計算機中運行的,如果你看了這篇文章之後,你就會明白一些木馬的原理。
雖然收集了很多木馬的資料,但我也不能保證全部正確。
如果熱心的網友有木馬的資料,可以發對本站。謝謝大家的支持。
1. 冰河v1.1 v2.2 這是國產最好的木馬 作者:黃鑫
清除木馬v1.1 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 查找以下的兩個路徑,並刪除 "
C:\windows\system\ kernel32.exe" " C:\windows\system\ sysexplr.exe" 關閉Regedit
重新啟動到MSDOS方式 刪除C:\windows\system\ kernel32.exe和C:\windows\system\
sysexplr.exe木馬程序 重新啟動。Tw.WiNGWIt.cOmOK
清除木馬v2.2 服務器程序、路徑用戶是可以隨意定義,寫入注冊表的鍵名也可以自己定義。 因此,不能明確說明。你可以察看注冊表,把可疑的文件路徑刪除。
重新啟動到MSDOS方式 刪除於注冊表相對應的木馬程序 重新啟動Windows。OK
2. Acid Battery v1.0 清除木馬的步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除右邊的Explorer
="C:\WINDOWS\expiorer.exe" 關閉Regedit 重新啟動到MSDOS方式 刪除c:\windows\expiorer.exe木馬程序
注意:不要刪除正確的ExpLorer.exe程序,它們之間只有i與L的差別。 重新啟動。OK
3. Acid Shiver v1.0 + 1.0Mod + lmacid 清除木馬的步驟: 重新啟動到MSDOS方式
刪除C:\windows\MSGSVR16.EXE 然後回到Windows系統打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除右邊的Explorer =
"C:\WINDOWS\MSGSVR16.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
刪除右邊的Explorer = "C:\WINDOWS\MSGSVR16.EXE" 關閉Regedit 重新啟動。OK 重新啟動到MSDOS方式
刪除C:\windows\wintour.exe然後回到Windows系統打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除右邊的Wintour =
"C:\WINDOWS\WINTOUR.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
刪除右邊的Wintour = "C:\WINDOWS\WINTOUR.EXE" 關閉Regedit 重新啟動。OK
4. Ambush 清除木馬的步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的zka =
"zcn32.exe" 關閉Regedit 重新啟動到MSDOS方式 刪除C:\Windows\ zcn32.exe 重新啟動。OK
5. AOL Trojan 清除木馬的步驟: 啟動到MSDOS方式刪除C:\ command.exe(刪除前取消文件的隱含屬性)
注意:不要刪除真的command.com文件。 刪除C:\ americ~1.0\buddyl~1.exe(刪除前取消文件的隱含屬性) 刪除C:\
windows\system\norton~1\regist~1.exe(刪除前取消文件的隱含屬性) 打開WIN.INI文件
在[WINDOWS]下面"run="和"load="都加載者特洛伊木馬程序的路徑,必須清除它們: run= load= 保存WIN.INI
還要改正注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除右邊的WinProfile
= c:\command.exe 關閉Regedit,重新啟動Windows。OK
6. Asylum v0.1,
注意:木馬程序默認文件名是wincmp32.exe,然而程序可以隨意改變文件名。 我們可以根據木馬修改的system.ini和win.ini兩個文件來清除木馬。
打開system.ini文件 在[BOOT]下面有個"shell=文件名"。正確的文件名是explorer.exe
如果不是"explorer.exe",那麼那個文件就是木馬程序,把它查找出來,刪除。保存退出system.ini 打開win.ini文件
在[WINDOWS]下面有個run= 如果你看到=後面有路徑文件名,必須把它刪除。 正確的應該是run=後面什麼也沒有。
=後面的路徑文件名就是木馬,把它查找出來,刪除。 保存退出win.ini。 OK
7. AttackFTP 清除木馬的步驟: 打開win.ini文件在[WINDOWS]下面有load=wscan.exe 刪除wscan.exe
,正確是load= 保存退出win.ini。 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的Reminder="wscan.exe /s" 關閉Regedit,重新啟動到MSDOS系統中 刪除C:\windows\system\
wscan.exe OK
8. Back Construction 1.0 - 2.5 清除木馬的步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的"C:\WINDOWS\Cmctl32.exe" 關閉Regedit,重新啟動到MSDOS系統中 刪除C:\WINDOWS\Cmctl32.exe OK
9. BackDoor v2.00 - v2.03 清除木馬的步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的'c:\windows\notpa.exe /o=yes' 關閉Regedit,重新啟動到MSDOS系統中
刪除c:\windows\notpa.exe 注意:不要刪除真正的notepad.exe筆記本程序 OK
10. BF Evolution v
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的(Default)=" " 關閉Regedit,再次重新啟動計算機。將C:\windows\system\ .exe(空格exe文件)OK
11. BioNet v0.84 - 0.92 + 2.21 0.8X版本是運行在Win95/98 0.9X以上版本有運行在Win95/98
和WinNT上兩個軟件 客戶-服務器協議是一樣的,因而NT客戶能黑95/98被感染的機器,和Win95/98客戶能黑 NT被感染的系統完全一樣。
清除木馬的步驟: 首先准備一張98的啟動盤,用它啟動後,進入c:\windows目錄下,用attrib libupd~1. exe -h
命令讓木馬程序可見,然後刪除它。 抽出軟盤後重新啟動,進入98下,在注冊表裡找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
的子鍵WinLibUpdate = "c:\windows\libupdate.exe -hide" 將此子鍵刪除。
12. Bla v1.0 - 5.03 清除木馬的步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除右邊的Systemdoor
= "C:\WINDOWS\System\mprdll.exe" 關閉Regedit,重新啟動計算機。
查找到C:\WINDOWS\System\mprdll.exe和 C:\WINDOWS\system\rundll.exe
注意:不要刪除C:\WINDOWS\RUNDLL.EXE正確文件。 並刪除兩個文件。 OK
From:http://tw.wingwit.com/Article/Common/201309/2218.html