很多计算机爱好者对安全问题了解不多,特别是计算机中了特洛伊木马不知道怎么样来清
除。虽然现在有很多的清除特洛伊木马的软件,可以自动清除木马。但你不知道木马是怎样在计算机中
运行的,如果你看了这篇文章之后,你就会明白一些木马的原理。
文章里面也有我自己处理木马的一些经验。
本资料来部分方法来自网上搜集整理而得,在这供大家研究学习所用
……………………………………………………………………………………………………………………
清除木马v1.54-1.55版本:
这两个版本跟上面的版本只是默认文件名不同,其它都一样,
把vmldir.vxd改为intld.vdx即可。
drat v1.0 - 3.0b
清除木马的步骤:
打开注册表regedit
点击目录至:hkey_classes_root\exefile\shell\open\command
找到@=shell32 \"%1\" %*把它更改为@="%1" %*
关闭保存regedit,重新启动windows。
查找c:\windows\下shell32.*文件,并删除它。
ok
eclipse 2000
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run\
删除右边的项目:bybt = "c:\windows\system\eclipse2000.exe"
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\ runservices\
删除右边的项目:cksys = "c:\windows\system\ could be anything .exe"
关闭保存regedit,重新启动windows
查找到eclipse2000.exe木马文件,并删除
eclypse v1.0
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run\
删除右边的项目:rnaapp ="c:\windows\system\rmaapp.exe"
关闭保存regedit,重新启动windows
删除c:\windows\system\rmaapp.exe
注意:不要删除rnaapp.exe
ok
executer v1
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run\
在右边的项目查找到"c:\windows\sexec.exe",并删除。
关闭保存regedit,重新启动windows
相应删除木马程序文件。
ok
fakeftp beta
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run\
删除右边的项目:rundll32 = rundll3.tww /h
关闭保存regedit,重新启动windows
找到c:\windows\文件夹下的三个文件并删除它们
rundll3.bat - 9x.reg - nt.reg
ok
forced entry
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run\
删除右边的项目:microsoftregistration32 = "c:\somepath \trojanhrs.exe"
关闭保存regedit,重新启动windows
由于路径容易改变,只要查找到trojanhrs.exe,并删除它。
gatecrasher v1.0 - 1.2
清除木马v1.0:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run\
删除右边的项目:explore=‘c:\windows\explore.exe‘
关闭保存regedit,重新启动windows
然后,删除相应的木马程序。
ok
清除木马v1.1:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run\
删除右边的项目:inet=‘explore.exe‘
关闭保存regedit,重新启动windows
然后,找到相应的木马程序,并删除。
ok
清除木马v1.2:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run\
删除右边的项目:command = ‘c:\windows\system.exe‘
关闭保存regedit,重新启动windows
然后,找到相应的木马程序,并删除。
ok
girlfriend v1.3x (including patch 1 and 2)
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run\
删除右边的项目:windll.exe ="c:\windows\windll.exe"
regedit里也保存着服务器的数据
hkey_local_machine\software\microsoft\general
删除general项目标题
关闭保存regedit,重新启动windows
然后,找到相应的木马程序,并删除。
ok
golden retreiver v1.1b
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run\
删除右边的项目:task manager="c:\mstask.exe"
关闭保存regedit,重新启动windows
然后,找到相应的木马程序,并删除。
ok
hack`a`tack 1.0 - 2000
清除木马v1.0-1.2:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run\
删除右边的项目:explorer32 ="c:\windows\expl32.exe"
关闭保存regedit,重新启动windows
然后,找到相应的木马程序,并删除。
ok
冰河v1.1 v2.2
冰河是国产 好的木马
清除木马v1.1
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
查找以下的两个路径,并删除
" c:\windows\system\ kernel32.exe"
" c:\windows\system\ sysexplr.exe"
关闭regedit
重新启动到msdos方式
删除c:\windows\system\ kernel32.exe和c:\windows\system\ sysexplr.exe木马程序
重新启动。ok
清除木马v2.2
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到msdos方式
删除于注册表相对应的木马程序
重新启动windows。ok
acid battery v1.0
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
删除右边的explorer ="c:\windows\expiorer.exe"
关闭regedit
重新启动到msdos方式
删除c:\windows\expiorer.exe木马程序
注意:不要删除正确的explorer.exe程序,它们之间只有i与l的差别。
重新启动。ok
acid shiver v1.0 + 1.0mod + lmacid
清除木马的步骤:
重新启动到msdos方式
删除c:\windows\msgsvr16.exe
然后回到windows系统
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
删除右边的explorer = "c:\windows\msgsvr16.exe"
hkey_local_machine\software\microsoft\windows\currentversion\runservices
删除右边的explorer = "c:\windows\msgsvr16.exe"
关闭regedit
重新启动。ok
重新启动到msdos方式
删除c:\windows\wintour.exe然后回到windows系统
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
删除右边的wintour = "c:\windows\wintour.exe"
hkey_local_machine\software\microsoft\windows\currentversion\runservices
删除右边的wintour = "c:\windows\wintour.exe"
关闭regedit
重新启动。ok
ambush
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run\
删除右边的zka = "zcn32.exe"
关闭regedit
重新启动到msdos方式
删除c:\windows\ zcn32.exe
重新启动。ok
aol trojan
清除木马的步骤:
启动到msdos方式
删除c:\ command.exe(删除前取消文件的隐含属性)
注意:不要删除真的command.com文件。
删除c:\ americ~1.0\buddyl~1.exe(删除前取消文件的隐含属性)
删除c:\ windows\system\norton~1\regist~1.exe(删除前取消文件的隐含属性)
打开win.ini文件
在[windows]下面"run="和"load="都加载者特洛伊木马程序的路径,必须清除它们:
run=
load=
保存win.ini
还要改正注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
删除右边的winprofile = c:\command.exe
关闭regedit,重新启动windows。ok
asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + mini 1.0, 1.1
清除木马的步骤:
注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件
在[boot]下面有个"shell=文件名"。正确的文件名是explorer.exe
如果不是"explorer.exe",那么那个文件就是木马程序,把它查找出来,删除。
保存退出system.ini
打开win.ini文件
在[windows]下面有个run=
如果你看到=后面有路径文件名,必须把它删除。
正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。
保存退出win.ini。
ok
attackftp
清除木马的步骤:
打开win.ini文件
在[windows]下面有load=wscan.exe
删除wscan.exe ,正确是load=
保存退出win.ini。
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
删除右边的reminder="wscan.exe /s"
关闭regedit,重新启动到msdos系统中
删除c:\windows\system\ wscan.exe
ok
back construction 1.0 - 2.5
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
删除右边的"c:\windows\cmctl32.exe"
关闭regedit,重新启动到msdos系统中
删除c:\windows\cmctl32.exe
ok
backdoor v2.00 - v2.03
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
删除右边的‘c:\windows\notpa.exe /o=yes‘
关闭regedit,重新启动到msdos系统中
删除c:\windows\notpa.exe
注意:不要删除真正的notepad.exe笔记本程序
ok
如何来发现并清除dll木马
从dll木马的dll文件入手,我们知道system32是个捉迷藏的好地方,许多木马都削尖了脑袋往那里钻,dll马也不例外,针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的exe和dll文件作一个记录:运行cmd--转换目录到system32--dir *.exe>exeback.txt& dir *.dll>dllback.txt,这样所有的exe和dll文件的名称都被分别记录到exeback.txt和dllback.txt中,日后如发现异常但用传统的方法查不出问题时,则要考虑是不是系统中已经潜入dll木马了.这是我们用同样的命令将system32下的exe和dll文件记录到另外exeback1.txt和dllback1.txt中,然后运行cmd--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.(用fc命令比较前后两次的dll和exe文件,并将结果输入到diff.txt中),这样我们就能发现一些多出来的dll和exe文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被dll木马光顾了。没有是 好,如果有的话也不要直接dll掉,我们可以先把它移到回收站里,若系统没有异常反应再将之彻底删除或者提交给杀毒软件公司。
ok!
bf evolution v5.3.12
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
删除右边的(default)=" "
关闭regedit,再次重新启动计算机。
将c:\windows\system\ .exe(空格exe文件)
ok
bionet v0.84 - 0.92 + 2.21
0.8x版本是运行在win95/98
0.9x以上版本有运行在win95/98 和winnt上两个软件
客户-服务器协议是一样的,因而nt客户能黑95/98被感染的机器,和win95/98客户能黑nt被感染的系统
完全一样。
清除木马的步骤:
首先准备一张98的启动盘,用它启动后,进入c:\windows目录下,用attrib libupd~1.exe -h
命令让木马程序可见,然后删除它。
抽出软盘后重新启动,进入98下,在注册表里找到:
hkey_local_machine\software\microsoft\windows\currentversion\run\
的子键winlibupdate = "c:\windows\libupdate.exe -hide"
将此子键删除。
bla v1.0 - 5.03
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
删除右边的systemdoor = "c:\windows\system\mprdll.exe"
关闭regedit,重新启动计算机。
查找到c:\windows\system\mprdll.exe和
c:\windows\system\rundll.exe
注意:不要删除c:\windows\rundll.exe正确文件。
并删除两个文件。
ok
bladerunner
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
可以找到system-tray = "c:\something\something.exe"
右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要的是记下木马的
名字与目录,然后退回到ms-dos下,找到此木马文件并删除掉。
重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。
bobo v1.0 - 2.0
清除木马v1.0
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
删除右边的dirrectlibrarysupport ="c:\windows\system\dllclient.exe"
关闭regedit,重新启动计算机。
del c:\windows\system\dllclient.exe
ok
清除木马v2.0
打开注册表regedit
点击目录至:
hkey_user/.default/software/mirabilis/icq/agent/apps/icq accel/
icq accel是一个“假象“的主键,选中icq accel主键并把它删除。
重新启动计算机。ok
brainspy vbeta
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
右边有 ??? = "c:\windows\system\brainspy .exe"
???标签选是随意改变的。
关闭regedit,重新启动计算机
查找删除c:\windows\system\brainspy .exe
ok
cain and abel v1.50 - 1.51
这是一个口令木马
进入ms-dos方式
查找到c:\windows\msabel32.exe
并删除它。ok
canasson
清除木马的步骤:
打开win.ini文件
查找c:\msie5.exe,删除全部主键
保存win.ini
重新启动计算机
删除c:\msie5.exe木马文件
ok
chupachbra
清除木马的步骤:
打开win.ini文件
[windows]的下面有两个行
run=winprot.exe
load=winprot.exe
删除winprot.exe
run=
load=
保存win.ini,再打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
删除右边的‘system protect‘ = winprot.exe
重新启动windows
查找到c:\windows\system\ winprot.exe,并删除。
ok
coma v1.09
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
删除右边的‘runtime‘ = c:\windows\msgsrv36.exe
重新启动windows
查找到c:\windows\ msgsrv36.exe,并删除。
ok
control
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
删除右边的load mschv drv = c:\windows\system\mschv.exe
保存regedit,重新启动windows
查找到c:\windows\system\mschv.exe,并删除。
ok
dark shadow
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\runservices
删除右边的winfunctions="winfunctions.exe"
保存regedit,重新启动windows
查找到c:\windows\system\ winfunctions.exe,并删除。
ok
deepthroat v1.0 - 3.1 + mod (foreplay)
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
版本1.0
删除右边的项目‘system32‘=c:\windows\system32.exe
版本2.0-3.1
删除右边的项目‘systemtray‘ = ‘systray.exe‘
保存regedit,重新启动windows
版本1.0删除c:\windows\system32.exe
版本2.0-3.1
删除c:\windows\system\systray.exe
ok
delta source v0.5 - 0.7
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
删除右边的项目:ds admin tool = c:\tempserver.exe
保存regedit,重新启动windows
查找到c:\tempserver.exe,并删除它。
ok
der spaeher v3
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
删除右边的项目:explore = "c:\windows\system\dkbdll.exe "
保存regedit,重新启动windows
删除c:\windows\system\dkbdll.exe木马文件。
ok
doly v1.1 - v1.7 (se)
清除木马v1.1-v1.5版本:
这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到win.ini项目。
首先,进入ms-dos方式,删除三个木马程序,但v1.35版本多一个木马文件mdm.exe。
把下列各项全部删除:
c:\windows\system\tesk.sys
c:\windows\start menu\programs\startup\mstesk.exe
c:\program files\mstesk.exe
c:\program files\mdm.exe
重新启动windows。
接着,打开win.ini文件
找到[windows]下面load=c:\windows\system\tesk.exe项目,删除路径,改变为load=
保存win.ini文件。
后,修改注册表regedit
找到以下两个项目并删除它们
hkey_current_user\software\microsoft\windows\currentversion\run
ms tesk = "c:\program files\mstesk.exe"
和
hkey_user\.default\software\microsoft\windows\currentversion\run
ms tesk = "c:\program files\mstesk.exe"
再寻找到hkey_current_user\software\microsoft\windows\currentversion\ss
这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。
关闭保存regedit。
还有打开c:\autoexec.bat文件,删除
@echo off copy c:\sys.lon c:\windows\startmenu\startup items\
del c:\win.reg
关闭保存autoexec.bat。
ok
清除木马v1.6版本:
该木马运行时,将不能通过98的正常操作关闭,只能reset键。彻底清除步骤如下:
1.打开控制面板——添加删除程序——删除memory manager 3.0,这就是木马程序,但是它并不会把木
马的exe文件删除掉。
2.用98或dos启动盘启动(用reset键)后,转入c:\,编辑autoexec。bat,把如下内容删除:
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
保存autoexec。bat文件并返回dos后,在c:\根目录下删除木马文件:
del sys.lon
del windows\startm~1\programs\startup\mdm.exe
del progra~1\mdm.exe
3.抽出软盘重新启动,进入98后,把c:\program files\目录下的memory manager 目录删除。
清除木马v1.7版本:
首先,打开c:\autoexec.bat文件,删除
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
关闭保存autoexec.bat
然后打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run
找到c:\windows\system\mdm.exe路径并删除这个项目
点击目录至:
hkey_user/.default/software/marabilis/icq/agent/apps/
找到"c:\windows\system\kernal32.exe"路径并删除这个项目
关闭保存regedit。重新启动windows。
后,删除以下木马程序:
c:\sys.lon
c:\iecookie.exe
c:\windows\start menu\programs\startup\mdm.exe
c:\program files\mdm.exe
c:\windows\system\mdm.exe
c:\windows\system\kernal32.exe
注意:kernal32是a
ok
donald dick v1.52 - 1.55
清除木马v1.52-1.53版本:
打开注册表regedit
点击目录至:
hkey_local_machine\system\currentcontrolset\services\vxd\vmldir\
删除右边的项目:staticvxd = "vmldir.vxd"
关闭保存regedit,重新启动windows
删除c:\windows\system\vmldir.vxd
ok
清除木马v2000:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run\
删除右边的项目:configuration wizard = c:\windows\cfgwiz32.exe
关闭保存regedit,重新启动windows
删除c:\windows\cfgwiz32.exe
ok
hack99 keylogger
清除木马的步骤:
打开注册表regedit
点击目录至:
hkey_local_machine\software\microsoft\windows\currentversion\run\
推荐阅读
-
湖南阳光电子技术学校-欢迎您!
相关文章
-   网络常用基本英语
-   ATA100技术谈
-   互联网词典——什么是
-   密码的安全设定
-   主板芯片组
-   小知识:认识DLL文件
-   剖析机箱和电源
-   互联网词典:网关
-   声卡ABC
-   菜鸟必读之电脑疑难杂症解答
-   你禁用我照搬 三招破解禁用
-   互联网词典——什么是包过滤
-   一个不留 十大流氓软件完全
-   关于软件安装的一点经验
-   回收站使用全攻略
-   如何辨别二手返修板卡
-   Windows操作系统软件
-   什么是泛域名
-   VIA 4合1常见问题集
-   网络协议知识一点通
整理搜集 完整清除木马方法
2009-2-28 1:24:46 来源: 不详 作者:佚名 访问:0次 字号:【小】
相关文章列表
- · 拆卸集成电路的几种方法
- · 集成显卡的主板应该如何选购?
- · 集成电路发明人介绍
- · 常用集成电路引脚识别
- · 数字集成电路的分类与命名
- · 集成电路-74系列