很多计算机爱好者对安全问题了解不多,特别是计算机中了特洛伊木马不知道怎么样来清
除,
整理搜集最完整清除木马方法
。虽然现在有很多的清除特洛伊木马的软件,可以自动清除木马。但你不知道木马是怎样在计算机中运行的,如果你看了这篇文章之后,你就会明白一些木马的原理。
文章里面也有我自己处理木马的一些经验。
本资料来部分方法来自网上搜集整理而得,在这供大家研究学习所用
……………………………………………………………………………………………………………………
清除木马V1.54-1.55版本:
这两个版本跟上面的版本只是默认文件名不同,其它都一样,
把vmldir.vxd改为intld.vdx即可。
Drat v1.0 - 3.0b
清除木马的步骤:
打开注册表Regedit
点击目录至:hkey_classes_rootexefileshellopencommand
找到@=SHELL32 "%1" %*把它更改为@="%1" %*
关闭保存Regedit,重新启动Windows。
查找c:windows下shell32.*文件,并删除它。
OK
Eclipse 2000
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:bybt = "c:windowssystemeclipse2000.exe"
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunServices
删除右边的项目:cksys = "c:windowssystem could be anything .exe"
关闭保存Regedit,重新启动Windows
查找到eclipse2000.exe木马文件,并删除
Eclypse v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Rnaapp ="C:WINDOWSSYSTEMmaapp.exe"
关闭保存Regedit,重新启动Windows
删除C:WINDOWSSYSTEMmaapp.exe
注意:不要删除Rnaapp.exe
OK
Executer v1
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
在右边的项目查找到"C:windowssexec.exe",并删除。
关闭保存Regedit,重新启动Windows
相应删除木马程序文件。
OK
FakeFTP beta
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Rundll32 = rundll3.tww /h
关闭保存Regedit,重新启动Windows
找到C:windows文件夹下的三个文件并删除它们
rundll3.bat - 9x.reg - nt.reg
OK
Forced Entry
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:MicrosoftRegistration32 = "C:somepath rojanhrs.exe"
关闭保存Regedit,重新启动Windows
由于路径容易改变,只要查找到trojanhrs.exe,并删除它。
GateCrasher v1.0 - 1.2
清除木马v1.0:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Explore=‘c:windowsexplore.exe‘
关闭保存Regedit,重新启动Windows
然后,删除相应的木马程序。
OK
清除木马v1.1:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Inet=‘EXPLORE.EXE‘
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
清除木马v1.2:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Command = ‘c:windowssystem.exe‘
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
Girlfriend v1.3x (Including Patch 1 and 2)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Windll.exe ="C:windowswindll.exe"
Regedit里也保存着服务器的数据
HKEY_LOCAL_MACHINESOFTWAREMicrosoftGeneral
删除General项目标题
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
Golden Retreiver v1.1b
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Task Manager="c:mstask.exe"
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除,
电脑资料
《整理搜集最完整清除木马方法》(https://www.unjs.com)。OK
Hack`a`Tack 1.0 - 2000
清除木马v1.0-1.2:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Explorer32 ="C:windowsExpl32.exe"
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
冰河v1.1 v2.2
冰河是国产最好的木马
清除木马v1.1
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
查找以下的两个路径,并删除
" C:windowssystem kernel32.exe"
" C:windowssystem sysexplr.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:windowssystem kernel32.exe和C:windowssystem sysexplr.exe木马程序
重新启动。OK
清除木马v2.2
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows。OK
Acid Battery v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Explorer ="C:WINDOWSexpiorer.exe"
关闭Regedit
重新启动到MSDOS方式
删除c:windowsexpiorer.exe木马程序
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
重新启动。OK
Acid Shiver v1.0 + 1.0Mod + lmacid
清除木马的步骤:
重新启动到MSDOS方式
删除C:windowsMSGSVR16.EXE
然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Explorer = "C:WINDOWSMSGSVR16.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的Explorer = "C:WINDOWSMSGSVR16.EXE"
关闭Regedit
重新启动。OK
重新启动到MSDOS方式
删除C:windowswintour.exe然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Wintour = "C:WINDOWSWINTOUR.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的Wintour = "C:WINDOWSWINTOUR.EXE"
关闭Regedit
重新启动。OK
Ambush
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的zka = "zcn32.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:Windows zcn32.exe
重新启动。OK
AOL Trojan
清除木马的步骤:
启动到MSDOS方式
删除C: command.exe(删除前取消文件的隐含属性)
注意:不要删除真的command.com文件。
删除C: americ~1.0uddyl~1.exe(删除前取消文件的隐含属性)
删除C: windowssystemorton~1egist~1.exe(删除前取消文件的隐含属性)
打开WIN.INI文件
在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径,必须清除它们:
run=
load=
保存WIN.INI
还要改正注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的WinProfile = c:command.exe
关闭Regedit,重新启动Windows。OK
Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木马的步骤:
注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件
在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
如果不是"explorer.exe",那么那个文件就是木马程序,把它查找出来,删除。
保存退出system.ini
打开win.ini文件
在[WINDOWS]下面有个run=
如果你看到=后面有路径文件名,必须把它删除。
正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。
保存退出win.ini。
OK
AttackFTP
清除木马的步骤:
打开win.ini文件
在[WINDOWS]下面有load=wscan.exe
删除wscan.exe ,正确是load=
保存退出win.ini。
打开注册