[转载]104种木马的手工清除方法
信息来源:[url]www.bbnl.org[/url]清除木马v1.1
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
查找以下的两个路径,并删除
\" c:\\windows\\system\\ kernel32.exe\"
\" c:\\windows\\system\\ sysexplr.exe\"
关闭regedit
重新启动到msdos方式
删除c:\\windows\\system\\ kernel32.exe和c:\\windows\\system\\ sysexplr.exe木马程序
重新启动。ok
清除木马v2.2
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到msdos方式
删除于注册表相对应的木马程序
重新启动windows。ok
2. acid battery v1.0
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
删除右边的explorer =\"c:\\windows\\expiorer.exe\"
关闭regedit
重新启动到msdos方式
删除c:\\windows\\expiorer.exe木马程序
注意:不要删除正确的explorer.exe程序,它们之间只有i与l的差别。
重新启动。ok
3. acid shiver v1.0 + 1.0mod + lmacid
清除木马的步骤:
重新启动到msdos方式
删除c:\\windows\\msgsvr16.exe
然后回到windows系统
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
删除右边的explorer = \"c:\\windows\\msgsvr16.exe\"
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\runservices
删除右边的explorer = \"c:\\windows\\msgsvr16.exe\"
关闭regedit
重新启动。ok
重新启动到msdos方式
删除c:\\windows\\wintour.exe然后回到windows系统
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
删除右边的wintour = \"c:\\windows\\wintour.exe\"
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\runservices
删除右边的wintour = \"c:\\windows\\wintour.exe\"
关闭regedit
重新启动。ok
4. ambush
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的zka = \"zcn32.exe\"
关闭regedit
重新启动到msdos方式
删除c:\\windows\\ zcn32.exe
重新启动。ok
5. aol trojan
清除木马的步骤:
启动到msdos方式
删除c:\\ command.exe(删除前取消文件的隐含属性)
注意:不要删除真的command.com文件。
删除c:\\ americ~1.0\\buddyl~1.exe(删除前取消文件的隐含属性)
删除c:\\ windows\\system\\norton~1\\regist~1.exe(删除前取消文件的隐含属性)
打开win.ini文件
在[windows]下面\"run=\"和\"load=\"都加载者特洛伊木马程序的路径,必须清除它们:
run=
load=
保存win.ini
还要改正注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
删除右边的winprofile = c:\\command.exe
关闭regedit,重新启动windows。ok
6. asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + mini 1.0, 1.1
清除木马的步骤:
注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件
在[boot]下面有个\"shell=文件名\"。正确的文件名是explorer.exe
如果不是\"explorer.exe\",那么那个文件就是木马程序,把它查找出来,删除。
保存退出system.ini
打开win.ini文件
在[windows]下面有个run=
如果你看到=后面有路径文件名,必须把它删除。
正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。
保存退出win.ini。
ok
7. attackftp
清除木马的步骤:
打开win.ini文件
在[windows]下面有load=wscan.exe
删除wscan.exe ,正确是load=
保存退出win.ini。
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
删除右边的reminder=\"wscan.exe /s\"
关闭regedit,重新启动到msdos系统中
删除c:\\windows\\system\\ wscan.exe
ok
8. back construction 1.0 - 2.5
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
删除右边的\"c:\\windows\\cmctl32.exe\"
关闭regedit,重新启动到msdos系统中
删除c:\\windows\\cmctl32.exe
ok
9. backdoor v2.00 - v2.03
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
删除右边的\'c:\\windows\\notpa.exe /o=yes\'
关闭regedit,重新启动到msdos系统中
删除c:\\windows\\notpa.exe
注意:不要删除真正的notepad.exe笔记本程序
ok
10. bf evolution v5.3.12
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
删除右边的(default)=\" \"
关闭regedit,再次重新启动计算机。
将c:\\windows\\system\\ .exe(空格exe文件)
ok
11. bionet v0.84 - 0.92 + 2.21
0.8x版本是运行在win95/98
0.9x以上版本有运行在win95/98 和winnt上两个软件
客户-服务器协议是一样的,因而nt客户能黑95/98被感染的机器,和win95/98客户能黑
nt被感染的系统完全一样。
清除木马的步骤:
首先准备一张98的启动盘,用它启动后,进入c:\\windows目录下,用attrib libupd~1.
exe -h
命令让木马程序可见,然后删除它。
抽出软盘后重新启动,进入98下,在注册表里找到:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
的子键winlibupdate = \"c:\\windows\\libupdate.exe -hide\"
将此子键删除。
12. bla v1.0 - 5.03
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
删除右边的systemdoor = \"c:\\windows\\system\\mprdll.exe\"
关闭regedit,重新启动计算机。
查找到c:\\windows\\system\\mprdll.exe和
c:\\windows\\system\\rundll.exe
注意:不要删除c:\\windows\\rundll.exe正确文件。
并删除两个文件。
ok
13. bladerunner
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
可以找到system-tray = \"c:\\something\\something.exe\"
右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要
的是记下木马的名字与目录,然后退回到ms-dos下,找到此木马文件并删除掉。
重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。
14. bobo v1.0 - 2.0
清除木马v1.0
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
删除右边的dirrectlibrarysupport =\"c:\\windows\\system\\dllclient.exe\"
关闭regedit,重新启动计算机。
del c:\\windows\\system\\dllclient.exe
ok
清除木马v2.0
打开注册表regedit
点击目录至:
hkey_user/.default/software/mirabilis/icq/agent/apps/icq accel/
icq accel是一个“假象“的主键,选中icq accel主键并把它删除。
重新启动计算机。ok
15. brainspy vbeta
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
右边有 ??? = \"c:\\windows\\system\\brainspy .exe\"
???标签选是随意改变的。
关闭regedit,重新启动计算机
查找删除c:\\windows\\system\\brainspy .exe
ok
16. cain and abel v1.50 - 1.51
这是一个口令木马
进入ms-dos方式
查找到c:\\windows\\msabel32.exe
并删除它。ok
17. canasson
清除木马的步骤:
打开win.ini文件
查找c:\\msie5.exe,删除全部主键
保存win.ini
重新启动计算机
删除c:\\msie5.exe木马文件
ok
18. chupachbra
清除木马的步骤:
打开win.ini文件
[windows]的下面有两个行
run=winprot.exe
load=winprot.exe
删除winprot.exe
run=
load=
保存win.ini,再打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
删除右边的\'system protect\' = winprot.exe
重新启动windows
查找到c:\\windows\\system\\ winprot.exe,并删除。
ok
19. coma v1.09
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
删除右边的\'runtime\' = c:\\windows\\msgsrv36.exe
重新启动windows
查找到c:\\windows\\ msgsrv36.exe,并删除。
ok
20. control
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
删除右边的load mschv drv = c:\\windows\\system\\mschv.exe
保存regedit,重新启动windows
查找到c:\\windows\\system\\mschv.exe,并删除。
ok
21. dark shadow
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\runservices
删除右边的winfunctions=\"winfunctions.exe\"
保存regedit,重新启动windows
查找到c:\\windows\\system\\ winfunctions.exe,并删除。
ok
22. deepthroat v1.0 - 3.1 + mod (foreplay)
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
版本1.0
删除右边的项目\'system32\'=c:\\windows\\system32.exe
版本2.0-3.1
删除右边的项目\'systemtray\' = \'systray.exe\'
保存regedit,重新启动windows
版本1.0删除c:\\windows\\system32.exe
版本2.0-3.1
删除c:\\windows\\system\\systray.exe
ok
23. delta source v0.5 - 0.7
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
删除右边的项目:ds admin tool = c:\\tempserver.exe
保存regedit,重新启动windows
查找到c:\\tempserver.exe,并删除它。
ok
24. der spaeher v3
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
删除右边的项目:explore = \"c:\\windows\\system\\dkbdll.exe \"
保存regedit,重新启动windows
删除c:\\windows\\system\\dkbdll.exe木马文件。
ok
--
25. doly v1.1 - v1.7 (se)
清除木马v1.1-v1.5版本:
这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到win.ini项目。
首先,进入ms-dos方式,删除三个木马程序,但v1.35版本多一个木马文件mdm.exe。
把下列各项全部删除:
c:\\windows\\system\\tesk.sys
c:\\windows\\start menu\\programs\\startup\\mstesk.exe
c:\\program files\\mstesk.exe
c:\\program files\\mdm.exe
重新启动windows。
接着,打开win.ini文件
找到[windows]下面load=c:\\windows\\system\\tesk.exe项目,删除路径,改变为load=
保存win.ini文件。
最后,修改注册表regedit
找到以下两个项目并删除它们
hkey_current_user\\software\\microsoft\\windows\\currentversion\\run
ms tesk = \"c:\\program files\\mstesk.exe\"
和
hkey_user\\.default\\software\\microsoft\\windows\\currentversion\\run
ms tesk = \"c:\\program files\\mstesk.exe\"
再寻找到hkey_current_user\\software\\microsoft\\windows\\currentversion\\ss
这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。
关闭保存regedit。
还有打开c:\\autoexec.bat文件,删除
@echo off copy c:\\sys.lon c:\\windows\\startmenu\\startup items\\
del c:\\win.reg
关闭保存autoexec.bat。
ok
清除木马v1.6版本:
该木马运行时,将不能通过98的正常操作关闭,只能reset键。彻底清除步骤如下:
1.打开控制面板——添加删除程序——删除memory manager 3.0,这就是木马程序,但
是它并不会把木马的exe文件删除掉。
2.用98或dos启动盘启动(用reset键)后,转入c:\\,编辑autoexec。bat,把如下内容
删除:
@echo off copy c:\\sys.lon c:\\windows\\startm~1\\programs\\startup\\mdm.exe
del c:\\win.reg
保存autoexec。bat文件并返回dos后,在c:\\根目录下删除木马文件:
del sys.lon
del windows\\startm~1\\programs\\startup\\mdm.exe
del progra~1\\mdm.exe
3.抽出软盘重新启动,进入98后,把c:\\program files\\目录下的memory manager 目录
删除。
清除木马v1.7版本:
首先,打开c:\\autoexec.bat文件,删除
@echo off copy c:\\sys.lon c:\\windows\\startm~1\\programs\\startup\\mdm.exe
del c:\\win.reg
关闭保存autoexec.bat
然后打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
找到c:\\windows\\system\\mdm.exe路径并删除这个项目
点击目录至:
hkey_user/.default/software/marabilis/icq/agent/apps/
找到\"c:\\windows\\system\\kernal32.exe\"路径并删除这个项目
关闭保存regedit。重新启动windows。
最后,删除以下木马程序:
c:\\sys.lon
c:\\iecookie.exe
c:\\windows\\start menu\\programs\\startup\\mdm.exe
c:\\program files\\mdm.exe
c:\\windows\\system\\mdm.exe
c:\\windows\\system\\kernal32.exe
注意:kernal32是a
ok
75. revenger v1.0 - 1.5
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:appname =\"c:\\.\\server.exe\"
关闭保存regedit,重新启动windows
在c:\\windows查找相应的木马程序server.exe,并删除
ok
76. ripper
清除木马的步骤:
打开system.ini文件
将shell=explorer.exe sysrunt.exe
改为shell= explorer.exe
关闭保存system.ini,重新启动windows
在c:\\windows查找相应的木马程序sysrunt.exe,并删除
ok
77. satans back door v1.0
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\runservices\\
删除右边的项目:sysprot protection =\"c:\\windows\\sysprot.exe\"
关闭保存regedit,重新启动windows
删除c:\\windows\\sysprot.exe
ok
78. schwindler v1.82
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:user.exe = \"c:\\windows\\user.exe\"
关闭保存regedit,重新启动windows
删除c:\\windows\\user.exe
ok
79. setup trojan (sshare) +mod small share
这个共享隐藏c盘的木马
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\network\\lanman\\
选择右边有\'c$\'的项目,并全部删除
关闭保存regedit,重新启动windows
ok
80. shadowphyre v2.12.38 - 2.x
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:winzipp = \"c:\\windows\\system\\winzipp.exe /nomsg\"
或者winzip = \"c:\\windows\\system\\winzip.exe /nomsg\"
关闭保存regedit,重新启动windows
删除c:\\windows\\ winzipp.exe或者c:\\windows\\ winzip.exe
ok
81. share all
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\network\\lanman\\
这里你将看到所有被木马共享出来的你的硬盘符号,把它们一个个删除掉。
82. shitheap
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\runservices\\
删除右边的项目:recycle-bin = \"c:\\windows\\system\\recycle-bin.exe\"
或者recycle-bin = \"c:\\windows\\system.exe\"
关闭保存regedit,重新启动windows
删除c:\\windows\\system\\recycle-bin.exe或者c:\\windows\\system.exe
ok
83. snid v1 - 2
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:system-tray = \'c:\\windows\\temp$01.exe\'
关闭保存regedit,重新启动windows
删除c:\\windows\\temp$01.exe
ok
84. softwarst
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:netapp = c:\\windows\\system\\winserv.exe
关闭保存regedit,重新启动windows
删除c:\\windows\\system\\winserv.exe
ok
85. spirit 2000 beta - v1.2 (fixed)
清除木马v beta版本:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:internet = \"c:\\windows\\netip.exe \"
关闭保存regedit
打开win.ini文件
查找到run=c:\\windows\\netip.exe
更改为:run=
关闭保存win.ini,重新启动windows
删除c:\\windows\\netip.exe和c:\\windows\\netip.exe
ok
清除木马v 1.2版本:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:systemtray = \"c:\\windows\\windown.exe \"
关闭保存regedit,重新启动windows
删除c:\\windows\\windown.exe
ok
清除木马v 1.2(fixed)版本:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:server 1.2.exe = \"c:\\windows\\server 1.2.exe\"
关闭保存regedit,重新启动windows
删除c:\\windows\\server 1.2.exe
ok
86. stealth v2.0 - 2.16
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:winprotect system = \"c:\\windows\\winprotecte.exe
关闭保存regedit,重新启动windows
删除c:\\windows\\winprotecte.exe
ok
87. subseven - introduction
清除木马v1.0 - 1.1:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:systemtrayicon = \"c:\\windows\\systrayicon.exe\"
关闭保存regedit,重新启动windows
删除c:\\windows\\systrayicon.exe
ok
清除木马v1.3 - 1.4 - 1.5:
打开win.ini文件
查找到run=nodll
更改为run=
关闭保存win.ini,重新启动windows
删除c:\\windows\\nodll.exe
ok
清除木马v1.6:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:systemtray = \"systray.exe\"
关闭保存regedit,重新启动windows
删除c:\\windows\\systray.exe
ok
清除木马v1.7:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\runservices
\\
查找到右边的项目:c:\\windows\\kernel16.dl,并删除
关闭保存regedit,重新启动windows
删除c:\\windows\\kernel16.dl
ok
清除木马v1.8:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run和
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\runservices
\\
查找到右边的项目:c:\\windows\\system.ini.,并删除
关闭保存regedit。
打开win.ini文件
查找到run= kernel16.dl
更改为run=
关闭保存win.ini。
打开system.ini文件
查找到shell=explorer.exe kernel32.dl
更改为shell=explorer.exe
关闭保存system.ini,重新启动windows
删除c:\\windows\\kernel16.dl
ok
清除木马v1.9 - 1.9b:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run和
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\runservices
\\
删除右边的项目:registryscan = \"rundll16.exe\"
关闭保存regedit,重新启动windows
删除c:\\windows\\rundll16.exe
ok
清除木马v2.0:
打开system.ini文件
查找到shell=explorer.exe trojanname.exe
更改为shell=explorer.exe
关闭保存system.ini,重新启动windows
删除c:\\windows\\rundll16.exe
ok
清除木马v2.1 - 2.1 gold + substealth- 2.1.3 mod + 2.1.3 muie + 2.1 bonus:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run和
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\runservices
\\
删除右边的项目:winloader = msrexe.exe
hkey_classes_root\\exefile\\shell\\open\\command
将右边的项目更改为:@=\"\\\"%1\\\" %*\"
关闭保存regedit。
打开win.ini文件
查找到run=msrexe.exe和
load=msrexe.exe
更改为run=
load=
关闭保存win.ini。
打开system.ini文件
查找到shell=explore.exe msrexe.exe
更改为shell=explorer.exe
关闭保存system.ini,重新启动windows
删除c:\\windows\\ msrexe.exe
c:\\windows\\system\\systray.dll
ok
清除木马v2.2b1:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run和
删除右边的项目:加载器 = \"c:\\windows\\system\\***\"
注:加载器和文件名是随意改变的
关闭保存regedit。
打开win.ini文件
更改为run=
关闭保存win.ini。
打开system.ini文件
更改为shell=explorer.exe
关闭保存system.ini,重新启动windows
删除相对应的木马程序
ok
88. telecommando 1.54
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:systemapp=\"odbc.exe\"
关闭保存regedit,重新启动windows
删除c:\\windows\\system\\ odbc.exe
ok
--
89. the unexplained
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:inetb00st = \"c:\\windows\\tempinetb00st.exe\"
关闭保存regedit,重新启动windows
删除c:\\windows\\tempinetb00st.exe
ok
90. thing v1.00 - 1.60
清除木马v1.00-1.12:
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:(default) = \"c:\\some\\path\\here\\thing.exe\"
也有一些是在:
hkey_local_machine\\system\\currentcontrolset\\control\\sessionmanager\\known16dl
ls\\
删除右边的项目:wsasrv.exe = \"wsasrv.exe\"
关闭保存regedit,重新启动windows
删除c:\\some\\path\\here\\thing.exe
ok
清除木马v 1.20版本:
进入ms_dos方式:
del winspc13.exe
del ms097.exe
打开system.ini文件
查找到shell=explorer.exe ms097.exe
更改为:shell=explorer.exe
关闭保存system.ini,重新启动windows
ok
清除木马v1.50版本:
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
这个项目的路径和文件名是随机改变的,察看有可疑的文件路径,将它删除。
关闭保存regedit。
打开system.ini文件
查找到shell=explorer.exe后面是木马文件
更改为:shell=explorer.exe
关闭保存system.ini,重新启动windows
删除相应的木马文件
ok
清除木马v1.50版本:
进入ms_dos方式:
del winspc13.exe
del ms097.exe
打开system.ini文件
查找到shell=explorer.exe后面是木马文件
更改为:shell=explorer.exe
关闭保存system.ini,重新启动windows
删除相应的木马文件
ok
91. transmission scount v1.1 - 1.2
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:kernel16\" = c:\\windows\\kernel16.exe
关闭保存regedit,重新启动windows
删除c:\\windows\\kernel16.exe
ok
92. trinoo
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目: system services = service.exe
关闭保存regedit,重新启动windows
删除c:\\windows\\system\\service.exe
ok
93. trojan cow v1.0
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:syswindow = \"c:\\windows\\syswindow.exe\"
关闭保存regedit,重新启动windows
删除c:\\windows\\syswindow.exe
ok
94. tryit
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:rc5dec = c:\\program files\\internet explorer\\_.exe -guistart
关闭保存regedit,重新启动windows
删除c:\\program files\\internet explorer\\_.exe
ok
95. vampire v1.0 - 1.2
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:sockets =\"c:\\windows\\system\\sockets.exe\"
关闭保存regedit,重新启动windows
删除c:\\windows\\system\\sockets.exe
ok
96. wartrojan v1.0 - 2.0
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:kernel32 = \"c:\\somepath\\server.exe\"
关闭保存regedit,重新启动windows
删除c:\\somepath\\server.exe
ok
97. wcrat v1.2b
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:ms windows system explorer =\"c:\\windows\\sysexplor.exe\"
关闭保存regedit,重新启动windows
删除c:\\windows\\sysexplor.exe
ok
98. webex (v1.2, 1.3, and 1.4)
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:rundl32 = \"c:\\windows\\system\\task_bar\"
关闭保存regedit,重新启动windows
删除c:\\windows\\system\\task_bar.exe和c:\\windows\\system\\msinet.ocx
ok
99. wincrash v2
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:winmanager = \"c:\\windows\\server.exe\"
关闭保存regedit
打开win.ini文件
查找到run=c:\\windows\\server.exe
更改为:run=
保存关闭win.ini,重新启动windows
删除c:\\windows\\server.exe
ok
100. wincrash
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:msmanager =\"server.exe\"
关闭保存regedit,重新启动windows
删除c:\\windows\\system\\ server.exe
ok
101. xanadu v1.1
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:setup = \"c:\\somepath\\setup.exe\"
关闭保存regedit,重新启动windows
删除c:\\somepath\\setup.exe
ok
102. xplorer v1.20
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:pcx = \"c:\\windows\\system\\pcx.exe\"
关闭保存regedit,重新启动windows
删除c:\\windows\\system\\pcx.exe
ok
103. xtcp v2.0 - 2.1
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run\\
删除右边的项目:msgsv32 = \"c:\\windows\\system\\winmsg32.exe\"
关闭保存regedit,重新启动windows
删除c:\\windows\\system\\winmsg32.exe
ok
104. yat
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\runservices\\
删除右边的项目:batterieanzeige = \'c:\\pathnamehere\\server.exe /nomsg\'
关闭保存regedit,重新启动windows
删除c:\\pathnamehere\\server.exe
ok
105.gwboy
清除广外男生方法 1.打开系统注册表键值如下 HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run,需要查看广外男生运行的EXE文件.该
键值并没有完整运行路径,因为可执行文件在system32文件夹中,可以直接运行.
删除该自启动键值,然后在system32系统文件夹中删除相应的EXE文件. 2.虽然以
上删除了自启动项,但下次还会启动的.因为广外男生修改注册表使dll自动运行,
而且运行之后dll插入explorer进程中dll是不可以删除,即使你终击explorer进
程,但还是会被插入到其他进程中.此步骤你需要知道广外男生dll文件名称,你可
以在system32系统文件夹中查找,文件大小为116kB或者115kB.找到广外男生dll
之后复制其文件名称,然后打开系统注册表,点击-->编辑-->查找,然后输入你刚
复制的dll文件名称,找到此键值之后删除即可.因为广外男生运行之后随机写注
册表使dll能够自动运行,注册表位置是变化的. 注意:一定要利用dll文件名查找
整个注册表且删除键值,使广外男生不能自动运行. 3.重新启动计算机之后删除
system32系统文件夹中的广外男生dll,文件大小为116kB或者115kB
页:
[1]