100种木马的手工清除方法 --私募基金网生活频道

)B[^({A2u"W0『simu001.cn』

q7?nNh&}$~y0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnS%[Q OGxw

有很多新手对安全问题了解比较不多，计算机种了特洛伊木马不知道怎么样来清除。虽 然现在有很多的清除特洛伊木马的软件，可以自动清除木马。但你不知道木马是怎样在 『simu001.cn』

ulv8T i0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnkA?l,t5Qyh

计算机中运行的，如果你看了这篇文章之后，你就会明白一些木马的原理。 『simu001.cn』

1K;kbScA0

N.f$Xj%}$y*]\0虽然收集了很多木马的资料，但我也不能保证全部正确。『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn.~6X8i;@9S.`5[u

私募社区 - 私募股权投资知识学习网 - www.simu001.cn5`\I*Ce

如果热心的网友有木马的资料，可以发对本站。谢谢大家的支持。

8h B
~J(j(fO$c$b'E0

f9Z0u)Klf01. 冰河v1.1 v2.2 这是国产最好的木马 作者：黄鑫 『simu001.cn』

Q T5w)I~'\ N"v0

Wjx:S#tA:Sq0清除木马v1.1 打开注册表Regedit 点击目录至： 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn-M;o]2mrj

5e(u~,B3\!E"b
l0n~0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 查找以下的两个路径，并删除 " 『simu001.cn』

%t(o%?+Y0c N0

pS1aHJ_@[0C:\windows\system\ kernel32.exe" " C:\windows\system\ sysexplr.exe" 关闭Regedit 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn:\ E9U"Xn9D*qC

私募社区 - 私募股权投资知识学习网 - www.simu001.cn
w0wR{2eG

重新启动到MSDOS方式 删除C:\windows\system\ kernel32.exe和C:\windows\system\ 『simu001.cn』

J~T8kN\B0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn_z${ D/j^

sysexplr.exe木马程序 重新启动。OK 『simu001.cn』

e'@\(}+k5G3fU p0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn5t*V'Q-f/U%\

清除木马v2.2 服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。 因此，不能明确说明。你可以察看注册表，把可疑的文件路径删除。 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn4f-v+PT@x

私募社区 - 私募股权投资知识学习网 - www.simu001.cnJKy/k#_ \Z}(l

重新启动到MSDOS方式 删除于注册表相对应的木马程序 重新启动Windows。OK

#mwkf#n;}*V1c^6~0

i3lY1iL `!rF~G02. Acid Battery v1.0 清除木马的步骤： 打开注册表Regedit 点击目录至： 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn^8@&gd h HE

F gkE2E|'VAc{$tO#V0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn5S
]\zyn.Fv

M/un&^(}y[0="C:\WINDOWS\expiorer.exe" 关闭Regedit 重新启动到MSDOS方式 删除c:\windows\expiorer.exe木马程序 『simu001.cn』

O9U&?`+P e0de0

u.}O,S ~hg0注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。 重新启动。OK

a8x u5T Re0

.M.hP
\#R2f2i1H03. Acid Shiver v1.0 + 1.0Mod + lmacid 清除木马的步骤： 重新启动到MSDOS方式 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cnNf(T G6b[

私募社区 - 私募股权投资知识学习网 - www.simu001.cng-pS5Y*Wn!Y

删除C:\windows\MSGSVR16.EXE 然后回到Windows系统打开注册表Regedit 点击目录至： 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cnYyO3r7e

otp:VZy0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer = 『simu001.cn』

?3V"R&R9tw(n0

QyI0z/T.\6l0"C:\WINDOWS\MSGSVR16.EXE" 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cnYX6o$Bm]A [

:b;^tBf4N0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 『simu001.cn』

%}p#]m m0

+H6b6R7T/C3pu0删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" 关闭Regedit 重新启动。OK 重新启动到MSDOS方式 『simu001.cn』

4B;o DmOdc0

,Dt?vJ D0删除C:\windows\wintour.exe然后回到Windows系统打开注册表Regedit 点击目录至： 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn%_,i3TY+Y)}W6Vc

私募社区 - 私募股权投资知识学习网 - www.simu001.cn^)u(l~c#hF!Cz$f

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Wintour = 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn:o-Ot M&N%Izn

私募社区 - 私募股权投资知识学习网 - www.simu001.cnl wLc6LTq4xC1K

"C:\WINDOWS\WINTOUR.EXE" 『simu001.cn』

%^7i6g|:U_\7tM,xc0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnu Hq)Wv*we/Wcp)X

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cnd Y7b2Ch;eHi

l`9k\-_IP5^0删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE" 关闭Regedit 重新启动。OK私募社区 - 私募股权投资知识学习网 - www.simu001.cn t4I:tU|5IL

hJ"W9J6GM\6@i3b04. Ambush 清除木马的步骤： 打开注册表Regedit 点击目录至： 『simu001.cn』

Z D|"b m3`Y E!q0

n#awxkYkb0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 删除右边的zka = 『simu001.cn』

'\ I7DYq0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn1yE7Fx/O:I*J(I

"zcn32.exe" 关闭Regedit 重新启动到MSDOS方式 删除C:\Windows\ zcn32.exe 重新启动。OK私募社区 - 私募股权投资知识学习网 - www.simu001.cn2DM7` ` qxe2X

s(R0E%l []05. AOL Trojan 清除木马的步骤： 启动到MSDOS方式删除C:\ command.exe（删除前取消文件的隐含属性） 『simu001.cn』

|~k']N'e0

H2OP4\\9K0注意：不要删除真的command.com文件。 删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性） 删除C:\ 『simu001.cn』

E&fX*l'W.L+Gr{0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn8jF4GO m5ahl.P

windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性） 打开WIN.INI文件 『simu001.cn』

]:o)V#Nl0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnUuY(P0TuJ5B3p0A

在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径，必须清除它们： run= load= 保存WIN.INI 『simu001.cn』

;m(b1U,u0?0

jE%Uv2_cI0还要改正注册表Regedit 点击目录至： 『simu001.cn』

4b:yB3_Hx5Z{0

z @ l4fIyc0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的WinProfile 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cnD6X'z{yr.l5i8F

%L$YJP4gZ'Gz0= c:\command.exe 关闭Regedit，重新启动Windows。OK

~Ad^0ug i w0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnGb-FZ{A

6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1 清除木马的步骤： 『simu001.cn』

1omlLB@4N0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn^$hi@2G4uiC

注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。 我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn;E YB6Tn0g`W

私募社区 - 私募股权投资知识学习网 - www.simu001.cnd*F1PJ6[
Lp2}

打开system.ini文件 在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe 『simu001.cn』

2~4[5@w]!u-`0

:LOm T!p$H+`6G`M0如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。保存退出system.ini 打开win.ini文件 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cnc-`L.zuV/C"w

EIAv ?V$Bs+q
b0在[WINDOWS]下面有个run= 如果你看到=后面有路径文件名，必须把它删除。 正确的应该是run=后面什么也没有。 『simu001.cn』

voT-[&n`0

bV6V]M&x[5V0=后面的路径文件名就是木马，把它查找出来，删除。 保存退出win.ini。 OK

+JL"Bo1ss0E0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnFo4nKW0G{(A3a

7. AttackFTP 清除木马的步骤： 打开win.ini文件在[WINDOWS]下面有load=wscan.exe 删除wscan.exe 『simu001.cn』

Zq[:C/j?0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn5s*i5z,V7VgN"n

，正确是load= 保存退出win.ini。 打开注册表Regedit 点击目录至： 『simu001.cn』

h_[UIp0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn"w#M#p#JJj `

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 『simu001.cn』

8u'i:Y8|Ej`0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnttNG N
C%l

删除右边的Reminder="wscan.exe /s" 关闭Regedit，重新启动到MSDOS系统中 删除C:\windows\system\ 『simu001.cn』

3g_x+Pa T0

#e*L#ny/c vS.|*II0wscan.exe OK

`Z;H't^3^jX0

'@%~p^'B8x4a08. Back Construction 1.0 - 2.5 清除木马的步骤： 打开注册表Regedit 点击目录至： 『simu001.cn』

q$j$\3_"P&h*|"N%JeFn0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnu @FzC
E

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn+I_o-s9Y:H%J)P

私募社区 - 私募股权投资知识学习网 - www.simu001.cn
`0m}
iv#mx

删除右边的"C:\WINDOWS\Cmctl32.exe" 关闭Regedit，重新启动到MSDOS系统中 删除C:\WINDOWS\Cmctl32.exe OK私募社区 - 私募股权投资知识学习网 - www.simu001.cnR)b:U8jG` h

私募社区 - 私募股权投资知识学习网 - www.simu001.cn+q \Hgh?9H

9. BackDoor v2.00 - v2.03 清除木马的步骤： 打开注册表Regedit 点击目录至： 『simu001.cn』

:h:@P HP.^S0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn e
aFC&r a.z{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cnM*g Z OJ,v6h4C ]

私募社区 - 私募股权投资知识学习网 - www.simu001.cn+u;HM/P#l^
Ck

删除右边的'c:\windows\notpa.exe /o=yes' 关闭Regedit，重新启动到MSDOS系统中 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn3Cn.mU*?n

"je2u)@k$v%z7rVm,K0删除c:\windows\notpa.exe 注意：不要删除真正的notepad.exe笔记本程序 ＯＫ

/w,y(b
X]2vlV0

#tQW4z#e!K&k010. BF Evolution v5.3.12 清除木马的步骤：打开注册表Regedit 点击目录至： 『simu001.cn』

{dl7C;i;Z#y0

'hfKWN-k!q0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn,k"b&E/};zIQ!l

私募社区 - 私募股权投资知识学习网 - www.simu001.cn/T%GC0NI3v? h

删除右边的(Default)=" " 关闭Regedit，再次重新启动计算机。将C:\windows\system\ .exe（空格exe文件）ＯＫ私募社区 - 私募股权投资知识学习网 - www.simu001.cn.W\^ KJi*xP3h

'd*H.N@Wn2C011. BioNet v0.84 - 0.92 + 2.21 0.8X版本是运行在Win95/98 0.9X以上版本有运行在Win95/98 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn1v? RyTi7l K

私募社区 - 私募股权投资知识学习网 - www.simu001.cn4K t!Zw2Lns.~

和WinNT上两个软件 客户－服务器协议是一样的，因而NT客户能黑95/98被感染的机器，和Win95/98客户能黑 NT被感染的系统完全一样。 『simu001.cn』

)R C:h+~T
E9v(v0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn \ `&n:`sO#n7s

清除木马的步骤： 首先准备一张98的启动盘，用它启动后，进入c:\windows目录下，用attrib libupd~1. exe -h 『simu001.cn』

ct$|,\)Q}{
ln"}0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn%[*pUG&URn

命令让木马程序可见，然后删除它。 抽出软盘后重新启动，进入98下，在注册表里找到： 『simu001.cn』

gs"We'n0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnkN^4DJ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn/It t7@R

VsNBS}7L0的子键WinLibUpdate = "c:\windows\libupdate.exe -hide" 将此子键删除。

.Zt9S?{'^'H)g)C0 私募社区 - 私募股权投资知识学习网 - www.simu001.cnuE
q-`aJR9K

12. Bla v1.0 - 5.03 清除木马的步骤： 打开注册表Regedit 点击目录至： 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn(i1hTFo~:N

私募社区 - 私募股权投资知识学习网 - www.simu001.cn4]^5o;c.m)hlLD |+x

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Systemdoor 『simu001.cn』

6m'G$}e:r m/@W)U%Yui$O0 私募社区 - 私募股权投资知识学习网 - www.simu001.cn(` T'D7az p

= "C:\WINDOWS\System\mprdll.exe" 关闭Regedit，重新启动计算机。 『simu001.cn』

?PnoWSl4v
H8JR0

)q*y
|a[#n(rpk0查找到C:\WINDOWS\System\mprdll.exe和 C:\WINDOWS\system\rundll.exe 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cnI |ON`AM

U&l0\I b3B9OLlK0注意：不要删除C:\WINDOWS\RUNDLL.EXE正确文件。 并删除两个文件。 OK私募社区 - 私募股权投资知识学习网 - www.simu001.cnH&_ RxD(LWL3p

私募社区 - 私募股权投资知识学习网 - www.simu001.cn-];OD![ki

本新闻共4页,当前在第1页 1 2 3 4

!D4Q[m/kSC0

MHK'P5F!Jt!B0『simu001.cn』 『simu001.cn』私募社区 - 私募股权投资知识学习网 - www.simu001.cn3x,W|'i I4Y$`

• [感动最多的] 浙版《西游记》被指少儿不宜 导演辩解说 
• [路过最多的] 2010年广西公务员考试申论真题及答案扫描 
• [高兴最多的] 2010年广西公务员考试申论真题及答案扫描 
• [难过最多的] 怎样辨别生殖器疱疹 - 私募基金网生活频道
• [搞笑最多的] 浙版《西游记》被指少儿不宜 导演辩解说 
• [愤怒最多的] 李泉逛商场狂买婴儿服饰 朱珠衣着宽松疑 
• [无聊最多的] 什么是技术信息和经营信息？
• [同情最多的] 浙版《西游记》被指少儿不宜 导演辩解说