本文详述了清除多种特洛伊木马的步骤,包括冰河、Acid Battery、Back Construction等知名木马。通过修改注册表、删除特定文件以及修复系统配置,帮助用户了解木马工作原理并自行清理。
作者:小飞
有很多新手对安全问题了解比较不多,计算机种了特洛伊木马不知道怎么样来清除。虽 然现在有很多的清除特洛伊木马的软件,可以自动清除木马。但你不知道木马是怎样在
计算机中运行的,如果你看了这篇文章之后,你就会明白一些木马的原理。
虽然收集了很多木马的资料,但我也不能保证全部正确。
如果热心的网友有木马的资料,可以发对本站。谢谢大家的支持。
1. 冰河v1.1 v2.2 这是国产最好的木马 作者:黄鑫
清除木马v1.1 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 查找以下的两个路径,并删除 "
C:/windows/system/ kernel32.exe" " C:/windows/system/ sysexplr.exe" 关闭Regedit
重新启动到MSDOS方式 删除C:/windows/system/ kernel32.exe和C:/windows/system/
sysexplr.exe木马程序 重新启动。OK
清除木马v2.2 服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。 因此,不能明确说明。 你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式 删除于注册表相对应的木马程序 重新启动Windows。OK
2. Acid Battery v1.0 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 删除右边的Explorer
="C:/WINDOWS/expiorer.exe" 关闭Regedit 重新启动到MSDOS方式 删除c:/windows/expiorer.exe木马程序
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。 重新启动。OK
3. Acid Shiver v1.0 + 1.0Mod + lmacid 清除木马的步骤: 重新启动到MSDOS方式
删除C:/windows/MSGSVR16.EXE 然后回到Windows系统 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 删除右边的Explorer =
"C:/WINDOWS/MSGSVR16.EXE"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
删除右边的Explorer = "C:/WINDOWS/MSGSVR16.EXE" 关闭Regedit 重新启动。OK 重新启动到MSDOS方式
删除C:/windows/wintour.exe然后回到Windows系统 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 删除右边的Wintour =
"C:/WINDOWS/WINTOUR.EXE"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
删除右边的Wintour = "C:/WINDOWS/WINTOUR.EXE" 关闭Regedit 重新启动。OK
4. Ambush 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/ 删除右边的zka =
"zcn32.exe" 关闭Regedit 重新启动到MSDOS方式 删除C:/Windows/ zcn32.exe 重新启动。OK
5. AOL Trojan 清除木马的步骤: 启动到MSDOS方式 删除C:/ command.exe(删除前取消文件的隐含属性)
注意:不要删除真的command.com文件。 删除C:/ americ~1.0/buddyl~1.exe(删除前取消文件的隐含属性) 删除C:/
windows/system/norton~1/regist~1.exe(删除前取消文件的隐含属性) 打开WIN.INI文件
在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径,必须清除它们: run= load= 保存WIN.INI
还要改正注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 删除右边的WinProfile
= c:/command.exe 关闭Regedit,重新启动Windows。OK
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1 清除木马的步骤:
注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。 我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件 在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
如果不是"explorer.exe",那么那个文件就是木马程序,把它查找出来,删除。 保存退出system.ini 打开win.ini文件
在[WINDOWS]下面有个run= 如果你看到=后面有路径文件名,必须把它删除。 正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。 保存退出win.ini。 OK
7. AttackFTP 清除木马的步骤: 打开win.ini文件 在[WINDOWS]下面有load=wscan.exe 删除wscan.exe
,正确是load= 保存退出win.ini。 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的Reminder="wscan.exe /s" 关闭Regedit,重新启动到MSDOS系统中 删除C:/windows/system/
wscan.exe OK
8. Back Construction 1.0 - 2.5 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的"C:/WINDOWS/Cmctl32.exe" 关闭Regedit,重新启动到MSDOS系统中 删除C:/WINDOWS/Cmctl32.exe OK
9. BackDoor v2.00 - v2.03 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的'c:/windows/notpa.exe /o=yes' 关闭Regedit,重新启动到MSDOS系统中
删除c:/windows/notpa.exe 注意:不要删除真正的notepad.exe笔记本程序 OK
10. BF Evolution v5.3.12 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除右边的(Default)=" " 关闭Regedit,再次重新启动计算机。 将C:/windows/system/ .exe(空格exe文件) OK
11. BioNet v0.84 - 0.92 + 2.21 0.8X版本是运行在Win95/98 0.9X以上版本有运行在Win95/98
和WinNT上两个软件 客户-服务器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑 NT被感染的系统完全一样。
清除木马的步骤: 首先准备一张98的启动盘,用它启动后,进入c:/windows目录下,用attrib libupd~1. exe -h
命令让木马程序可见,然后删除它。 抽出软盘后重新启动,进入98下,在注册表里找到:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
的子键WinLibUpdate = "c:/windows/libupdate.exe -hide" 将此子键删除。
12. Bla v1.0 - 5.03 清除木马的步骤: 打开注册表Regedit 点击目
最低0.47元/天 解锁文章
扫一扫
1739
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
