常見木馬的手工清除方法1

qiubaoyang

1. 冰河v1.1 v2.2 這是國產最好的木馬 作者：黃鑫
清除木馬v1.1 打開注冊表Regedit 點擊目錄至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 查找以下的兩個路徑，并刪除 "
C:windowssystem kernel32.exe" " C:windowssystem sysexplr.exe" 關閉Regedit
重新啟動到MSDOS方式 刪除C:windowssystem kernel32.exe和C:windowssystem
sysexplr.exe木馬程序 重新啟動。 OK
清除木馬v2.2 服務器程序、路徑用戶是可以隨意定義，寫入注冊表的鍵名也可以自己定義。 因此，不能明確說明。 你可以察看注冊表，把可疑的文件路徑刪除。
重新啟動到MSDOS方式 刪除于注冊表相對應的木馬程序 重新啟動Windows。OK

2. Acid Battery v1.0 清除木馬的步驟： 打開注冊表Regedit 點擊目錄至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊的Explorer
="C:WINDOWSexpiorer.exe" 關閉Regedit 重新啟動到MSDOS方式 刪除c:windowsexpiorer.exe木馬程序
注意：不要刪除正確的ExpLorer.exe程序，它們之間只有i與L的差別。 重新啟動。OK

3. Acid Shiver v1.0 + 1.0Mod + lmacid 清除木馬的步驟： 重新啟動到MSDOS方式
刪除C:windowsMSGSVR16.EXE 然后回到Windows系統 打開注冊表Regedit 點擊目錄至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊的Explorer =
"C:WINDOWSMSGSVR16.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊的Explorer = "C:WINDOWSMSGSVR16.EXE" 關閉Regedit 重新啟動。OK 重新啟動到MSDOS方式
刪除C:windowswintour.exe然后回到Windows系統 打開注冊表Regedit 點擊目錄至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊的Wintour =
"C:WINDOWSWINTOUR.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊的Wintour = "C:WINDOWSWINTOUR.EXE" 關閉Regedit 重新啟動。OK

4. Ambush 清除木馬的步驟： 打開注冊表Regedit 點擊目錄至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊的zka =
"zcn32.exe" 關閉Regedit 重新啟動到MSDOS方式 刪除C:Windows zcn32.exe 重新啟動。OK

5. AOL Trojan 清除木馬的步驟： 啟動到MSDOS方式 刪除C: command.exe（刪除前取消文件的隱含屬性）
注意：不要刪除真的command.com文件。 刪除C: americ~1.0uddyl~1.exe（刪除前取消文件的隱含屬性） 刪除C:
windowssystem orton~1 egist~1.exe（刪除前取消文件的隱含屬性） 打開WIN.INI文件
在[WINDOWS]下面"run="和"load="都加載者特洛伊木馬程序的路徑，必須清除它們： run= load= 保存WIN.INI
還要改正注冊表Regedit 點擊目錄至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊的WinProfile
= c:command.exe 關閉Regedit，重新啟動Windows。OK

6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1 清除木馬的步驟：
注意：木馬程序默認文件名是wincmp32.exe，然而程序可以隨意改變文件名。 我們可以根據木馬修改的system.ini和win.ini兩個文件來清除木馬。
打開system.ini文件 在[BOOT]下面有個"shell=文件名"。正確的文件名是explorer.exe
如果不是"explorer.exe"，那么那個文件就是木馬程序，把它查找出來，刪除。 保存退出system.ini 打開win.ini文件
在[WINDOWS]下面有個run= 如果你看到=后面有路徑文件名，必須把它刪除。 正確的應該是run=后面什么也沒有。
=后面的路徑文件名就是木馬，把它查找出來，刪除。 保存退出win.ini。 OK

7. AttackFTP 清除木馬的步驟： 打開win.ini文件 在[WINDOWS]下面有load=wscan.exe 刪除wscan.exe
，正確是load= 保存退出win.ini。 打開注冊表Regedit 點擊目錄至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊的Reminder="wscan.exe /s" 關閉Regedit，重新啟動到MSDOS系統中 刪除C:windowssystem
wscan.exe OK

8. Back Construction 1.0 - 2.5 清除木馬的步驟： 打開注冊表Regedit 點擊目錄至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊的"C:WINDOWSCmctl32.exe" 關閉Regedit，重新啟動到MSDOS系統中 刪除C:WINDOWSCmctl32.exe OK

9. BackDoor v2.00 - v2.03 清除木馬的步驟： 打開注冊表Regedit 點擊目錄至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊的'c:windows otpa.exe /o=yes' 關閉Regedit，重新啟動到MSDOS系統中
刪除c:windows otpa.exe 注意：不要刪除真正的notepad.exe筆記本程序 ＯＫ

10. BF Evolution v5.3.12 清除木馬的步驟： 打開注冊表Regedit 點擊目錄至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊的(Default)=" " 關閉Regedit，再次重新啟動計算機。 將C:windowssystem .exe（空格exe文件） ＯＫ

vip-pp

[s:241]