当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 常见木马的手工清除方法

安全基础
找出安全漏洞 QQ盗号软件后门分析与反击
网络安全技术 再谈跨站脚本攻击与防御
掌控PC 如何应对僵尸主机及僵尸网络
如何在Windows中构建蜜罐?
分析并清除web服务器上的网页木马
基础知识讲解 病毒的IFEO映像劫持技术
网管秘籍 拒绝服务攻击防御全攻略
网管秘籍 如何减轻DDoS攻击带来的危害
利用输入法漏洞轻松破解Vista登录密码
安全保障!封杀木马病毒十大绝招
变态入侵:有史以来最酷的Windows后门
安全导航:认识反网络钓鱼欺骗新技术
管理好自己密码的10个技巧
如何隐藏管理员帐号
网络监听的原理、实现技术与防范方法
简单分析微软无线键盘的安全隐患
解密美国FBI的电话及网络监控技术
突破ADSL限制 通过宽带路由多机共享上网
Autorun病毒防御者 让U盘不中毒
计算机的密码设置技巧

安全基础 中的 常见木马的手工清除方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 33 ::
收藏到网摘: n/a

 

常见木马的手工清除方法
1. 冰河v1.1 v2.2 这是国产最好的木马 作者:黄鑫
清除木马v1.1 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 查找以下的两个路径,并删除 "
C:windowssystem kernel32.exe" " C:windowssystem sysexplr.exe" 关闭Regedit
重新启动到MSDOS方式 删除C:windowssystem kernel32.exe和C:windowssystem
sysexplr.exe木马程序 重新启动。 OK
清除木马v2.2 服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。 因此,不能明确说明。 你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式 删除于注册表相对应的木马程序 重新启动Windows。OK

2. Acid Battery v1.0 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的Explorer
="C:WINDOWSexpiorer.exe" 关闭Regedit 重新启动到MSDOS方式 删除c:windowsexpiorer.exe木马程序
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。 重新启动。OK

3. Acid Shiver v1.0 + 1.0Mod + lmacid 清除木马的步骤: 重新启动到MSDOS方式
删除C:windowsMSGSVR16.EXE 然后回到Windows系统 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的Explorer =
"C:WINDOWSMSGSVR16.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的Explorer = "C:WINDOWSMSGSVR16.EXE" 关闭Regedit 重新启动。OK 重新启动到MSDOS方式
删除C:windowswintour.exe然后回到Windows系统 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的Wintour =
"C:WINDOWSWINTOUR.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的Wintour = "C:WINDOWSWINTOUR.EXE" 关闭Regedit 重新启动。OK

4. Ambush 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的zka =
"zcn32.exe" 关闭Regedit 重新启动到MSDOS方式 删除C:Windows zcn32.exe 重新启动。OK

5. AOL Trojan 清除木马的步骤: 启动到MSDOS方式 删除C: command.exe(删除前取消文件的隐含属性)
注意:不要删除真的command.com文件。 删除C: americ~1.0uddyl~1.exe(删除前取消文件的隐含属性) 删除C:
windowssystem orton~1 egist~1.exe(删除前取消文件的隐含属性) 打开WIN.INI文件
在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径,必须清除它们: run= load= 保存WIN.INI
还要改正注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的WinProfile
= c:command.exe 关闭Regedit,重新启动Windows。OK

6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1 清除木马的步骤:
注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。 我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件 在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
如果不是"explorer.exe",那么那个文件就是木马程序,把它查找出来,删除。 保存退出system.ini 打开win.ini文件
在[WINDOWS]下面有个run= 如果你看到=后面有路径文件名,必须把它删除。 正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。 保存退出win.ini。 OK

7. AttackFTP 清除木马的步骤: 打开win.ini文件 在[WINDOWS]下面有load=wscan.exe 删除wscan.exe
,正确是load= 保存退出win.ini。 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Reminder="wscan.exe /s" 关闭Regedit,重新启动到MSDOS系统中 删除C:windowssystem
wscan.exe OK

8. Back Construction 1.0 - 2.5 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的"C:WINDOWSCmctl32.exe" 关闭Regedit,重新启动到MSDOS系统中 删除C:WINDOWSCmctl32.exe OK

9. BackDoor v2.00 - v2.03 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的'c:windows otpa.exe /o=yes' 关闭Regedit,重新启动到MSDOS系统中
删除c:windows otpa.exe 注意:不要删除真正的notepad.exe笔记本程序 OK

10. BF Evolution v5.3.12 清除木马的步骤: 打开注册表Regedit 点击目录至: