104种清除木马的好方法 1

upring

很多新手对安全问题了解比较不多，计算机中了特洛伊木马不知道怎么样来清除。虽然现在有很多的清除特洛伊木马的软件，可以自动清除木马。但你不知道木马是怎样在计算机中运行的，如果你看了这篇文章之后，你就会明白一些木马的原理。

1. 冰河v1.1 v2.2

; s7 z& y+ r4 F$ A  n冰河是国产最好的木马

清除木马v1.1

3 M% {6 j  E2 Z' w9 M7 E打开注册表Regedit

+ c7 P3 b9 I0 U4 i% u3 n点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4 k3 d2 B: c% [) v5 e
4 M5 g8 C3 H6 X! F查找以下的两个路径，并删除

" i) t5 W6 W' |8 U! f7 W" C:\windows\system\ kernel32.exe"
/ i1 h# j, `3 }! C- o
" C:\windows\system\ sysexplr.exe"

关闭Regedit

重新启动到MSDOS方式
$ A/ O  Z# B/ J& E4 N
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序
5 g& o$ L5 W9 }6 M$ k- ?. S
重新启动。OK

清除木马v2.2

# _5 n1 c0 }: t8 k+ F; D+ V+ @服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。

因此，不能明确说明。

你可以察看注册表，把可疑的文件路径删除。
5 v2 a7 H& j" h9 n0 T4 j6 ?9 w
( C6 n( G4 |2 U7 i; m重新启动到MSDOS方式

) e( {0 m$ U- [" [删除于注册表相对应的木马程序

重新启动Windows。OK
% l* m; _  E5 X9 e$ a1 A. H5 E! L
2. Acid Battery v1.0
- G; p( s) {. n* ?- p
! y: C$ M- O0 @( X& U" R清除木马的步骤：

打开注册表Regedit

点击目录至：
+ k& U* R* R% M' @, A
" k/ {' M4 |9 j6 w2 EHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
# ?% i; P$ l, E  k/ e6 U* p
删除右边的Explorer ="C:\WINDOWS\expiorer.exe"
( G3 Y6 g! r1 R, z' ~7 I! n* W1 [
关闭Regedit

重新启动到MSDOS方式

2 P4 r( O$ a. w6 [删除c:\windows\expiorer.exe木马程序
) w8 }0 J. s5 D$ u4 x' Z
注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。

, w0 u' B2 K$ h重新启动。OK
6 \" U9 Y* m* k! L' p9 F
3 a8 q: [/ y$ v7 m1 y2 x& G+ r3. Acid Shiver v1.0 + 1.0Mod + lmacid

  }/ G5 ]- V- w! f& T2 V+ h8 Q清除木马的步骤：
" T( B! \1 b& _% s' Q% g" Q) a9 Q
5 i2 V" d: x' Q重新启动到MSDOS方式

删除C:\windows\MSGSVR16.EXE
& x- \, h5 {: p3 q' J; \% v' @
, z, _; c) Q0 p0 Q; H然后回到Windows系统

. X* w( g0 I6 {7 H$ Y/ x" P打开注册表Regedit
! D: N( }5 a, O4 I) s
点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"

* ]/ s5 N8 b. {3 l, d, i# d: sHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
* ^% O8 _0 g, Y3 H$ c1 e' T. O
2 D" G+ @) R: s6 C) `删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
3 N- Z+ E8 _% i9 f+ x. b
& [% u0 P# E* M2 e5 M- y/ p# f关闭Regedit
( A8 U4 q6 b7 d4 c
重新启动。OK

重新启动到MSDOS方式
: V) h" j# b* ~0 M
$ z. ?) r2 u9 Y删除C:\windows\wintour.exe然后回到Windows系统

打开注册表Regedit
8 B2 m: y0 P0 [1 @* J! i
点击目录至：
& w* F6 M( T8 H2 N8 W5 Q
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
1 x+ F- t1 R1 L* q  O# @7 b
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"

6 X5 [$ o% h, \. C/ J0 n: CHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
# _: N5 j+ P' y; R- C
6 O+ P9 L' T$ T& V2 p; M' @删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"

* z( M6 R4 i4 B2 ^4 W2 F+ a+ U$ c" r关闭Regedit

. Y5 m% A# D. e3 a; G2 j1 ~" F重新启动。OK

* T* Z$ z' D. z3 q8 N6 P0 ]4. Ambush
; z. F7 P' m1 n9 ]% L% p8 B9 i4 p
6 M8 R- Q2 s  O4 [1 Q/ T清除木马的步骤：
# W" U4 A! U$ \3 u
打开注册表Regedit
2 X0 E1 ?$ {8 S% _; U
/ r" F5 w: J8 r* O点击目录至：
$ [5 u& J4 w' A6 c& M
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的zka = "zcn32.exe"
" u7 x% q( X4 J& r( T
0 F3 O. W: j+ R关闭Regedit
3 F( S3 {$ J* M# \" c( I
重新启动到MSDOS方式
# v' g5 S& a5 q& z7 ?
删除C:\Windows\ zcn32.exe

重新启动。OK

& K" e9 `9 S5 e; K+ L5. AOL Trojan
9 U6 B1 D/ [$ o" j% T9 U
清除木马的步骤：

% L5 N& H8 M0 l6 Y! r2 b. T启动到MSDOS方式
9 c1 G9 ]+ x. l  \8 @. _# K
/ k% \9 q- X+ B6 o5 N删除C:\ command.exe（删除前取消文件的隐含属性）
$ ?9 o& R  I, G6 m* H0 _
注意：不要删除真的command.com文件。

删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性）

删除C:\ windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性）
2 v: D# F+ n: s4 P3 \
# t. i/ d% t$ @9 g打开WIN.INI文件
. c" K0 {! F) P0 P
; J/ F0 _  P3 v8 Q) {在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径，必须清除它们：
% `( Q- r* l" H. ~0 A2 E
run=

load=
( A* s- P3 d+ Z
保存WIN.INI

还要改正注册表Regedit
2 L2 S* ^) ?# H6 d9 B, k
! h7 B9 }/ V) z# Y. ^点击目录至：
8 v: \/ N6 r+ v7 Y  V9 {
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
' z2 T, |2 I* u: j
/ p' @9 N" p5 n( A: t( U/ y3 t删除右边的WinProfile = c:\command.exe

关闭Regedit，重新启动Windows。OK
) G- T! Q, Y; N% J# }$ s, J
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1

- X2 `  v8 F4 ^清除木马的步骤：
' h! k4 x. b5 T. ]% I, n+ q
) B# |# t0 K% Y注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。

+ O) v8 ^3 S% O- ^' r, l我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。

打开system.ini文件
  Z( i" }% C: b0 j; c
在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe

如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。
( B4 ]: F5 d3 S/ x7 `+ h1 Q; k; p6 Q
保存退出system.ini
3 R; a) S9 T+ y, Z  u. A
( A$ w1 X4 [. y$ [4 ^4 F7 @6 J. M8 J打开win.ini文件

- s  L, E2 j7 B! z在[WINDOWS]下面有个run=
. ?$ T) ~- N% z
7 O: O& k$ w) _! J如果你看到=后面有路径文件名，必须把它删除。
0 J, l# s1 G  _3 {* _4 m7 @2 Q
( i0 Q+ G6 P3 g- z% i  A) s正确的应该是run=后面什么也没有。
3 t0 v% c" X8 S
=后面的路径文件名就是木马，把它查找出来，删除。

保存退出win.ini。
% S1 ?; e6 ]$ [% q8 L
' P$ {- V3 q. b' |6 {OK

7. AttackFTP
) i# _2 y$ L- `8 t
清除木马的步骤：
8 j! U+ G2 Z! ?
打开win.ini文件

在[WINDOWS]下面有load=wscan.exe

删除wscan.exe ，正确是load=
' L5 t& E* m$ T5 m$ q: C3 F
. Q' ]; X7 m  [' ^# C保存退出win.ini。
& ^( r7 a3 g/ T. M' v, Q
打开注册表Regedit

点击目录至：
4 ?4 f7 Q2 m) S
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Reminder="wscan.exe /s"
6 B7 H7 F3 }+ p- P4 K5 r, `
关闭Regedit，重新启动到MSDOS系统中
$ h& \9 z+ I- Z  s2 M4 T
, l3 m8 X& ^4 H$ y# @  q删除C:\windows\system\ wscan.exe
* r, m0 z6 n  i8 M1 ~
OK
( J+ T) d% q. w  \+ G# r
8. Back Construction 1.0 - 2.5
4 m4 @) |' l7 Y6 j) W# L
$ S' V: }9 z- x' B1 y* W清除木马的步骤：

打开注册表Regedit
9 W+ s/ a$ {" Y5 \+ I- Y7 Y5 p! _
4 p2 `: k5 e6 h$ f' M点击目录至：
5 l" t0 u5 d8 a; B. g) Z
  w' y* N: }6 R; jHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
6 U& W' a4 m1 }1 [/ F9 X$ I
8 d2 W/ f* p/ t# R' G- Q8 P删除右边的"C:\WINDOWS\Cmctl32.exe"

关闭Regedit，重新启动到MSDOS系统中
& F# R. W5 N% B! l! N* u2 e; w
9 d/ x& F7 Z/ h1 o2 o, i删除C:\WINDOWS\Cmctl32.exe

OK

9. BackDoor v2.00 - v2.03
1 W( g& w# R" N& O7 ]  w
清除木马的步骤：
; \, V7 Y/ T& l; T0 ~
打开注册表Regedit
9 ^& ^$ p6 Q7 _! T- O( b# `
点击目录至：
) }/ C% g: F& c
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run