104种清除木马的好方法 1

upring

很多新手对安全问题了解比较不多，计算机中了特洛伊木马不知道怎么样来清除。虽然现在有很多的清除特洛伊木马的软件，可以自动清除木马。但你不知道木马是怎样在计算机中运行的，如果你看了这篇文章之后，你就会明白一些木马的原理。

1. 冰河v1.1 v2.2
! \' S" d* {* _5 D+ M' `7 c8 C
冰河是国产最好的木马
4 c3 O. I4 P5 ~( O! z0 i+ }# S# W
清除木马v1.1
) R+ Q  Y0 u/ m+ I6 F5 I
打开注册表Regedit
. m& c7 D. x% E/ k! D* A- |
点击目录至：

0 I$ f9 T( Z, jHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
# i" f+ r% d% C* |* F
$ i- b2 r0 R+ b: i3 U6 T* ~查找以下的两个路径，并删除

" C:\windows\system\ kernel32.exe"

3 E4 i- f. u/ Z, H( s4 m0 H" C:\windows\system\ sysexplr.exe"
& o, t# `; q8 ?8 Y7 D
0 y+ a8 `( n( K" _关闭Regedit

/ l1 ~0 W' _" w重新启动到MSDOS方式

& D9 n' ]' u: \: d, Z$ B删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序

- _) u! ]# _! f重新启动。OK

1 n8 x7 F/ t( ?清除木马v2.2

服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。
) l0 G+ G! Z; {) g) E9 w! b
因此，不能明确说明。

# L# {! W- j' f- L你可以察看注册表，把可疑的文件路径删除。
" K7 ^% z4 U% y' U
, I$ g$ C0 n' {重新启动到MSDOS方式

删除于注册表相对应的木马程序

5 i9 N4 S: F! E+ k重新启动Windows。OK
; K$ ~8 Q- X& j4 D% H( @" E- X/ A
' s; H: I* j1 z+ \2. Acid Battery v1.0

& j: P- j5 V' T5 o清除木马的步骤：
- y# U! W# W5 }6 y+ f
打开注册表Regedit
3 @( J! X) K" G
点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
' g1 m! k: G% H& K
删除右边的Explorer ="C:\WINDOWS\expiorer.exe"

关闭Regedit

/ k8 V; x- S- h. H  B1 }重新启动到MSDOS方式
. m; A5 T5 Q- A4 N% h
删除c:\windows\expiorer.exe木马程序
2 \2 O7 g/ Y5 H' ~
/ t+ ]1 n4 \/ H3 I% R注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。

重新启动。OK

# Q2 L+ K3 @2 J# y9 l3. Acid Shiver v1.0 + 1.0Mod + lmacid

清除木马的步骤：
% U/ P6 F/ S$ `$ T4 D* l1 n3 `
, K; ?9 W: w0 \8 X" L重新启动到MSDOS方式
; p6 \0 N! j* a+ s4 w5 s/ x/ g
删除C:\windows\MSGSVR16.EXE
) l% U0 y, z5 A$ M
+ H9 z$ d! s6 g- E* u( x然后回到Windows系统
. {  G( j+ h4 Q1 @6 C) D
6 D& U9 [0 u: f% W. X  j打开注册表Regedit

9 s2 P; p. o' s& B点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
6 e4 U" `& K; p9 C- C
$ E, E! [9 R5 D+ X删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
* }% {* n: |0 _9 q$ F9 K. X
" Y2 f  a3 Z9 U  q% @  x关闭Regedit
; a+ `0 S& y( ^6 ]0 M: @8 L
重新启动。OK
6 b; T! O& {  f- n
重新启动到MSDOS方式

删除C:\windows\wintour.exe然后回到Windows系统
# }1 J. P* a, n. J
打开注册表Regedit

; \8 V" l7 Z2 E$ L. y点击目录至：
$ A5 a0 _& b+ ~9 P/ Y2 L
' I# @7 c; W' B- q2 U- p6 _HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
! E5 v: @" x8 d% V5 D5 i  [4 Y
% F  f$ J5 f/ C# `# c删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
& ]0 N3 h* Y0 r1 _8 ?' n, r9 L: C" ^
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"

2 O1 g5 Q; D. k/ j! L, o1 j关闭Regedit
* M/ w6 [; _% q% R3 _/ u
重新启动。OK

& C& E0 L: G. S6 W' D" M4. Ambush
9 P9 K' D+ G6 o* _, r% d8 H! {
清除木马的步骤：
. l8 V$ `$ A5 g3 g% T9 k0 x
打开注册表Regedit
  m5 k! A: C0 q7 p3 \7 w
点击目录至：

+ P* u; _% }% R* kHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的zka = "zcn32.exe"
* B+ P8 N! F8 p3 C
关闭Regedit
# F0 T5 {) F8 G3 B, o! C8 v# E" t, |
重新启动到MSDOS方式

% ]! m8 Z. O. J; E  D& L删除C:\Windows\ zcn32.exe
( p. V# i6 n6 A  G4 r5 l
重新启动。OK
' X: [/ L( t; Z; V* O7 p4 L8 v" Z
) y3 [' P4 A  p+ L2 K( A5. AOL Trojan
( I2 K$ O( U0 w7 _0 ^- j+ T
0 |# d3 S! n9 s* K6 q. W/ ^( i* J清除木马的步骤：

启动到MSDOS方式
3 h+ V! ~8 Y8 ]4 q1 ~
1 V3 f5 n. \$ W' G; R删除C:\ command.exe（删除前取消文件的隐含属性）

注意：不要删除真的command.com文件。
; ]- c1 f+ l4 Z: v0 Y, g8 `
删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性）
2 }% z, \  ~( o" h" ]7 O3 U
删除C:\ windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性）
0 |. C8 q7 v: {+ l9 O# I
. Z( S5 P0 G( ]  O  U5 j打开WIN.INI文件
! S0 d& g) B! c) T8 ~) K5 ~) ]
在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径，必须清除它们：
7 Q/ e# {# g, C: X1 O
run=

# @- F# G0 ^: S4 U, B; j$ h/ R: Zload=

保存WIN.INI
2 w1 Y5 m0 Q2 o. A- a
! O; d: @  r1 g2 N# M+ \还要改正注册表Regedit

: w7 N7 Z/ t6 M' z5 f; N3 ~. \点击目录至：

3 P  h; g" h$ HHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

" U  D8 Y2 g" |9 {. ?删除右边的WinProfile = c:\command.exe
7 a0 k, M+ f( h  w: h
  c; [. A# w' B3 A/ p: \/ w关闭Regedit，重新启动Windows。OK

6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1

清除木马的步骤：
& M+ ~# e: m3 l: m& ?
注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。

' a' e% t7 z( ^0 J7 n我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。

打开system.ini文件
" R* {/ V0 C% A" v' R
在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe

如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。

0 m5 f1 K  o7 o6 |) @9 ]  g. [) W保存退出system.ini
4 }# z3 M% Z# u0 b
打开win.ini文件

在[WINDOWS]下面有个run=
, ], z9 E3 V% M+ ]' O
: |: o9 q. l$ o( @9 ]$ q; Q如果你看到=后面有路径文件名，必须把它删除。
* e- V! H: r/ J) Z, [
正确的应该是run=后面什么也没有。

  `& [: C  a% M% E8 D=后面的路径文件名就是木马，把它查找出来，删除。

保存退出win.ini。
: H4 H8 Q# i7 M& q( P9 h3 l
OK
* X* U, E6 k# b6 q
7. AttackFTP
8 e. E6 x3 r. _" H, g, @+ W6 ?
清除木马的步骤：

7 X0 @! l9 m1 j6 ^+ u# l0 T1 T打开win.ini文件

& {. b0 d6 N9 s( w1 W3 w在[WINDOWS]下面有load=wscan.exe

删除wscan.exe ，正确是load=
' G8 }9 @, ]) @. ^* R& D0 n
保存退出win.ini。

; }! y- M  P5 y* D1 `打开注册表Regedit

点击目录至：

) A6 [$ a6 E* ^/ j- R5 p3 jHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Reminder="wscan.exe /s"

& r% b: v  k. T; n3 q关闭Regedit，重新启动到MSDOS系统中
0 ~: B) k( S: V/ a- T( c
删除C:\windows\system\ wscan.exe

4 ^/ E% b4 d. S1 NOK

  C, U/ X& b! q$ f  a2 m" q8. Back Construction 1.0 - 2.5
% u- x- O% G. }; T
清除木马的步骤：

% u3 D, \# Y1 ^' B& t6 a; e. j打开注册表Regedit
0 A7 D: b" F) U# ]
点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4 B4 q0 K' I+ t* s删除右边的"C:\WINDOWS\Cmctl32.exe"

* Q1 R: l+ d+ ]" D关闭Regedit，重新启动到MSDOS系统中
* Q6 A) {% l* v3 ^2 M6 y; T
$ E+ y, r/ d7 C6 r8 j% G( x7 U删除C:\WINDOWS\Cmctl32.exe
, b  F1 a* H/ k4 n2 }: g& Z
OK
, x7 j+ F: G' E* [
, d. m7 d5 }3 v& R) g3 W# s' Y) @9. BackDoor v2.00 - v2.03

( {7 z$ g1 P) d( N5 @) m清除木马的步骤：

打开注册表Regedit
$ n% X0 y/ \, f1 S1 ?4 t
点击目录至：

/ O/ ]0 X( t, Q3 J: X! x( u# jHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
$ Q* j: F3 F7 r7 m% ?* X