当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 常见木马的手工清除方法

安全基础
黑客攻击行为的特征分析及反攻击技术
Windows 2000中隐患重重的十大“服务”
网页脚本攻击防范全攻略
防患于未然 轻松做好Windows 2000安全策略
用注册表为操作系统砌九堵安全墙
完善网站程序 脚本攻击防范策略完全篇
两步修改XP远程管理默认端口可防止入侵
消除Windows XP自身的安全隐患
保护Windows不受恶意代码攻击
如何关闭和限制电脑不用的端口
修改Windows 2000远程终端默认端口
操作系统被入侵后的修复过程
利用微软基准安全分析器打造你安全的系统
数字签名技术简介
检测和删除系统中的木马
QQ密码破解程序
P2P中保障Windows网络安全
在代码中查找安全性缺陷的专家提示
QQ安全的三大纪律八项注意
如何保证文件夹的绝对安全

安全基础 中的 常见木马的手工清除方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 125 ::
收藏到网摘: n/a

 

常见木马的手工清除方法
1. 冰河v1.1 v2.2 这是国产最好的木马 作者:黄鑫
清除木马v1.1 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 查找以下的两个路径,并删除 "
C:windowssystem kernel32.exe" " C:windowssystem sysexplr.exe" 关闭Regedit
重新启动到MSDOS方式 删除C:windowssystem kernel32.exe和C:windowssystem
sysexplr.exe木马程序 重新启动。 OK
清除木马v2.2 服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。 因此,不能明确说明。 你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式 删除于注册表相对应的木马程序 重新启动Windows。OK

2. Acid Battery v1.0 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的Explorer
="C:WINDOWSexpiorer.exe" 关闭Regedit 重新启动到MSDOS方式 删除c:windowsexpiorer.exe木马程序
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。 重新启动。OK

3. Acid Shiver v1.0 + 1.0Mod + lmacid 清除木马的步骤: 重新启动到MSDOS方式
删除C:windowsMSGSVR16.EXE 然后回到Windows系统 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的Explorer =
"C:WINDOWSMSGSVR16.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的Explorer = "C:WINDOWSMSGSVR16.EXE" 关闭Regedit 重新启动。OK 重新启动到MSDOS方式
删除C:windowswintour.exe然后回到Windows系统 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的Wintour =
"C:WINDOWSWINTOUR.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的Wintour = "C:WINDOWSWINTOUR.EXE" 关闭Regedit 重新启动。OK

4. Ambush 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的zka =
"zcn32.exe" 关闭Regedit 重新启动到MSDOS方式 删除C:Windows zcn32.exe 重新启动。OK

5. AOL Trojan 清除木马的步骤: 启动到MSDOS方式 删除C: command.exe(删除前取消文件的隐含属性)
注意:不要删除真的command.com文件。 删除C: americ~1.0uddyl~1.exe(删除前取消文件的隐含属性) 删除C:
windowssystem orton~1 egist~1.exe(删除前取消文件的隐含属性) 打开WIN.INI文件
在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径,必须清除它们: run= load= 保存WIN.INI
还要改正注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的WinProfile
= c:command.exe 关闭Regedit,重新启动Windows。OK

6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1 清除木马的步骤:
注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。 我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件 在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
如果不是"explorer.exe",那么那个文件就是木马程序,把它查找出来,删除。 保存退出system.ini 打开win.ini文件
在[WINDOWS]下面有个run= 如果你看到=后面有路径文件名,必须把它删除。 正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。 保存退出win.ini。 OK

7. AttackFTP 清除木马的步骤: 打开win.ini文件 在[WINDOWS]下面有load=wscan.exe 删除wscan.exe
,正确是load= 保存退出win.ini。 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Reminder="wscan.exe /s" 关闭Regedit,重新启动到MSDOS系统中 删除C:windowssystem
wscan.exe OK

8. Back Construction 1.0 - 2.5 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的"C:WINDOWSCmctl32.exe" 关闭Regedit,重新启动到MSDOS系统中 删除C:WINDOWSCmctl32.exe OK

9. BackDoor v2.00 - v2.03 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的'c:windows otpa.exe /o=yes' 关闭Regedit,重新启动到MSDOS系统中
删除c:windows otpa.exe 注意:不要删除真正的notepad.exe笔记本程序 OK

10. BF Evolution v5.3.12 清除木马的步骤: 打开注册表Regedit 点击目录至: