）ＯＫ
11. BioNet v0.84 - 0.92 + 2.21 0.8X版本是运行在Win95/98 0.9X以上版本有运行在Win95/98
和WinNT上两个软件客户－服务器协议是一样的，因而NT客户能黑95/98被感染的机器，和Win95/98客户能黑 NT被感染的系统完全一样。
清除木马的步骤：首先准备一张98的启动盘，用它启动后，进入c:\\windows目录下，用attrib libupd~1. exe -h
命令让木马程序可见，然后删除它。抽出软盘后重新启动，进入98下，在注册表里找到：
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
的子键WinLibUpdate = \"c:\\windows\\libupdate.exe -hide\" 将此子键删除。
12. Bla v1.0 - 5.03 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 删除右边的Systemdoor
= \"C:\\WINDOWS\\System\\mprdll.exe\" 关闭Regedit，重新启动计算机。
查找到C:\\WINDOWS\\System\\mprdll.exe和 C:\\WINDOWS\\system\\rundll.exe
注意：不要删除C:\\WINDOWS\\RUNDLL.EXE正确文件。并删除两个文件。