100种木马的手工清除方法 --私募基金网生活频道

私募社区 - 私募股权投资知识学习网 - www.simu001.cnP0I6y V_w}#~&G

『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn$e!y.|5\l:F"I

pu BU N)cHQ0有很多新手对安全问题了解比较不多，计算机种了特洛伊木马不知道怎么样来清除。虽 然现在有很多的清除特洛伊木马的软件，可以自动清除木马。但你不知道木马是怎样在 『simu001.cn』

X5n9x+b%U M0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnSu)J:bRT0]

计算机中运行的，如果你看了这篇文章之后，你就会明白一些木马的原理。 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cnz$n&lu%UNP?WR
?

私募社区 - 私募股权投资知识学习网 - www.simu001.cnM)D'Y3xp

虽然收集了很多木马的资料，但我也不能保证全部正确。『simu001.cn』

&xQaqy+z~E0

1S0W*ztTAj6R+G0如果热心的网友有木马的资料，可以发对本站。谢谢大家的支持。

3p2Ma,d8D[#\0

TB LJ,B01. 冰河v1.1 v2.2 这是国产最好的木马 作者：黄鑫 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn`
TT(X)@

O*S_;M_;y1H%g0清除木马v1.1 打开注册表Regedit 点击目录至： 『simu001.cn』

[0e!v8}kB)c0

J,b1lWcB;Os[0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 查找以下的两个路径，并删除 " 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cna,Z|r#V)T)wO

私募社区 - 私募股权投资知识学习网 - www.simu001.cn!RaoohE

C:\windows\system\ kernel32.exe" " C:\windows\system\ sysexplr.exe" 关闭Regedit 『simu001.cn』

s2o2NWhLTR2L0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn}SZ,v9X

重新启动到MSDOS方式 删除C:\windows\system\ kernel32.exe和C:\windows\system\ 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn2r7j$E#`%bq+YT2r$[|v

$` h+O-o&ppi)k#\0sysexplr.exe木马程序 重新启动。OK 『simu001.cn』

#?O"VQ6j?0

C9]Ka4?4Fn0g0^h0清除木马v2.2 服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。 因此，不能明确说明。你可以察看注册表，把可疑的文件路径删除。 『simu001.cn』

5j%?3F2qfT-P{N#^0 私募社区 - 私募股权投资知识学习网 - www.simu001.cntfr-]c

重新启动到MSDOS方式 删除于注册表相对应的木马程序 重新启动Windows。OK

w{UZ:_k3aZ2] J%g0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnp%a#Y?YVK1B4~

2. Acid Battery v1.0 清除木马的步骤： 打开注册表Regedit 点击目录至： 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cnJ4b@"Kb+i1P}

(K{2y]:L r*W1p0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer 『simu001.cn』

`CWxy.?.Z0

;a8fGhV;B;}$V0="C:\WINDOWS\expiorer.exe" 关闭Regedit 重新启动到MSDOS方式 删除c:\windows\expiorer.exe木马程序 『simu001.cn』

&V9vVrSp5P0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn8^G/Eg4E0^2L[

注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。 重新启动。OK私募社区 - 私募股权投资知识学习网 - www.simu001.cn,i&sq8P)Z$dbX

私募社区 - 私募股权投资知识学习网 - www.simu001.cn2je7@9XDCv6e

3. Acid Shiver v1.0 + 1.0Mod + lmacid 清除木马的步骤： 重新启动到MSDOS方式 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn M$WV`(Q

私募社区 - 私募股权投资知识学习网 - www.simu001.cn0h
V6?J+L"y3l

删除C:\windows\MSGSVR16.EXE 然后回到Windows系统打开注册表Regedit 点击目录至： 『simu001.cn』

#|,[4uez?!L"m0

F-RWBU
BX%H0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer = 『simu001.cn』

v5P\:X$q6f y4M Q Oo0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnDG|W1ay

"C:\WINDOWS\MSGSVR16.EXE" 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cnIy
wGM

@#K0I W HF'yn0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn'OC5O7A#H;i(t+q$Z

,N-]P/O\zGp0删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" 关闭Regedit 重新启动。OK 重新启动到MSDOS方式 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cnC
At2}4nE"Aj

私募社区 - 私募股权投资知识学习网 - www.simu001.cniYS
[ wx}*V^%C+P

删除C:\windows\wintour.exe然后回到Windows系统打开注册表Regedit 点击目录至： 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn/X Z{W
C"lM

;{6W+r*g*K1Fz0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Wintour = 『simu001.cn』

Zz9wS$N"Fb by0

Ixl8v[dqP MWy2i0"C:\WINDOWS\WINTOUR.EXE" 『simu001.cn』

;e^7N4oi:dM0

.e'F']3GM _{7|0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cnp4^B$sFk g

Ogg0dCU[7{0删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE" 关闭Regedit 重新启动。OK

\(}|_+\"f#I0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnB9s"Kh;\g

4. Ambush 清除木马的步骤： 打开注册表Regedit 点击目录至： 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cnX dtu#Of

私募社区 - 私募股权投资知识学习网 - www.simu001.cn cP"u7?FT-G]uP

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 删除右边的zka = 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn@e5EJ?d6L#X]EUe

_,a^l'd6c0"zcn32.exe" 关闭Regedit 重新启动到MSDOS方式 删除C:\Windows\ zcn32.exe 重新启动。OK私募社区 - 私募股权投资知识学习网 - www.simu001.cn E+F%s6m!}Y-LjsGp-wY

私募社区 - 私募股权投资知识学习网 - www.simu001.cn$oY-e
Y2D

5. AOL Trojan 清除木马的步骤： 启动到MSDOS方式删除C:\ command.exe（删除前取消文件的隐含属性） 『simu001.cn』

hZ@1W[Dk0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnTFx_hY

注意：不要删除真的command.com文件。 删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性） 删除C:\ 『simu001.cn』

w Y;?nT0?[;]0

f-Wm hv?/~Bt$t0windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性） 打开WIN.INI文件 『simu001.cn』

s8S/n1K#K6U z0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn ci:V#C1j'c6Bor%d

在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径，必须清除它们： run= load= 保存WIN.INI 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cnd,J| pO
w5ur Q

g(Q4H#p;d,V\0还要改正注册表Regedit 点击目录至： 『simu001.cn』

F+TIH&a0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn-p6Z3zP B4n)K"e P }

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的WinProfile 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cniJ)A+pn1u't

私募社区 - 私募股权投资知识学习网 - www.simu001.cnhL3^ ~1d q[-A~V

= c:\command.exe 关闭Regedit，重新启动Windows。OK

Gr6A tLQ8K0

,t-H-za@)C;{ [06. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1 清除木马的步骤： 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cnu[/P
\,Vo

私募社区 - 私募股权投资知识学习网 - www.simu001.cnX'VM,L(C!N0a'` D;E4z

注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。 我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。 『simu001.cn』

%K'sd}4w5s^J0

{
m Ir#eR.fB u&S0打开system.ini文件 在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe 『simu001.cn』

5oE5l)AZyBWbiH0

ae-h8Q&V0如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。保存退出system.ini 打开win.ini文件 『simu001.cn』

.M#k-{P)T0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn4O i0OJA8].D!m:z

在[WINDOWS]下面有个run= 如果你看到=后面有路径文件名，必须把它删除。 正确的应该是run=后面什么也没有。 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn3M~.g]W[ ? h?

私募社区 - 私募股权投资知识学习网 - www.simu001.cn'}0~YA t+w'@i

=后面的路径文件名就是木马，把它查找出来，删除。 保存退出win.ini。 OK私募社区 - 私募股权投资知识学习网 - www.simu001.cnOeW\lC

&~d!ZQ/Gm07. AttackFTP 清除木马的步骤： 打开win.ini文件在[WINDOWS]下面有load=wscan.exe 删除wscan.exe 『simu001.cn』

h%fH;e"dI0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn@mk(R"[h \;Oj

，正确是load= 保存退出win.ini。 打开注册表Regedit 点击目录至： 『simu001.cn』

i be7h%Acp0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnL\ ]KZf1z_ z

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn#m%| F U _C

J*sI+{S W0删除右边的Reminder="wscan.exe /s" 关闭Regedit，重新启动到MSDOS系统中 删除C:\windows\system\ 『simu001.cn』

} m5mw2`#t1Z@0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnAS8B+`
r T}

wscan.exe OK

X w_ Q,mD0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn(Zh"X0L.\4NW iT

8. Back Construction 1.0 - 2.5 清除木马的步骤： 打开注册表Regedit 点击目录至： 『simu001.cn』

M%K1I/XV9xoK+g0

*dYy\si!} @0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn)XHq%a8J4p nI)LT

/@z'{I5U%]:QY+m0删除右边的"C:\WINDOWS\Cmctl32.exe" 关闭Regedit，重新启动到MSDOS系统中 删除C:\WINDOWS\Cmctl32.exe OK私募社区 - 私募股权投资知识学习网 - www.simu001.cno!A0Z ~E

*d8t)fiw0el P09. BackDoor v2.00 - v2.03 清除木马的步骤： 打开注册表Regedit 点击目录至： 『simu001.cn』

Q;`na)O0

X'Sn#O'w7a0~0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 『simu001.cn』

r_/D+G'cU!l/qu1u4x0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn/xOn7G!ok0[O1b

删除右边的'c:\windows\notpa.exe /o=yes' 关闭Regedit，重新启动到MSDOS系统中 『simu001.cn』

y4rR \QW5^q{U0

.P a5w8~x0删除c:\windows\notpa.exe 注意：不要删除真正的notepad.exe笔记本程序 ＯＫ私募社区 - 私募股权投资知识学习网 - www.simu001.cnVZ(G8N|M ICI

Vf/Wt!ncb010. BF Evolution v5.3.12 清除木马的步骤：打开注册表Regedit 点击目录至： 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn#Z FRL.r2B$H

私募社区 - 私募股权投资知识学习网 - www.simu001.cn
[-J%Z$U;}o

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn/j^J&R!m6~)B7E'jU:{ b

私募社区 - 私募股权投资知识学习网 - www.simu001.cni'd;Tc%fJk |L

删除右边的(Default)=" " 关闭Regedit，再次重新启动计算机。将C:\windows\system\ .exe（空格exe文件）ＯＫ私募社区 - 私募股权投资知识学习网 - www.simu001.cn CaF&B(^l

私募社区 - 私募股权投资知识学习网 - www.simu001.cn6g&js3e$@sM Z

11. BioNet v0.84 - 0.92 + 2.21 0.8X版本是运行在Win95/98 0.9X以上版本有运行在Win95/98 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn)w2}9T R t,S

+N\5e_~0和WinNT上两个软件 客户－服务器协议是一样的，因而NT客户能黑95/98被感染的机器，和Win95/98客户能黑 NT被感染的系统完全一样。 『simu001.cn』

gJ9i@0|1d0

h%FT_qt#Ds0清除木马的步骤： 首先准备一张98的启动盘，用它启动后，进入c:\windows目录下，用attrib libupd~1. exe -h 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cnw#m;DEM\N

Q1MoSF$jE0命令让木马程序可见，然后删除它。 抽出软盘后重新启动，进入98下，在注册表里找到： 『simu001.cn』

.BrDSLz j0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn)BSD D"P%^ l#F\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 『simu001.cn』

:j.L6MT IG/KM0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn-XDkz9~1K9H

的子键WinLibUpdate = "c:\windows\libupdate.exe -hide" 将此子键删除。私募社区 - 私募股权投资知识学习网 - www.simu001.cn1a&Es#j#L

+vCL%lj*T012. Bla v1.0 - 5.03 清除木马的步骤： 打开注册表Regedit 点击目录至： 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn(CC,Xu9e6r T0|7s@

]Q-Py.C^FdY B Y0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Systemdoor 『simu001.cn』

O#KmD.}ckXrn9u0

~(c}5I zZA0= "C:\WINDOWS\System\mprdll.exe" 关闭Regedit，重新启动计算机。 『simu001.cn』

*j"C+ih1EPy P{ ]K0

P)k4P.HcA0查找到C:\WINDOWS\System\mprdll.exe和 C:\WINDOWS\system\rundll.exe 『simu001.cn』

!JO
S!bN/z
}0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnCrP/?Rm8pb

注意：不要删除C:\WINDOWS\RUNDLL.EXE正确文件。 并删除两个文件。 OK

Y8e"TM#OTRa0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn~2}@VUC)Vp

本新闻共4页,当前在第1页 1 2 3 4私募社区 - 私募股权投资知识学习网 - www.simu001.cn]`}!F7n8I

6YhD#YIy6~0『simu001.cn』 『simu001.cn』

#xwlH0[TYV)dC0

• [感动最多的] 浙版《西游记》被指少儿不宜 导演辩解说 
• [路过最多的] 怎样辨别生殖器疱疹 - 私募基金网生活频道
• [高兴最多的] 浙版《西游记》被指少儿不宜 导演辩解说 
• [难过最多的] 怎样辨别生殖器疱疹 - 私募基金网生活频道
• [搞笑最多的] 浙版《西游记》被指少儿不宜 导演辩解说 
• [愤怒最多的] 李泉逛商场狂买婴儿服饰 朱珠衣着宽松疑 
• [无聊最多的] 浙版《西游记》被指少儿不宜 导演辩解说 
• [同情最多的] 浙版《西游记》被指少儿不宜 导演辩解说