104种清除木马的好方法 1

upring

很多新手对安全问题了解比较不多，计算机中了特洛伊木马不知道怎么样来清除。虽然现在有很多的清除特洛伊木马的软件，可以自动清除木马。但你不知道木马是怎样在计算机中运行的，如果你看了这篇文章之后，你就会明白一些木马的原理。

1. 冰河v1.1 v2.2

冰河是国产最好的木马
1 c0 c% v+ ^: [+ R
清除木马v1.1
( j' M+ J4 ?  Z' i
7 |' j% X+ @' J: d打开注册表Regedit
; V7 m7 `7 F/ D: n
点击目录至：

; g" a- H2 T5 `! e( pHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

查找以下的两个路径，并删除

* x: M) P4 Z2 v. w2 _" C:\windows\system\ kernel32.exe"

" C:\windows\system\ sysexplr.exe"
  J( Y5 `0 z* Y( l  y. M
关闭Regedit
8 r$ o" t0 i- w+ X4 t. z2 {
$ k$ v9 ?; f3 G/ ]+ t0 P; J6 j重新启动到MSDOS方式
0 S7 r! v+ ]! l
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序
, |9 R" S3 m3 ]: l  {7 B" r
重新启动。OK
) W8 J2 X7 Z8 u9 z3 V. x6 }( y
+ v- Q) y$ G. W) v; b; q3 p清除木马v2.2
. }+ n& U) {) r1 k- p2 |( S4 u
% e$ I. E2 m' n  a3 n服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。

因此，不能明确说明。

+ ~' J( Q, R& J# ]你可以察看注册表，把可疑的文件路径删除。
( j* V; W3 u8 S% {
重新启动到MSDOS方式

  f" b! i4 J- i5 D% L  V, k$ ?6 [$ d$ T删除于注册表相对应的木马程序

重新启动Windows。OK

2. Acid Battery v1.0
$ q/ W* k- Y3 r3 D+ \' t- z% e: v
  W. h) k: I; v  G1 k5 U4 S清除木马的步骤：
; W, `. Y( F) |( j* }  d0 ^
- z6 B& \% O( {& W打开注册表Regedit
$ q4 [: c' h) f7 L- o' E
$ }! I( o' H' a' P% C点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

8 l  {/ v/ d+ @/ X删除右边的Explorer ="C:\WINDOWS\expiorer.exe"
8 p0 w' ?" i! f& p! C7 P) h+ w2 l
. B7 b$ s# m* p( H2 a) L: v关闭Regedit
+ z, [. i+ _7 c5 ]! ]
重新启动到MSDOS方式
: t, d! V, R' O6 B
. B& g9 W: q3 o- I- _! K% L! Y删除c:\windows\expiorer.exe木马程序
5 F) K2 g: o+ }
! z+ `% B- c6 h/ g3 J2 t: O% O, ]注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。

重新启动。OK
0 s2 n! j3 z2 A" s' o- o8 a- ?
1 Q2 U, O3 e$ q! Q+ s; A( `3. Acid Shiver v1.0 + 1.0Mod + lmacid
8 Z+ i4 ~0 _7 t
5 D. f2 c# A: x0 D* e  o清除木马的步骤：

重新启动到MSDOS方式
) I& Q2 p. A$ |. ~) k" D" u
删除C:\windows\MSGSVR16.EXE
. a' t5 g$ l' b+ j5 d6 |
: C1 ^4 O0 V4 \! `6 {" U' ^, j然后回到Windows系统
# Q- e, O( {! ]$ u1 _
9 u2 W2 x$ m3 [0 R打开注册表Regedit

# k1 Z9 m, z% S9 I5 t4 `点击目录至：
0 l, {5 \0 p5 l+ P! `; L& c! V
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

6 L2 w$ F9 n8 }. R3 A删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
& p2 B6 b: Z9 @" ?( b+ E! ~
" R% I. |( S& p4 @/ {HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
, X/ Y5 Q9 J% N( f
- ]! c! ^( i# J  u+ f3 J' E: E删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"

$ m: {. D# A9 k6 z6 l# Y; v" k7 S; N8 h- G* B关闭Regedit
+ _6 S$ E1 Y7 j" v+ T
& U3 _6 l- I2 h6 a重新启动。OK

6 s4 V1 s# `5 P! j. T' [重新启动到MSDOS方式

删除C:\windows\wintour.exe然后回到Windows系统

打开注册表Regedit

. r/ H; R6 g; u0 `8 K点击目录至：
, f, W1 y  z- C
$ g& R# y2 |5 l8 XHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

' O% O# q4 K, F" n删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"

: B7 w5 Y5 m  ]8 Q2 B, zHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

/ T0 }% K! ?( O' W删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
7 \4 |/ N1 ~3 |; N' E5 M3 E
. j- y7 R0 J$ K+ O9 P- R2 O9 A# j关闭Regedit

重新启动。OK
. }0 _# r* Z# J' a9 d
# w9 ]8 Z8 M; x! l3 z4. Ambush
; x" g' x/ N  J
& x' F4 M) y; [清除木马的步骤：
" H8 z. i6 p' X' f8 Z# @" x
% I) V# e& F0 U; t打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的zka = "zcn32.exe"
3 ^" I8 z  ]2 k, A( F" n; X! s0 z
关闭Regedit
/ D; a( x1 }" @* \
/ i# X" s4 Y# a8 m; a重新启动到MSDOS方式
) ?" V5 ]) u+ \" [
删除C:\Windows\ zcn32.exe

重新启动。OK

5. AOL Trojan
" I9 u7 ?3 P# h+ Q
清除木马的步骤：
& N6 Z# T$ W9 Q
启动到MSDOS方式
+ T9 t; y% }# V( {: h4 F
删除C:\ command.exe（删除前取消文件的隐含属性）

1 o. g* m7 v$ U8 X注意：不要删除真的command.com文件。

3 R! F, ~3 A$ a删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性）
0 U; T+ p  S1 ~2 B9 G
4 f& l+ b! r) |, C  H8 k* l删除C:\ windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性）
& e1 X8 c- O) t( q
! s8 ~- j5 m0 ?; F. }$ V; y! A打开WIN.INI文件
8 g) A4 ]  J2 O) d0 w" k8 }
在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径，必须清除它们：
" ?; _4 t$ J" @/ d
run=

% O  G3 y+ l, F+ h6 `& [) N( g2 bload=

0 O' H. A2 P0 [/ ~  K3 \8 y" o" i0 t保存WIN.INI

还要改正注册表Regedit
2 d0 Q4 _$ j, b" g
# x# l/ u4 Q9 z$ J$ l* E3 O6 F点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
; D3 S- w8 Q7 x5 N: E8 f5 R7 s
3 l5 P" `& E  _9 c删除右边的WinProfile = c:\command.exe
/ S; a: U1 N: q+ ?" E; ]; F
: s  o9 h; I, [  W/ l8 h关闭Regedit，重新启动Windows。OK
0 Q  v2 a. M) {# B
5 j8 Z4 s  S  [& d, q8 ?5 q# h6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
& S8 h5 F$ p/ H- [# Z9 a
清除木马的步骤：

3 I6 `* e( l. s/ S. S2 ?( C注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。
" z' o6 c# \2 ^! Q% ^
  Q. D6 e2 e; E" l我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
  V% _" K% v0 \' r' X  P% Y* t
0 w5 r; d$ R- s2 j( p打开system.ini文件

在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
& q- Z9 w" L0 _
如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。

保存退出system.ini

打开win.ini文件
  h/ g  X: J( S, C6 `! `" M) I+ D) l
9 E, @% N" x8 a  _在[WINDOWS]下面有个run=
  l1 z) R1 S$ O$ y7 K
如果你看到=后面有路径文件名，必须把它删除。
( C" h) s* ~& B2 F/ n
正确的应该是run=后面什么也没有。

=后面的路径文件名就是木马，把它查找出来，删除。
) Q& r) O7 @5 U- |9 f
# O: C, s9 S1 K3 F6 V% _保存退出win.ini。

OK
* l: c% ~9 U/ f
# j9 E' j! w0 j4 Y/ T" [) b7. AttackFTP

% |! r0 x9 o- X0 ^清除木马的步骤：

$ o% {/ T5 c9 }1 W/ M$ q打开win.ini文件
$ O# @+ H( [: X* b0 _: ~
9 }) S/ V0 \0 F( C在[WINDOWS]下面有load=wscan.exe

+ v2 Z* y' u$ m2 e2 z5 w. \删除wscan.exe ，正确是load=
! `, R' k, Q0 V, O- `" x1 B
保存退出win.ini。

打开注册表Regedit

点击目录至：
# j3 C! `+ R8 r$ }" Z- G
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
& ]$ X1 t7 \( W& m3 ^4 x
删除右边的Reminder="wscan.exe /s"

0 |" K" G# P  @关闭Regedit，重新启动到MSDOS系统中

删除C:\windows\system\ wscan.exe
8 G( |0 U0 G- e, X9 ^3 U3 X- K& d5 B
OK
- g4 D8 L4 R8 d/ q, y! p. ~# z# F
2 L+ K0 u( |+ v' ~+ N8. Back Construction 1.0 - 2.5
% L! G, e7 O% W$ S
清除木马的步骤：

打开注册表Regedit
- s, _* L! A' M, O5 b- o
点击目录至：
: B! \7 k! K/ M) T6 C( V
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的"C:\WINDOWS\Cmctl32.exe"
1 g- R% [8 w2 `4 ]
关闭Regedit，重新启动到MSDOS系统中

删除C:\WINDOWS\Cmctl32.exe

OK
! f' {8 `1 \3 D$ H' v& k
9. BackDoor v2.00 - v2.03

清除木马的步骤：

打开注册表Regedit

点击目录至：
/ K9 j% ?1 P2 A6 i. z! w
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
: J0 J% _/ X% F4 ^