11种流行的木马清除方法

转载 2004年10月19日 15:47:00

今天在网上闲逛,发现一篇帖子对于查杀木马病毒很有帮助,对于象我这样经常受木马病毒感染的用户带来了极大的帮助,现整理下来:

一、木马Share
QQ
这是一款QQ密码窃取
软件。清除方法如下:
1、删除文件。
用进程管理软件终止spolsv.exe这个进程(或到纯DOS下),然后到windows/system文件夹下将spolsv.exe文件删除,顺便删除的还有debug.dll、MSIME5f594f58.dll两个文件,再到Windows目录下删除winin.exe文件。
2、检查注册表。
在“开始”菜单的“运行”中输入regedit检查注册表,到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下,删除名为“netconfig”的字符串。
再到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce下,删除“winin”字符串即可。
3、重新启动电脑。

二、木马BladeRunner
首先展开注册表到:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下,你会看到字符串值System-Tray,其键值为c:/something/something.exe,事实上c:/something/something.exe是可以任意变化的,就看给您下木马的人怎么设定了,所以你看到的可能与我说的不同,但这不影响我们查杀它。
根据木马在注册表中建立的的键值记下木马的名字与所在文件夹,然后退回到纯DOS下,找到此木马文件并删除掉。重新启动计算机,然后到注册表中找到我们前面提到的木马文件所建立的字符串值及其键值,删除之即可。

三、木马广外女生
广外女生是广东外语外贸大学“广外女生”网络小组的处女作,它的基本功能有:文件管理方面有上传,下载,删除,改名,设置属性,建立文件夹和运行指定文件等功能;注册表操作方面:全面模拟Windows的注册表编辑器,让远程注册表编辑工作有如在本机上操作一样方便;屏幕控制方面:可以自定义图片的质量来减少传输的时间,在局域网或高网速的地方还可以全屏操作被控方的鼠标(包括单击,双击,右键,拖动等);其他功能还有远程任务管理、邮件IP通知、邮件服务等。广外女生与其他同类软件
相比,其主要特点是:服务端程序体积小,大家熟悉的“冰河”是260多KB,而广外女生只有96KB!服务端占用系统资源少,最多时只占用3M的内存,不会影响服务端计算机的速度。隐蔽性好,不容易被发现。同时还自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样,如果发现就将该进程终止,也就是说它会使防火墙完全失去保护作用!
广外女生的清除方法
该木马程序运行后,将会在系统的SYSTEM目录下生成一个木马文件名为DIAGCFG.EXE,并关联EXE文件的打开方式,如果直接删除该文件,将会导致系统中所有的EXE文件无法打开。
1、到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除它;
2、由于DIAGCFG.EXE文件已经被删除了,因此在Windows环境下所有exe文件都将无法运行。找到Windows目录中的注册表编辑器Regedit.exe,将它改名为“Regedit.com”;
3、回到Windows模式下,运行Windows目录下的Regedit.com程序;
4、找到HKEY_CLASSES_ROOT/exefile/shell/open/command,将其默认键值改成"%1" %*;
5、找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices,删除其中名称为“Diagnostic Configuration”的键值;
6、关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe”。
7、重新启动电脑。

四、木马BrainSpy
1、检查注册表。
展开注册表到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下,你会在右边的窗口中看到有字符串值***="C:/WINDOWS/system/BRAINSPY.exe",其中“***”是随意改变,但其键值不变恒为“C:/WINDOWS/system/BRAINSPY.exe”,删除此字符串值和键值。
2、删除文件。
用进程管理软件
终止“BRAINSPY.exe”这个进程(或重新启动电脑到纯DOS下),然后到C:/WINDOWS/system文件夹下删除BRAINSPY.exe文件即可清除木马BrainSpy。

五、木马FunnyFlash
FunnyFlash的图标为FLASH
图标,很容易使人上当受骗,千万不要以为它是个FLASH文件而运行。
清除方法:
1、检查注册表。
到注册表HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices下,删除串值“723”及其键值“c:/`.exe”。
2、删除木马文件。
分别到C盘根目录、C:/WINDOWS和C:/WINDOWS/SYSTEM文件夹下找到“`.exe”文件,删除之,再到C:/WINDOWS/TEMP下删除“FunnyFlash.exe”文件即可清除木马。

六、QQ
密码侦探特别版
这也是一款QQ密码窃取密码,木马文件名为QQSPYSP.EXE,文件大小379,904byte。它的清除方法:
重启电脑到纯DOS状态下,然后将C:/WINDOWS/SYSTEM文件夹中的Internat.exe文件删除,再将该文件夹下的smaxinte.exe文件重命名Internat.exe,最后删除Windows文件夹下的Internat.exe和uttnskf.ini文件,重新启动电脑即可清除该木马。

七、木马IEthief
IEthief的图标与浏览器
IE的图标很是相似,不同之处其图标在右端的“e”字开口处添加了一排“牙齿”,这是识别它与正常的IE文件的好方法。
清除方法:
1、删除C:/WINDOWS/SYSTEM文件夹下的木马文件和相关的信息记录文件:IEthief.exe、firstrunIE.dat、IEcfg,这一步可以在纯DOS下进行。
2、更改注册表:
到注册表HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下,删除串值“ierun”及其键值“C:/WINDOWS/SYSTEM/IEthief.exe”即可。

八、木马QEyes潜伏者
QEyes潜伏者是个QQ密码窃取木马,它的清除方法如下:
1、在“开始”菜单中的“运行”中输入msconfig,找到Win.ini标签,删除“[windows]”字段下的“run=”下的字符串“c:/windows/thereadmsg.exe”。
2、检查注册表
在“开始”菜单的“运行”中输入regedit,到注册表HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下,删除字符串值netservice及其键值c:/windows/nesmsg.exe;再删除字符串值system及其键值c:/windows/system/kerne132.exe;最后再删除字符串值boot及其键值c:/windows/system/kerne116.exe。
3、清除文件
到Windows所在安装目录下删除nesmsg.exe、thereadmsg.exe、wininet.ini、raddr.txt和addr.txt文件,再到Windows/system文件夹下删除kerne116.exe、kerne132.exe文件,最后到C盘根目录下删除process.dll文件即可清除该木马。

九、木马蓝色火焰
蓝色火焰是一款没有客户端的木马,你的电脑中几乎任何和网络相关的程序都可以用来控制它,如Telnet、sterm、cterm、Zmud、Ftp、IE、Netscape、Opera、Flashget、Cuteftp……由于没有客户端,甚至可以跨平台来操控服务端,如在Unix、linux系统下……
蓝色火焰客户端与服务端连通讯通过19191端口进行;如果是微型版蓝色火焰(这是只有10K大小的微型版蓝色火焰),则使用9191端口连接。所以,也可以通过这个方法来发现“蓝色火焰”,方法是在MS-DOS窗口下(在Win2000下称作命令提示符下)运行netstat -a命令即可,如果发现有19191或9191端口开放,就表示你中木马了(这部分介绍参考了笔友的文章)。
清除方法:
1、删除木马在注册表中建立的键值。
在“开始”菜单的“运行”中输入Regedit,到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下,删除串值Network Services及其键值C:/WINDOWS/SYSTEM/tasksvc.exe。
2、恢复文件关联:
到注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command和HKEY_LOCAL_MACHINE/Software/CLASSES/txtfile/shell/open/command之下,将C:/WINDOWS/SYSTEM/sysexpl.exe %1更改为:NOTEPAD.exe %1
3、删除文件。
到C:/WINDOWS/SYSTEM下,将tasksvc.exe、sysexpl.exe、bfhook.dll这三个文件删除即可清除木马蓝色火焰。

十、木马Back Construction清除方法
到注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下,删除右边窗口中的“C:/WINDOWS/Cmctl32.exe”。
删除木马文件。
重新启动到纯DOS下,或用进程管理软件
终止进程“Cmctl32.exe”,然后到C:/WINDOWS文件夹下删除木马文件Cmctl32.exe即可。

十一、手工清除冰河木马
也许您中了冰河,苦于想把它弄掉。这里给你介绍一种方法,手工清除
环境:win9x
1、运行regedit进入注册表
2、打开HKEY_CLASSES_ROOT/txtfile/shell/open/command"
3、将“默认”的数据记下(例如:c:/windows/c_server.exe)
4、将“默认”的数据改为"c:/windows/notepad.exe %1"
5、重新启动电脑,进入dos模式。
6、把"c:/windows/c_server.exe"删除。
7、重新启动电脑。

清除wnTKYg 这个挖矿工木马的过程讲述

由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的运维工程师了。感慨一番,书归正传,下面就讲解wnTKYg如何清除。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU...
  • u010789532
  • u010789532
  • 2017年04月23日 17:41
  • 6254

linux 木马清理过程

http://mp.weixin.qq.com/s?__biz=MzA4Nzc4MjI4MQ==&mid=401028869&idx=1&sn=fb40e2d0f353c8cf3353cc3a6352...
  • u011537073
  • u011537073
  • 2015年12月11日 22:02
  • 2380

九种流行木马的发现和清除

来源: 千龙网网络公牛(Netbull)   网络公牛又名Netbull,是国产木马,默认连接端口23444,最新版本V1.1。服务端程序newserver.exe运行后,会自动脱壳成checkdll...
  • syma7788
  • syma7788
  • 2004年12月21日 18:35
  • 939

僵尸木马

今天得知我被调到移动去做僵尸木马的安全处理,搜罗了一些文章,希望有用 应当看到,由于僵尸网络日益复杂并难于检测,使得许多单位并没有完全认识到僵尸网络的造成的危害,甚至有点儿沾沾自喜,总觉得僵尸网络离...
  • yes_angel
  • yes_angel
  • 2015年07月20日 16:00
  • 832

木马清除百种方法

冰河v1.1 v2.2 这是国产最好的木马 作者:Snokebin 清除木马v1.1 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft...
  • george8
  • george8
  • 2007年06月09日 10:47
  • 169

Linux服务器中木马(肉鸡)手工清除方法(转载)

由于自己也碰到过这种情况,刚好看到这篇文章,先转载过来。的确蛮有用的哦。 首先剧透一下后门木马如下: (当然这是事后平静下来后慢慢搜出来的,那个时候喝着咖啡感觉像个自由人) 木马名称...
  • w2909526
  • w2909526
  • 2017年04月20日 17:09
  • 653

【木马】流行木马列表

NRD系列网游窃贼 类型:盗号木马 危害:通过各种木马下载器进入用户电脑,利用键盘钩子等技术盗取地下城与勇士、魔兽世界、传奇世界等多款热门网游的账号和密码信息,还能够对受害用户的电脑屏幕截...
  • jiayanhui2877
  • jiayanhui2877
  • 2014年01月22日 10:55
  • 865

救命:如何修复被挂木马的php网站

有个朋友的网站长期没有人管理,而网站PR=4,于是网站被人攻陷,首页加上了上百条黑链,找我帮忙修复 看到首页密密麻麻的黑链,第一反应就是头大。最简单的办法:格式化后重装系统。但是这个服务器web/数...
  • u013699800
  • u013699800
  • 2015年08月27日 18:00
  • 798

Linux清除木马minerd

minerd是什么今天突然发现cup使用率一直都很高,高达100%,查看后发现多了minerd这个进程,将其kill掉后,过一会还是存在 步骤: 1.删除定时任务的内容 crontab -e ...
  • juan083
  • juan083
  • 2016年08月02日 15:28
  • 2736

教你如何清除WEB服务器木马

很多朋友都碰到过这样的现象:打开一个网站,结果页面还没显示,杀毒软件就开始报警,提示检测到木马病毒。有经验的朋友会知道这是网页病毒,但是自己打开的明明是正规网站,没有哪家正规网站会将病毒放在自己的网页...
  • smartsky
  • smartsky
  • 2007年05月22日 18:23
  • 692
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:11种流行的木马清除方法
举报原因:
原因补充:

(最多只允许输入30个字)