1. 冰河v1.1 v2.2 T$n>7X-r
这是国产最好的木马 作者:黄鑫 J-, H6u
v?YdLR
清除木马v1.1 piYws<Q
打开注册表Regedit Q(=Vk~v
点击目录至: vZ[$H
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run vbRrk($`
查找以下的两个路径,并删除 4-]Do?
" C:\windows\system\ kernel32.exe" *xX(!t'
" C:\windows\system\ sysexplr.exe" mJ8{lXq3!
关闭Regedit :]B%
>*;}
重新启动到MSDOS方式 Y!Uu173
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序 + ZR(
重新启动。OK ,bZ"8Z"lss
_HWHQF7
清除木马v2.2 L4YVH2`0)
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。 #<a_: m)@
因此,不能明确说明。 5i!V}hE
你可以察看注册表,把可疑的文件路径删除。 /h?<MI\7V
重新启动到MSDOS方式 My]+?.Ru
删除于注册表相对应的木马程序 Lnh':7FQJx
重新启动Windows。OK S2J#b"Y
M&uzOK+
2. Acid Battery v1.0 ps"/}u l
清除木马的步骤: {l0,T0
打开注册表Regedit k~0#'I9
点击目录至: PHQ{-b?4t
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run R&6n?g6@/V
删除右边的Explorer ="C:\WINDOWS\expiorer.exe" xGKfej9
关闭Regedit zc6Ho
重新启动到MSDOS方式 tO?21?AD D
删除c:\windows\expiorer.exe木马程序 w) =eMdj\o
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。 ;EK(b
重新启动。OK +VSZhg,Np8
\Os:6U=X-
3. Acid Shiver v1.0 + 1.0Mod + lmacid 0-*Z<cu%l
清除木马的步骤: sS
C?io
重新启动到MSDOS方式 fph-v -cl
删除C:\windows\MSGSVR16.EXE y7CWBTH0>
然后回到Windows系统 (FM4 ^#6
打开注册表Regedit n4^*h4J7
点击目录至: j._G7z/LJ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 0r1g$mKb
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" ows^W8-w
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Uf# PoQ!y
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" S,lxM,DL&
关闭Regedit >Cvjs
重新启动。OK TW>?h=.z
重新启动到MSDOS方式 [1NaH
删除C:\windows\wintour.exe然后回到Windows系统 !~kEtC
打开注册表Regedit pP3U,n
点击目录至: A
6 :Q<
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run S0F@#mSQ?
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE" 5)mVy?Z
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices ; VBpp<
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE" H-185]7
关闭Regedit vEF=e
重新启动。OK Khj=llo,
_D-5}a"
4. Ambush YX_vv!-]
清除木马的步骤: |-n
('gQ[
打开注册表Regedit
P&mtA2
点击目录至: Q? qjWZY
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ R3?:\d{
删除右边的zka = "zcn32.exe" 9Fk4|+OJ
关闭Regedit Ae6("Oid
重新启动到MSDOS方式 r
sLc&2F
删除C:\Windows\ zcn32.exe @HvScg*Y
重新启动。OK dhW<p5
(`pNXQ0n
5. AOL Trojan *2=W5LaK.
清除木马的步骤: QF.3c6O@
启动到MSDOS方式 y^G>{?Tha
删除C:\ command.exe(删除前取消文件的隐含属性) PPj[;(A
注意:不要删除真的command.com文件。 odpUM@OAW
删除C:\ americ~1.0\buddyl~1.exe(删除前取消文件的隐含属性) =53bLzr
删除C:\ windows\system\norton~1\regist~1.exe(删除前取消文件的隐含属性) .gq(C9<B[
打开WIN.INI文件 LEK/mCL
在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径,必须清除它们: \yG`Sfu2
run= YDFCGA
load= q &
b5g !
保存WIN.INI )v1CC..
还要改正注册表Regedit \TUE<<?1s
点击目录至: sB6dpD
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run +#s;yc#=2
删除右边的WinProfile = c:\command.exe :+:6_x
关闭Regedit,重新启动Windows。OK l4 "\) ];
sAYV)w3u"
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1 HIGNRm
清除木马的步骤: sa9fK Z'q
注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。 j#VIHCzlr
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。 qo_]ZKL44
打开system.ini文件 ue6d~8&
在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe ~@Kf2dHes
如果不是"explorer.exe",那么那个文件就是木马程序,把它查找出来,删除。 _]=9#Fg7{
保存退出system.ini x2k*|=$
打开win.ini文件 J>%t<xYf4
在[WINDOWS]下面有个run= Go <'
如果你看到=后面有路径文件名,必须把它删除。 h$ Da&$uyI
正确的应该是run=后面什么也没有。 6^E`Sa!s
=后面的路径文件名就是木马,把它查找出来,删除。 $"8d:N?I[
保存退出win.ini。 VE]6wwV2
OK AIh*1>2Xn
[bjN
f2
7. AttackFTP Z^#]#f
清除木马的步骤: #mLuU
打开win.ini文件 ntGq"
o
在[WINDOWS]下面有load=wscan.exe QU/3X 1W
删除wscan.exe ,正确是load= 1b3(
保存退出win.ini。 B1$ikY
打开注册表Regedit T'1gy}
点击目录至: 6Cc7ejt|u
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run m xJXL":|
删除右边的Reminder="wscan.exe /s" qC@Ar)T
关闭Regedit,重新启动到MSDOS系统中 0@pu@ DP~
删除C:\windows\system\ wscan.exe /\E [
OK S LGW:
Sj-[%D*
8. Back Construction 1.0 - 2.5 6GINmkA
清除木马的步骤: ZL_[4Y
打开注册表Regedit 'RTtE
点击目录至: n &}s-`D
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ;&f1vi4
删除右边的"C:\WINDOWS\Cmctl32.exe" }c|U X
ZW
关闭Regedit,重新启动到MSDOS系统中 HZZDv+
删除C:\WINDOWS\Cmctl32.exe C1QV[bJK
OK }1 QF+Cf
\VN=Ef\E
9. BackDoor v2.00 - v2.03 3z[$4L'.
清除木马的步骤: >I<PO.c!
打开注册表Regedit E5UcZ7
点击目录至: ?)i1b\4Go
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run #C*&R>IvY
删除右边的c:\windows\notpa.exe /o=yes s@!$='|
关闭Regedit,重新启动到MSDOS系统中 z%:1)
删除c:\windows\notpa.exe @Zm Jz
注意:不要删除真正的notepad.exe笔记本程序 };S0 G!
OK ,W*H6fw+
Gv~p
10. BF Evolution v5.3.12 *Km7U-BG
清除木马的步骤: '*R%^RK
打开注册表Regedit R^8{bP
点击目录至: KQmZ#W%2m
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run N.hzKq][
删除右边的(Default)=" " CAgaEJhX3
关闭Regedit,再次重新启动计算机。 #Ufo)\x
将C:\windows\system\ .exe(空格exe文件) P}r)wAt
OK ]J@/p:S>
9_huI'"p
11. BioNet v0.84 - 0.92 + 2.21 d`%Mg&