木马清除百种方法
no.1 冰河v1.1 v2.2
n这是国产最好的木马 作者:Snokebin
n清除木马v1.1
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
n查找以下的两个路径,并删除
n" C:\\windows\\system\\ kernel32.exe"
n" C:\\windows\\system\\ sysexplr.exe"
n关闭Regedit
n重新启动到MSDOS方式
n删除C:\\windows\\system\\ kernel32.exe和C:\\windows\\system\\ sysexplr.exe木马程序
n重新启动。OK
n
n清除木马v2.2
n服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
n因此,不能明确说明。
n你可以察看注册表,把可疑的文件路径删除。
n重新启动到MSDOS方式
n删除于注册表相对应的木马程序
n重新启动Windows。OK
n
n2. Acid Battery v1.0
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
n删除右边的Explorer ="C:\\WINDOWS\\expiorer.exe"
n关闭Regedit
n重新启动到MSDOS方式
n删除c:\\windows\\expiorer.exe木马程序
n注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
n重新启动。OK
n
n3. Acid Shiver v1.0 + 1.0Mod + lmacid
n清除木马的步骤:
n重新启动到MSDOS方式
n删除C:\\windows\\MSGSVR16.EXE
n然后回到Windows系统
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
n删除右边的Explorer = "C:\\WINDOWS\\MSGSVR16.EXE"
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
n删除右边的Explorer = "C:\\WINDOWS\\MSGSVR16.EXE"
n关闭Regedit
n重新启动。OK
n重新启动到MSDOS方式
n删除C:\\windows\\wintour.exe然后回到Windows系统
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
n删除右边的Wintour = "C:\\WINDOWS\\WINTOUR.EXE"
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
n删除右边的Wintour = "C:\\WINDOWS\\WINTOUR.EXE"
n关闭Regedit
n重新启动。OK
n
n4. Ambush
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的zka = "zcn32.exe"
n关闭Regedit
n重新启动到MSDOS方式
n删除C:\\Windows\\ zcn32.exe
n重新启动。OK
n
n5. AOL Trojan
n清除木马的步骤:
n启动到MSDOS方式
n删除C:\\ command.exe(删除前取消文件的隐含属性)
n注意:不要删除真的command.com文件。
n删除C:\\ americ~1.0\\buddyl~1.exe(删除前取消文件的隐含属性)
n删除C:\\ windows\\system\\norton~1\\regist~1.exe(删除前取消文件的隐含属性)
n打开WIN.INI文件
n在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径,必须清除它们:
nrun=
nload=
n保存WIN.INI
n还要改正注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
n删除右边的WinProfile = c:\\command.exe
n关闭Regedit,重新启动Windows。OK
n
n6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
n清除木马的步骤:
n注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。
n我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
n打开system.ini文件
n在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
n如果不是"explorer.exe",那么那个文件就是木马程序,把它查找出来,删除。
n保存退出system.ini
n打开win.ini文件
n在[WINDOWS]下面有个run=
n如果你看到=后面有路径文件名,必须把它删除。
n正确的应该是run=后面什么也没有。
n=后面的路径文件名就是木马,把它查找出来,删除。
n保存退出win.ini。
nOK
n
n7. AttackFTP
n清除木马的步骤:
n打开win.ini文件
n在[WINDOWS]下面有load=wscan.exe
n删除wscan.exe ,正确是load=
n保存退出win.ini。
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
n删除右边的Reminder="wscan.exe /s"
n关闭Regedit,重新启动到MSDOS系统中
n删除C:\\windows\\system\\ wscan.exe
nOK
n
n8. Back Construction 1.0 - 2.5
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
n删除右边的"C:\\WINDOWS\\Cmctl32.exe"
n关闭Regedit,重新启动到MSDOS系统中
n删除C:\\WINDOWS\\Cmctl32.exe
nOK
n
n9. BackDoor v2.00 - v2.03
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
n删除右边的''c:\\windows\\notpa.exe /o=yes''
n关闭Regedit,重新启动到MSDOS系统中
n删除c:\\windows\\notpa.exe
n注意:不要删除真正的notepad.exe笔记本程序
nOK
n
n10. BF Evolution v5.3.12
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
n删除右边的(Defau
nlt)=" "
n关闭Regedit,再次重新启动计算机。
n将C:\\windows\\system\\ .exe(空格exe文件)
nOK
n11. BioNet v0.84 - 0.92 + 2.21
n0.8X版本是运行在Win95/98
n0.9X以上版本有运行在Win95/98 和WinNT上两个软件
n客户-服务器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑
nNT被感染的系统完全一样。
n清除木马的步骤:
n首先准备一张98的启动盘,用它启动后,进入c:\\windows目录下,用attrib libupd~1.
nexe -h
n命令让木马程序可见,然后删除它。
n抽出软盘后重新启动,进入98下,在注册表里找到:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n的子键WinLibUpdate = "c:\\windows\\libupdate.exe -hide"
n将此子键删除。
n
n12. Bla v1.0 - 5.03
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
n删除右边的Systemdoor = "C:\\WINDOWS\\System\\mprdll.exe"
n关闭Regedit,重新启动计算机。
n查找到C:\\WINDOWS\\System\\mprdll.exe和
nC:\\WINDOWS\\system\\rundll.exe
n注意:不要删除C:\\WINDOWS\\RUNDLL.EXE正确文件。
n并删除两个文件。
nOK
n
n13. BladeRunner
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
n可以找到System-Tray = "c:\\something\\something.exe"
n右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要
n的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。
n重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。
n
n14. Bobo v1.0 - 2.0
n清除木马v1.0
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
n删除右边的DirrectLibrarySupport ="C:\\WINDOWS\\SYSTEM\\Dllclient.exe"
n关闭Regedit,重新启动计算机。
nDEL C:\\Windows\\System\\Dllclient.exe
nOK
n清除木马v2.0
n打开注册表Regedit
n点击目录至:
nHKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/
nICQ Accel是一个“假象“的主键,选中ICQ Accel主键并把它删除。
n重新启动计算机。OK
n
n15. BrainSpy vBeta
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
n右边有 ??? = "C:\\WINDOWS\\system\\BRAINSPY .exe"
n???标签选是随意改变的。
n关闭Regedit,重新启动计算机
n查找删除C:\\WINDOWS\\system\\BRAINSPY .exe
nOK
n
n16. Cain and Abel v1.50 - 1.51
n这是一个口令木马
n进入MS-DOS方式
n查找到C:\\windows\\msabel32.exe
n并删除它。OK
n
n17. Canasson
n清除木马的步骤:
n打开WIN.INI文件
n查找c:\\msie5.exe,删除全部主键
n保存win.ini
n重新启动计算机
n删除c:\\msie5.exe木马文件
nOK
n
n18. Chupachbra
n清除木马的步骤:
n打开WIN.INI文件
n[Windows]的下面有两个行
nrun=winprot.exe
nload=winprot.exe
n删除winprot.exe
nrun=
nload=
n保存Win.ini,再打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\MicroSoft\\Windows\\CurrentVersion\\Run
n删除右边的''System Protect'' = winprot.exe
n重新启动Windows
n查找到C:\\windows\\system\\ winprot.exe,并删除。
nOK
n
n19. Coma v1.09
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\MicroSoft\\Windows\\CurrentVersion\\Run
n删除右边的''RunTime'' = C:\\windows\\msgsrv36.exe
n重新启动Windows
n查找到C:\\windows\\ msgsrv36.exe,并删除。
nOK
n
n20. Control
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\MicroSoft\\Windows\\CurrentVersion\\Run
n删除右边的Load MSchv Drv = C:\\windows\\system\\MSchv.exe
n保存Regedit,重新启动Windows
n查找到C:\\windows\\system\\MSchv.exe,并删除。
nOK
n
n21. Dark Shadow
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\MicroSoft\\Windows\\CurrentVersion\\RunServices
n删除右边的winfunctions="winfunctions.exe"
n保存Regedit,重新启动Windows
n查找到C:\\windows\\system\\ winfunctions.exe,并删除。
nOK
n
n22. DeepThroat v1.0 - 3.1 + Mod (Foreplay)
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\MicroSoft\\Windows\\CurrentVersion\\Run
n版本1.0
n删除右边的项目''System32''=c:\\windows\\system32.exe
n版本2.0-3.1
n删除右边的项目''SystemTray'' = ''Systray.exe''
n保存Regedit,重新启动Windows
n版本1.0删除c:\\windows\\system32.exe
n版本2.0-3.1
n删除c:\\windows\\system\\systray.exe
nOK
n
n23. Delta Source v0.5 - 0.7
n作者联系QQ:929230
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\MicroSoft\\Windows\\CurrentVersion\\Run
n删除右边的项目:DS admin tool = C:\\TEMPSERVER.exe
n保存Regedit,重新启动Windows
n查找到C:\\TEMPSERVER.exe,并删除它。
nOK
n24. Der Spaeher v3
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\MicroSoft\\Windows\\CurrentVersion\\Run
n删除右边的项目:explore = "c:\\windows\\system\\dkbdll.exe "
n保存Regedit,重新启动Windows
n删除c:\\windows\\system\\dkbdll.exe木马文件。
nOK
n
n--
n
n25. Doly v1.1 - v1.7 (SE)
n清除木马V1.1-V1.5版本:
n这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到Win.ini项目。
n首先,进入MS-DOS方式,删除三个木马程序,但V1.35版本多一个木马文件mdm.exe。
n把下列各项全部删除:
nC:\\WINDOWS\\SYSTEM\\tesk.sys
nC:\\WINDOWS\\Start Menu\\Programs\\Startup\\mstesk.exe
nc:\\Program Files\\MStesk.exe
nc:\\Program Files\\Mdm.exe
n重新启动Windows。
n接着,打开win.ini文件
n找到[WINDOWS]下面load=c:\\windows\\system\\tesk.exe项目,删除路径,改变为load=
n保存win.ini文件。
n最后,修改注册表Regedit
n找到以下两个项目并删除它们
nHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
nMs tesk = "C:\\Program Files\\MStesk.exe"
n和
nHKEY_USER\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
nMs tesk = "C:\\Program Files\\MStesk.exe"
n再寻找到HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ss
n这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。
n关闭保存Regedit。
n还有打开C:\\AUTOEXEC.BAT文件,删除
n@echo off copy c:\\sys.lon c:\\windows\\StartMenu\\Startup Items\\
ndel c:\\win.reg
n关闭保存autoexec.bat。
nOK
n清除木马V1.6版本:
n该木马运行时,将不能通过98的正常**作关闭,只能RESET键。彻底清除步骤如下:
n1.打开控制面板--添加删除程序--删除memory manager 3.0,这就是木马程序,但
n是它并不会把木马的EXE文件删除掉。
n2.用98或DOS启动盘启动(用RESET键)后,转入C:\\,编辑AUTOEXEC。BAT,把如下内容
n删除:
n@echo off copy c:\\sys.lon c:\\windows\\startm~1\\programs\\startup\\mdm.exe
ndel c:\\win.reg
n保存AUTOEXEC。BAT文件并返回DOS后,在C:\\根目录下删除木马文件:
ndel sys.lon
ndel windows\\startm~1\\programs\\startup\\mdm.exe
ndel progra~1\\mdm.exe
n3.抽出软盘重新启动,进入98后,把c:\\program files\\目录下的memory manager 目录
n删除。
n清除木马V1.7版本:
n首先,打开C:\\AUTOEXEC.BAT文件,删除
n@echo off copy c:\\sys.lon c:\\windows\\startm~1\\programs\\startup\\mdm.exe
ndel c:\\win.reg
n关闭保存autoexec.bat
n然后打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\MicroSoft\\Windows\\CurrentVersion\\Run
n找到c:\\windows\\system\\mdm.exe路径并删除这个项目
n点击目录至:
nHKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
n找到"C:\\windows\\system\\kernal32.exe"路径并删除这个项目
n关闭保存Regedit。重新启动Windows。
n最后,删除以下木马程序:
nc:\\sys.lon
nc:\\iecookie.exe
nc:\\windows\\start menu\\programs\\startup\\mdm.exe
nc:\\program files\\mdm.exe
nc:\\windows\\system\\mdm.exe
nc:\\windows\\system\\kernal32.exe
n注意:kernal32是A
nOK
n
n75. Revenger v1.0 - 1.5
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:AppName ="C:\\...\\server.exe"
n关闭保存Regedit,重新启动Windows
n在c:\\windows查找相应的木马程序server.exe,并删除
nOK
n
n76. Ripper
n清除木马的步骤:
n打开system.ini文件
n将shell=explorer.exe sysrunt.exe
n改为shell= explorer.exe
n关闭保存system.ini,重新启动Windows
n在c:\\windows查找相应的木马程序sysrunt.exe,并删除
nOK
n
n77. Satans Back Door v1.0
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\
n删除右边的项目:sysprot protection ="C:\\windows\\sysprot.exe"
n关闭保存Regedit,重新启动Windows
n删除C:\\windows\\sysprot.exe
nOK
n
n78. Schwindler v1.82
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:User.exe = "C:\\WINDOWS\\User.exe"
n关闭保存Regedit,重新启动Windows
n删除C:\\WINDOWS\\User.exe
nOK
n
n79. Setup Trojan (Sshare) +Mod Small Share
n这个共享隐藏C盘的木马
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\
n选择右边有''C$''的项目,并全部删除
n关闭保存Regedit,重新启动Windows
nOK
n
n80. ShadowPhyre v2.12.38 - 2.X
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:WinZipp = "C:\\WINDOWS\\SYSTEM\\WinZipp.exe /nomsg"
n或者WinZip = "C:\\WINDOWS\\SYSTEM\\WinZip.exe /nomsg"
n关闭保存Regedit,重新启动Windows
n删除C:\\WINDOWS\\ WinZipp.exe或者C:\\WINDOWS\\ WinZip.exe
nOK
n
n
n81. Share All
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\
n
n这里你将看到所有被木马共享出来的你的硬盘符号,把它们一个个删除掉。
n
n82. ShitHeap
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\
n删除右边的项目:recycle-bin = "c:\\windows\\system\\recycle-bin.exe"
n或者recycle-bin = "c:\\windows\\system.exe"
n关闭保存Regedit,重新启动Windows
n删除c:\\windows\\system\\recycle-bin.exe或者c:\\windows\\system.exe
nOK
n
n83. Snid v1 - 2
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:System-tray = ''c:\\windows\\temp$01.exe''
n关闭保存Regedit,重新启动Windows
n删除c:\\windows\\temp$01.exe
nOK
n
n84. Softwarst
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:NetApp = C:\\windows\\system\\winserv.exe
n关闭保存Regedit,重新启动Windows
n删除C:\\windows\\system\\winserv.exe
nOK
n
n
n
n
n
n
n广告秀: “激扬青春”IT风采校园行 功能强大好玩的 仙境虚拟形象 已经正式发布 推荐精品图书《电脑爱好者典藏版1998-2003——应用专题百宝箱》
n
n
n
n向版主反映这个帖子 | IP: 已记录
n
n04-30-2003 11:32 AM
n
n
n
nliuyekun
n超级的会员(五级)
n
n
n注册日期: 2002年12月31日
n来自:
n发帖数: 1104
nNo.2
n85. Spirit 2000 Beta - v1.2 (fixed)
n清除木马v Beta版本:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:internet = "c:\\windows\\netip.exe "
n关闭保存Regedit
n打开win.ini文件
n查找到run=c:\\windows\\netip.exe
n更改为:run=
n关闭保存win.ini,重新启动Windows
n删除c:\\windows\\netip.exe和c:\\windows\\netip.exe
nOK
n清除木马v 1.2版本:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:SystemTray = "c:\\windows\\windown.exe "
n关闭保存Regedit,重新启动Windows
n删除c:\\windows\\windown.exe
nOK
n清除木马v 1.2(fixed)版本:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:Server 1.2.exe = "c:\\windows\\server 1.2.exe"
n关闭保存Regedit,重新启动Windows
n删除c:\\windows\\server 1.2.exe
nOK
n
n86. Stealth v2.0 - 2.16
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:Winprotect System = "C:\\WINDOWS\\winprotecte.exe
n关闭保存Regedit,重新启动Windows
n删除C:\\WINDOWS\\winprotecte.exe
nOK
n
n87. SubSeven - Introduction
n清除木马v1.0 - 1.1:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:SystemTrayIcon = "C:\\WINDOWS\\SysTrayIcon.Exe"
n关闭保存Regedit,重新启动Windows
n删除C:\\WINDOWS\\SysTrayIcon.Exe
nOK
n清除木马v1.3 - 1.4 - 1.5:
n打开win.ini文件
n查找到run=nodll
n更改为run=
n关闭保存win.ini,重新启动Windows
n删除c:\\windows\\nodll.exe
nOK
n清除木马v1.6:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:SystemTray = "SysTray.Exe"
n关闭保存Regedit,重新启动Windows
n删除C:\\windows\\systray.exe
nOK
n清除木马v1.7:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
n\\
n查找到右边的项目:C:\\windows\\kernel16.dl,并删除
n关闭保存Regedit,重新启动Windows
n删除C:\\windows\\kernel16.dl
nOK
n清除木马v1.8:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run和
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
n\\
n查找到右边的项目:c:\\windows\\system.ini.,并删除
n关闭保存Regedit。
n打开win.ini文件
n查找到run= kernel16.dl
n更改为run=
n关闭保存win.ini。
n打开system.ini文件
n查找到shell=explorer.exe kernel32.dl
n更改为shell=explorer.exe
n关闭保存system.ini,重新启动Windows
n删除C:\\windows\\kernel16.dl
nOK
n清除木马v1.9 - 1.9b:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run和
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
n\\
n删除右边的项目:RegistryScan = "rundll16.exe"
n关闭保存Regedit,重新启动Windows
n删除C:\\windows\\rundll16.exe
nOK
n清除木马v2.0:
n打开system.ini文件
n查找到shell=explorer.exe trojanname.exe
n更改为shell=explorer.exe
n关闭保存system.ini,重新启动Windows
n删除c:\\windows\\rundll16.exe
nOK
n清除木马v2.1 - 2.1 Gold + SubStealth- 2.1.3 Mod + 2.1.3 MUIE + 2.1 Bonus:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run和
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
n\\
n删除右边的项目:WinLoader = MSREXE.EXE
nhkey_classes_root\\exefile\\shell\\open\\command
n将右边的项目更改为:@="\\"%1\\" %*"
n关闭保存Regedit。
n打开win.ini文件
n查找到run=msrexe.exe和
nload=msrexe.exe
n更改为run=
nload=
n关闭保存win.ini。
n打开system.ini文件
n查找到shell=explore.exe msrexe.exe
n更改为shell=explorer.exe
n关闭保存system.ini,重新启动Windows
n删除C:\\windows\\ msrexe.exe
nC:\\windows\\system\\systray.dll
nOK
n清除木马v2.2b1:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run和
n删除右边的项目:加载器 = "c:\\windows\\system\\***"
n注:加载器和文件名是随意改变的
n关闭保存Regedit。
n打开win.ini文件
n更改为run=
n关闭保存win.ini。
n打开system.ini文件
n更改为shell=explorer.exe
n关闭保存system.ini,重新启动Windows
n删除相对应的木马程序
nOK
n88. Telecommando 1.54
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:SystemApp="ODBC.EXE"
n关闭保存Regedit,重新启动Windows
n删除C:\\windows\\system\\ ODBC.EXE
nOK
n--
n
n
n
n89. The Unexplained
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:InetB00st = "C:\\WINDOWS\\TEMPINETB00ST.EXE"
n关闭保存Regedit,重新启动Windows
n删除C:\\WINDOWS\\TEMPINETB00ST.EXE
nOK
n
n90. Thing v1.00 - 1.60
n清除木马v1.00-1.12:
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:(Default) = "C:\\some\\path\\here\\thing.exe"
n也有一些是在:
nHKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\control\\SessionManager\\Known16DL
nLs\\
n删除右边的项目:wsasrv.exe = "wsasrv.exe"
n关闭保存Regedit,重新启动Windows
n删除C:\\some\\path\\here\\thing.exe
nOK
n清除木马v 1.20版本:
n进入MS_DOS方式:
ndel winspc13.exe
ndel ms097.exe
n打开system.ini文件
n查找到shell=explorer.exe ms097.exe
n更改为:shell=explorer.exe
n关闭保存system.ini,重新启动Windows
nOK
n清除木马v1.50版本:
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n这个项目的路径和文件名是随机改变的,察看有可疑的文件路径,将它删除。
n关闭保存Regedit。
n打开system.ini文件
n查找到shell=explorer.exe后面是木马文件
n更改为:shell=explorer.exe
n关闭保存system.ini,重新启动Windows
n删除相应的木马文件
nOK
n清除木马v1.50版本:
n进入MS_DOS方式:
ndel winspc13.exe
ndel ms097.exe
n打开system.ini文件
n查找到shell=explorer.exe后面是木马文件
n更改为:shell=explorer.exe
n关闭保存system.ini,重新启动Windows
n删除相应的木马文件
nOK
n
n91. Transmission Scount v1.1 - 1.2
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:Kernel16" = C:\\WINDOWS\\Kernel16.exe
n关闭保存Regedit,重新启动Windows
n删除C:\\WINDOWS\\Kernel16.exe
nOK
n92. Trinoo
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目: System Services = service.exe
n关闭保存Regedit,重新启动Windows
n删除C:\\windows\\system\\service.exe
nOK
n
n93. Trojan Cow v1.0
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:SysWindow = "C:\\WINDOWS\\Syswindow.exe"
n关闭保存Regedit,重新启动Windows
n删除C:\\WINDOWS\\Syswindow.exe
nOK
n
n94. TryIt
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:Rc5Dec = C:\\Program Files\\Internet Explorer\\_.exe -guistart
n关闭保存Regedit,重新启动Windows
n删除C:\\Program Files\\Internet Explorer\\_.exe
nOK
n
n95. Vampire v1.0 - 1.2
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:Sockets ="c:\\windows\\system\\Sockets.exe"
n关闭保存Regedit,重新启动Windows
n删除c:\\windows\\system\\Sockets.exe
nOK
n
n96. WarTrojan v1.0 - 2.0
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:Kernel32 = "C:\\somepath\\server.exe"
n关闭保存Regedit,重新启动Windows
n删除C:\\somepath\\server.exe
nOK
n
n
n97. wCrat v1.2b
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:MS Windows System Explorer ="C:\\WINDOWS\\sysexplor.exe"
n关闭保存Regedit,重新启动Windows
n删除C:\\WINDOWS\\sysexplor.exe
nOK
n
n98. WebEx (v1.2, 1.3, and 1.4)
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:RunDl32 = "C:\\windows\\system\\task_bar"
n关闭保存Regedit,重新启动Windows
n删除C:\\windows\\system\\task_bar.exe和c:\\windows\\system\\msinet.ocx
nOK
n
n99. WinCrash v2
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:WinManager = "c:\\windows\\server.exe"
n关闭保存Regedit
n打开win.ini文件
n查找到run=c:\\windows\\server.exe
n更改为:run=
n保存关闭win.ini,重新启动Windows
n删除c:\\windows\\server.exe
nOK
n
n100. WinCrash
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:MsManager ="SERVER.EXE"
n关闭保存Regedit,重新启动Windows
n删除C:\\windows\\system\\ SERVER.EXE
nOK
n
n101. Xanadu v1.1
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:SETUP = "c:\\somepath\\setup.exe"
n关闭保存Regedit,重新启动Windows
n删除c:\\somepath\\setup.exe
nOK
n
n102. Xplorer v1.20
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:PCX = "C:\\WINDOWS\\system\\PCX.exe"
n关闭保存Regedit,重新启动Windows
n删除C:\\WINDOWS\\system\\PCX.exe
nOK
n
n103. Xtcp v2.0 - 2.1
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\
n删除右边的项目:msgsv32 = "C:\\WINDOWS\\system\\winmsg32.exe"
n关闭保存Regedit,重新启动Windows
n删除C:\\WINDOWS\\system\\winmsg32.exe
nOK
n
n104. YAT
n清除木马的步骤:
n打开注册表Regedit
n点击目录至:
nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\
n删除右边的项目:Batterieanzeige = ''c:\\pathnamehere\\server.exe /nomsg''
n关闭保存Regedit,重新启动Windows
n删除c:\\pathnamehere\\server.exe
nOK