百种木马的清除方法(一)

【 作者：翅膀    来源：IT世界  更新时间：2004-10-19 | 字体：大 中 小】

　　1. 冰河v1.1 v2.2

　　这是国产最好的木马 作者：黄鑫
　　清除木马v1.1
　　打开注册表Regedit
　　点击目录至：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　查找以下的两个路径，并删除
　　" C:\windows\system\ kernel32.exe"
　　" C:\windows\system\ sysexplr.exe"
　　关闭Regedit
　　重新启动到MSDOS方式
　　删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序
　　重新启动。OK

　　清除木马v2.2
　　服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。
　　因此，不能明确说明。
　　你可以察看注册表，把可疑的文件路径删除。
　　重新启动到MSDOS方式
　　删除于注册表相对应的木马程序
　　重新启动Windows。OK

　　2. Acid Battery v1.0

　　清除木马的步骤：
　　打开注册表Regedit
　　点击目录至：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　删除右边的Explorer ="C:\WINDOWS\expiorer.exe"
　　关闭Regedit
　　重新启动到MSDOS方式
　　删除c:\windows\expiorer.exe木马程序
　　注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。
　　重新启动。OK

　　3. Acid Shiver v1.0 + 1.0Mod + lmacid

　　清除木马的步骤：
　　重新启动到MSDOS方式
　　删除C:\windows\MSGSVR16.EXE
　　然后回到Windows系统
　　打开注册表Regedit
　　点击目录至：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
　　删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
　　关闭Regedit
　　重新启动。OK
　　重新启动到MSDOS方式
　　删除C:\windows\wintour.exe然后回到Windows系统
　　打开注册表Regedit
　　点击目录至：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
　　删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
　　关闭Regedit
　　重新启动。OK

　　4. Ambush

　　清除木马的步骤：
　　打开注册表Regedit
　　点击目录至：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
　　删除右边的zka = "zcn32.exe"
　　关闭Regedit
　　重新启动到MSDOS方式
　　删除C:\Windows\ zcn32.exe
　　重新启动。OK

　　5. AOL Trojan

　　清除木马的步骤：
　　启动到MSDOS方式
　　删除C:\ command.exe（删除前取消文件的隐含属性）
　　注意：不要删除真的command.com文件。
　　删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性）
　　删除C:\ windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性）
　　打开WIN.INI文件
　　在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径，必须清除它们：
　　run=
　　load=
　　保存WIN.INI
　　还要改正注册表Regedit
　　点击目录至：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　删除右边的WinProfile = c:\command.exe
　　关闭Regedit，重新启动Windows。
　　OK




　　6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1

　　清除木马的步骤：
　　注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。
　　我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
　　打开system.ini文件
　　在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
　　如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。
　　保存退出system.ini
　　打开win.ini文件
　　在[WINDOWS]下面有个run=
　　如果你看到=后面有路径文件名，必须把它删除。
　　正确的应该是run=后面什么也没有。
　　=后面的路径文件名就是木马，把它查找出来，删除。
　　保存退出win.ini。
　　OK

　　7. AttackFTP

　　清除木马的步骤：
　　打开win.ini文件
　　在[WINDOWS]下面有load=wscan.exe
　　删除wscan.exe ，正确是load=
　　保存退出win.ini。
　　打开注册表Regedit
　　点击目录至：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　删除右边的Reminder="wscan.exe /s"
　　关闭Regedit，重新启动到MSDOS系统中
　　删除C:\windows\system\ wscan.exe
　　OK

　　8. Back Construction 1.0 - 2.5

　　清除木马的步骤：
　　打开注册表Regedit
　　点击目录至：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　删除右边的"C:\WINDOWS\Cmctl32.exe"
　　关闭Regedit，重新启动到MSDOS系统中
　　删除C:\WINDOWS\Cmctl32.exe
　　OK

　　9. BackDoor v2.00 - v2.03

　　清除木马的步骤：
　　打开注册表Regedit
　　点击目录至：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　删除右边的c:\windows\notpa.exe /o=yes
　　关闭Regedit，重新启动到MSDOS系统中
　　删除c:\windows\notpa.exe
　　注意：不要删除真正的notepad.exe笔记本程序
　　ＯＫ

　　10. BF Evolution v5.3.12

　　清除木马的步骤：
　　打开注册表Regedit
　　点击目录至：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　删除右边的(Default)=" "
　　关闭Regedit，再次重新启动计算机。
　　将C:\windows\system\ .exe（空格exe文件）
　　ＯＫ

• 收藏此页到 IE收藏夹 POCO网摘 [365Key] [ViVi] 百度藏搜 和讯网摘 天极网摘 狐摘 向您的朋友推荐此文章
• 转载请注明来源：文章大全 网址：http://www.itlearner.com/article/
• 文章关键词：木马
• 如意搜索搜索更多内容：百种木马的清除方法(一)
• 特别声明： 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系我们，我们会尽快予以更正。

• 上一篇文章：中国黑客超强档案(25)--一个少年黑客的独白
• 下一篇文章：百种木马的清除方法(二)