104种清除木马的好方法 3

upring

9 y$ D+ u+ u. w版本1.0
! v& J0 J, s- _8 a& A( U. |9 E# R
7 ~2 U  b3 o, i/ W! f删除右边的项目‘System32‘=c:\windows\system32.exe
' B$ q  u, R& P2 a# m" W+ Q
3 x, X4 p( b1 A版本2.0-3.1
0 K( Z! q4 s" t9 c  @: ]# P8 @
  R9 p3 x! w& w& q# k2 a! n8 M删除右边的项目‘SystemTray‘ = ‘Systray.exe‘
3 ^8 E  N; i, y# x1 G$ x3 G0 W
  r- R0 F4 q' O, D0 Y保存Regedit，重新启动Windows

版本1.0删除c:\windows\system32.exe
3 B" k9 h* X) k9 ?2 v
2 S! I& e/ Z, b* Q3 z, L6 J版本2.0-3.1
8 \. c6 A% g  D& h! z- g
' W! z) W8 d. v* x删除c:\windows\system\systray.exe

! ?  R% `6 m3 o- nＯＫ

$ G/ }) d9 A) E, _9 N9 U2 Y+ {23. Delta Source v0.5 - 0.7
. [) n4 l6 N6 l: \6 o0 |
$ E9 Q" a' y5 ?$ g# X6 b" R清除木马的步骤：
+ q1 J( x: a) u/ n2 x; s$ _
打开注册表Regedit
6 T* m8 f+ u$ v5 l% ]$ s
$ v% |, k6 J8 A  C! y点击目录至：

( a1 N. t) n2 sHKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的项目：DS admin tool = C:\TEMPSERVER.exe

保存Regedit，重新启动Windows

查找到C:\TEMPSERVER.exe，并删除它。

ＯＫ

24. Der Spaeher v3
$ E& Z, A5 B1 s. _. b/ \
清除木马的步骤：
- n0 r$ p0 `/ h$ N5 ]; }* A
打开注册表Regedit
3 L( K' i2 m1 a
点击目录至：
5 i" J+ S) X3 K: b/ b( ]5 h" c
3 u6 l1 R- P; E: DHKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的项目：explore = "c:\windows\system\dkbdll.exe "
$ ]3 k! O* s# b1 l7 V- v
保存Regedit，重新启动Windows

+ B  T9 u% @6 k$ {/ I# D删除c:\windows\system\dkbdll.exe木马文件。

ＯＫ

7 L2 A) ?8 K' c25. Doly v1.1 - v1.7 (SE)

清除木马V1.1-V1.5版本：
) ^5 N! G+ C# Q8 x2 C0 B0 S
这几个木马版本的木马程序放在三处，增加二个注册项目，还增加到Win.ini项目。

9 o! l6 Y$ e6 m0 J8 T: h3 x首先，进入MS-DOS方式，删除三个木马程序，但V1.35版本多一个木马文件mdm.exe。
5 e# B' x/ V# y/ y3 M) E
把下列各项全部删除：
7 w" p8 }& |5 f4 c  a  y
C:\WINDOWS\SYSTEM\tesk.sys

9 A/ d+ ?, k- X2 ~& C6 xC:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe
+ S) s" g& }3 p- p$ Y  f. J0 B
c:\Program Files\MStesk.exe

c:\Program Files\Mdm.exe
3 E4 v. _" {6 f
重新启动Windows。

. t) K& `$ x6 _/ u接着，打开win.ini文件

找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目，删除路径，改变为load=
2 x4 D. n, K/ k2 H0 y$ A+ ^
保存win.ini文件。

- \1 q* A; o( I: _最后，修改注册表Regedit
# P( h" C6 I1 |% l6 w2 Q. l
0 I" _$ a! E  S找到以下两个项目并删除它们

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Ms tesk = "C:\Program Files\MStesk.exe"
# v+ L" ~) c! k$ e0 \, e: ?2 W
- V7 \' j: {6 h9 D+ F8 S) C和
; w! v# f; R) h: ?1 r6 o6 [
HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run

* b8 B  W; i( X5 ^/ uMs tesk = "C:\Program Files\MStesk.exe"

再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss

3 S/ q+ r& i' |; j% C这个组是木马的全部参数选择和设置的服务器，删除这个ss组的全部项目。
0 ^7 a1 o9 i; E& [/ Y# y2 E
关闭保存Regedit。
) J1 f) _) w1 v
* S& y  q+ i+ Q3 _6 l# _还有打开C:\AUTOEXEC.BAT文件，删除

6 y& e. \8 v- T6 X@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Items\

- N& q( i8 ]* d- i/ G9 xdel c:\win.reg
6 W0 ^# g# x. }8 V6 z; e" l$ z
1 m3 @9 d/ {8 u/ F关闭保存autoexec.bat。

ＯＫ
/ P+ [- a/ p* d! ~/ P7 z1 l
清除木马V1.6版本：

该木马运行时，将不能通过98的正常操作关闭，只能RESET键。彻底清除步骤如下：

1．打开控制面板——添加删除程序——删除memory manager 3.0，这就是木马程序，但是它并不会把木马的EXE文件删除掉。

2．用98或DOS启动盘启动（用RESET键）后，转入C:\，编辑AUTOEXEC。BAT，把如下内容删除：
$ N6 b( X7 t, i$ t5 U: x* t/ y( w; `
0 s+ B* |( _' c/ J7 Z@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
8 O, q- n& q; k4 |+ y
/ `8 D) R% w  H+ @" e2 ?$ V  Udel c:\win.reg
$ S1 g7 ?8 h4 b
+ c+ n9 |5 i/ [  i9 i1 p& s保存AUTOEXEC。BAT文件并返回DOS后，在C：\根目录下删除木马文件：
4 |" |7 j7 _; P
del sys.lon
$ h8 x, R/ d# d3 a
# y: w0 {( I2 Ldel windows\startm~1\programs\startup\mdm.exe

" i* a2 q! l' V( vdel progra~1\mdm.exe
+ ^$ b* l8 m% S8 v: }
. Y1 w$ G2 W9 {3．抽出软盘重新启动，进入98后，把c:\program files\目录下的memory manager 目录删除。
6 b. u' a3 l7 k, b) A
+ w1 D3 ], l& ^8 A清除木马V1.7版本：
" E7 j* I- ]3 Y; j
$ v, q  d- a  B" y首先，打开C:\AUTOEXEC.BAT文件，删除

0 f4 e( I! t6 S4 ?  |; H7 Q; f6 Z@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
1 W* F: }$ W4 Y/ ~1 v3 X
; E3 p4 O6 T' h; T- O+ `  [& H- cdel c:\win.reg

关闭保存autoexec.bat
# k4 R. {, z$ V/ r3 L2 T
% _7 T5 u9 t5 ~$ s然后打开注册表Regedit
, X; H0 s+ z( @1 G+ }
点击目录至：

- ~) L9 ~# M0 o/ H" p$ m3 G2 rHKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

  }' J1 M" B5 L: ^# X找到c:\windows\system\mdm.exe路径并删除这个项目

点击目录至：

HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/

找到"C:\windows\system\kernal32.exe"路径并删除这个项目
/ ^/ k* G0 s5 D$ y) ?$ N
关闭保存Regedit。重新启动Windows。
0 }* U9 w2 F2 @
7 A' S/ Z8 Q# T最后，删除以下木马程序：
! P1 ^" n/ V6 h6 ^
* @  t2 B6 J: S' k1 R3 |c:\sys.lon

c:\iecookie.exe
% P+ ^& f' u! [: P  Q
c:\windows\start menu\programs\startup\mdm.exe
; Q3 z9 U( G% w0 N
c:\program files\mdm.exe

; c* e) _8 M1 j, S. ~c:\windows\system\mdm.exe

0 A4 k2 k+ q% A, s7 m7 ?( gc:\windows\system\kernal32.exe

3 A  H1 C  W$ T+ G* P$ q注意：kernal32是Ａ
; R3 A% Z7 Z6 l7 `/ I
ＯＫ
# \  \! h! x; ?( J
" ^9 a; r  r/ o26. Donald Dick v1.52 - 1.55
  ~+ p2 b; W0 O, @& n  |1 }
清除木马V1.52-1.53版本：
3 Q* n& ~4 d3 ~: t
打开注册表Regedit

点击目录至：

* G% ?. c: X3 i! e& y: y( J5 @# K" XHKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\VxD\VMLDIR\

% o% r) b/ i, b% ]1 q. D7 s3 |0 T- A  D删除右边的项目：StaticVxD = "vmldir.vxd"

# h* s, O; A8 _0 r) _8 n! h关闭保存Regedit，重新启动Windows

删除C:\WINDOWS\System\vmldir.vxd

ＯＫ

清除木马V1.54-1.55版本：
/ e) ^6 q+ z$ I! g- ?
4 b& [; d& s7 X2 c+ e! O& U% L这两个版本跟上面的版本只是默认文件名不同，其它都一样，

把vmldir.vxd改为intld.vdx即可。
' i4 u7 @% S  T/ G# D" |
* Y+ N, |- G2 p; {1 M0 M27. Drat v1.0 - 3.0b
* |7 K/ s, c* Y& i1 R
* @" l3 K/ D: i) t+ X/ v3 e& K8 R  z6 Z清除木马的步骤：

# L/ l. f  J  i% j, F3 x打开注册表Regedit
$ a9 F- N8 K' _
点击目录至：hkey_classes_root\exefile\shell\open\command
6 A. }8 L$ |9 c% g; I- \- j
找到@=SHELL32 \"%1\" %*把它更改为@="%1" %*

关闭保存Regedit，重新启动Windows。
5 p/ ?$ k. ^% O2 [
/ q/ L) T$ ?, c& q+ A; ]2 L查找c:\windows\下shell32．＊文件，并删除它。

3 U: Z( k, s1 @  ]/ GＯＫ

28. Eclipse 2000

  S" Z2 V5 X- h: g; c7 ]清除木马的步骤：
: E; i  K" A$ W
3 h* V: r& ?8 Q* k) T6 \! I打开注册表Regedit

点击目录至：
7 N3 e$ @! ^: y- [  b7 I! ]. N+ [$ U
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目：bybt = "c:\windows\system\eclipse2000.exe"

点击目录至：
+ _- D1 U; O7 S  I/ [
( m9 @% G: \3 K3 E% d/ hHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\
1 z" G% N! V% q+ K' K