[转帖]流行木马大清除

冰洁誉儿

信大家对木马不会感到陌生吧？如今木马程序的种类越来越多，其危害性也越来越大，被安装上木马程序的电脑多得数不胜数。下面总结了一些流行的木马病毒的解决方法，让我们来看看如何清除它们。 　　
1、BO2000 　　查看注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServicse 中是否存在Umgr32.exe 的键值。有则将其删除。重新启动电脑，并将\Windows\System中的Umgr32.exe删除。 　　
2、NetSpy 　　查看注册表\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run 中是否有“Spynotify.exe”和“Netspy.exe”。有则将其删除，重新启动电脑后将\Windows\System中的相应文件删除。 　　
3、Happy99 　　此程序运行时，会在打开一个名为“Happy new year 1999”的窗口，并出现美丽的烟花，它会复制到Windows主文件夹的“System”目录下，更名为Ska.exe，并创建文件Ska.dll，同时修改Wsock32.dll，将修改前的文件备份为Wsock32.ska，并修改注册表。另外，用户可以检查注册\HEKY-LOCAL-MACHINE\Softwre\Microsoft\Windows\ Current Version\RunOnce中有无键值Ska.exe。有则将其删除，并删除\Windows\System中的Ska.exe和Ska.dll两个文件，将Wsock32.ska更名为Wscok32.dll。 　　
4、NetBus 　　在MS-DOS方式下用“Netstat-an”命令查看12345端口是否开启，在注册表相应位置中是否有可疑文件。首先清除注册表中的NetBus的主键，然后重新启动电脑，删除可执行文件即可。 　　
5、Asylum 　　这个木马程序是修改了system.ini win.ini两个文件，先查一下system.ini文件下面的[BOOT]项，看看"shell=explorer.exe”，如不是则删除它，用回上面的设置，并记下原来的文件名以便回过头去在纯DOS下删除它。再打开win.ini文件，看在[windows]项下的"run=”是不是有什么文件名，一般情况下是没有任何加载值的，如有记下它以便回过头过在纯DOS下删除相应的文件名。 　　
6、冰河 　　用纯DOS启动进入系统（以防木马的自动恢复），删除你安装的windows下的system\kernel32.exe和system\sysexplr.exe两个木马文件，注意如果系统提示你不能删除它们，则因为木马程序自动设置了这两个文件的属性，我们只需要打开它们的隐藏、只读属性，方法是键入如下命令：Attriba h r kernel32.exe或sysexplr.exe即可。 　　删除后进入windows系统进入注册表中，找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]两项，然后查找kernel32.exe和sysexplr.exe两个键值。再找到[HKEY_CLASSES_ROOT\txtfile\open\command],看在键值中是不是已改为“sysexplr.exe%1”，如是改回"notepad.exe %1” 。 　　
7、GOP 　　GOP木马会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键下添加一个键值让自己自动运行。所以，首先要禁止该项。点击“开始”→“运行”，输入“msinfo32”，查看其中的“软件环境”→“正在运行的任务”，如果发现哪个项目只有程序名和路径，而没有版本、厂商和说明，你就应该提高警惕了。一般说来，GOP木马在这里显示的版本为“不能用”。现在运行regedit，进入到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键，记住刚才那个身份不明的运行项目，找到后删除该键值。然后关闭计算机，稍候一下启动计算机。还记得刚才查看到的项目路径吧？那就是木马的程序的藏身之处！接下来的任务是删除木马程序本身。 　　
当然，为以防万一，除了运用上述方法清除外，还可以利用专杀木马的工具，如The Cleaner之类的工具辅助清除。

冰洁誉儿

很多新手对安全问题了解比较不多，计算机中了特洛伊木马不知道怎么样来清除。虽然现在有很多的清除特洛伊木马的软件，可以自动清除木马。但你不知道木马是怎样在计算机中运行的，如果你看了这篇文章之后，你就会明白一些木马的原理。
虽然收集了很多木马的资料，但我也不能保证全部正确。如果大家发现错误请及时于本站联系：网络安全netsafe.ayinfo.ha.cn。
如果热心的网友有木马的资料，可以发对本站。谢谢大家的支持。
1. 冰河v1.1 v2.2
这是国产最好的木马
清除木马v1.1
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
查找以下的两个路径，并删除
" C:\windows\system\ kernel32.exe"
" C:\windows\system\ sysexplr.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序
重新启动。OK
清除木马v2.2
服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。
因此，不能明确说明。
你可以察看注册表，把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows。OK
2. Acid Battery v1.0
清除木马的步骤：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer ="C:\WINDOWS\expiorer.exe"
关闭Regedit
重新启动到MSDOS方式
删除c:\windows\expiorer.exe木马程序
注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。
重新启动。OK
3. Acid Shiver v1.0 + 1.0Mod + lmacid
清除木马的步骤：
重新启动到MSDOS方式
删除C:\windows\MSGSVR16.EXE
然后回到Windows系统
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
关闭Regedit
重新启动。OK
重新启动到MSDOS方式
删除C:\windows\wintour.exe然后回到Windows系统
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
关闭Regedit
重新启动。OK
4. Ambush
清除木马的步骤：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的zka = "zcn32.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\Windows\ zcn32.exe
重新启动。OK
5. AOL Trojan
清除木马的步骤：
启动到MSDOS方式
删除C:\ command.exe（删除前取消文件的隐含属性）
注意：不要删除真的command.com文件。
删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性）
删除C:\ windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性）
打开WIN.INI文件
在[WINDOWS]下面“run=”和“load=”都加载者特洛伊木马程序的路径，必须清除它们：
run=
load=
保存WIN.INI
还要改正注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的WinProfile = c:\command.exe
关闭Regedit，重新启动Windows。OK
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木马的步骤：
注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件
在[BOOT]下面有个”shell=文件名”。正确的文件名是explorer.exe
如果不是”explorer.exe”，那么那个文件就是木马程序，把它查找出来，删除。
保存退出system.ini
打开win.ini文件
在[WINDOWS]下面有个run=
如果你看到=后面有路径文件名，必须把它删除。
正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马，把它查找出来，删除。
保存退出win.ini。
OK
7. AttackFTP
清除木马的步骤：
打开win.ini文件
在[WINDOWS]下面有load=wscan.exe
删除wscan.exe ，正确是load=
保存退出win.ini。
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Reminder="wscan.exe /s"
关闭Regedit，重新启动到MSDOS系统中
删除C:\windows\system\ wscan.exe
OK
8. Back Construction 1.0 - 2.5
清除木马的步骤：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的"C:\WINDOWS\Cmctl32.exe"
关闭Regedit，重新启动到MSDOS系统中
删除C:\WINDOWS\Cmctl32.exe
OK
9. BackDoor v2.00 - v2.03
清除木马的步骤：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的'c:\windows\notpa.exe /o=yes'
关闭Regedit，重新启动到MSDOS系统中
删除c:\windows\notpa.exe
注意：不要删除真正的notepad.exe笔记本程序
ＯＫ
10. BF Evolution v5.3.12
清除木马的步骤：
打开注册表Regedit
点击目录至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的(Default)=" "
关闭Regedit，再次重新启动计算机。
将C:\windows\system\ .exe（空格exe文件）
ＯＫ
11. BioNet v0.84 - 0.92 + 2.21
0.8X版本是运行在Win95/98
0.9X以上版本有运行在Win95/98 和WinNT上两个软件
客户－服务器协议是一样的，因而NT客户能黑95/98被感染的机器，和Win95/98客户能黑NT被感染的系统完全一样。
清除木马的步骤：
首先准备一张98的启动盘，用它启动后，进入c:\windows目录下，用attrib libupd~1.exe -h
命令让木马程序可见，然后删除它。

hnlydbyh

好