澳门新葡萄京官网注册 1 (按语:再次奉劝大家,请不要因此而忌恨我们的国宝熊猫,诅咒病毒的设计者就足够了。希望大家能尽自己所能保护这个即将灭绝的动物)

104种木马的清除方法(上)- –

这段时间,服务器被病毒折腾得要死要活,本人安全问题了解的不多,通过这次整理了一些关于清除木马的方法,希望对大家有些帮助,很宝贵的资料哦。虽然现在有很多的清除特洛伊木马的软件,可以自动清除木马。但你不知道木马是怎样在计算机中运行的,如果你看了这篇文章之后,你就会明白一些木马的原理。
此收集了资料,仅供参考:)

感染熊猫烧香病毒的机器硬盘中所有.exe文件将彻底不能运行,图标将变成一只烧香的熊猫,而且这个病毒蔓延速度特别快,也能在局域网中传播。

这里说的木马当然不是幼儿园里小朋友的玩具,而是一种远程控制软件。木马,也称特伊洛木马,名称源于古希腊的特伊洛马神话,有兴趣的可以去书店买本希腊神话故事看看。总之这木马不是个好东西,看看吧,应该怎么清理。

  1. 冰河v1.1 v2.2 这是国产最好的木马 作者:黄鑫

下面是几个有名的杀毒软件公司出品的专杀工具(完全链接至官方网站,请不必担心其安全性)

 

清除木马v1.1 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
查找以下的两个路径,并删除 ” C:windowssystem kernel32.exe” ”
C:windowssystem sysexplr.exe” 关闭Regedit 重新启动到MSDOS方式
删除C:windowssystem kernel32.exe和C:windowssystem
sysexplr.exe木马程序 重新启动。OK

瑞星公司熊猫烧香专杀工具

  1. 冰河v1.1 v2.2
    冰河是国产最好的木马
    清除木马v1.1
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    查找以下的两个路径,并删除
    ” C:windowssystem kernel32.exe”
    ” C:windowssystem sysexplr.exe”
    关闭Regedit
    重新启动到MSDOS方式
    删除C:windowssystem kernel32.exe和C:windowssystem
    sysexplr.exe木马程序
    重新启动。OK
    清除木马v2.2
    服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
    因此,不能明确说明。
    你可以察看注册表,把可疑的文件路径删除。
    重新启动到MSDOS方式
    删除于注册表相对应的木马程序
    重新启动Windows。OK

  2. Acid Battery v1.0
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的Explorer =”C:WINDOWSexpiorer.exe”
    关闭Regedit
    重新启动到MSDOS方式
    删除c:windowsexpiorer.exe木马程序
    注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
    重新启动。OK

  3. Acid Shiver v1.0 + 1.0Mod + lmacid
    清除木马的步骤:
    重新启动到MSDOS方式
    删除C:windowsMSGSVR16.EXE
    然后回到Windows系统
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的Explorer = “C:WINDOWSMSGSVR16.EXE”
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    删除右边的Explorer = “C:WINDOWSMSGSVR16.EXE”
    关闭Regedit
    重新启动。OK
    重新启动到MSDOS方式
    删除C:windowswintour.exe然后回到Windows系统
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的Wintour = “C:WINDOWSWINTOUR.EXE”
    HKEY_澳门新葡萄京官网注册,LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    删除右边的Wintour = “C:WINDOWSWINTOUR.EXE”
    关闭Regedit
    重新启动。OK

  4. Ambush
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的zka = “zcn32.exe”
    关闭Regedit
    重新启动到MSDOS方式
    删除C:Windows zcn32.exe
    重新启动。OK

  5. AOL Trojan
    清除木马的步骤:
    启动到MSDOS方式
    删除C: command.exe(删除前取消文件的隐含属性)
    注意:不要删除真的command.com文件。
    删除C: americ~1.0buddyl~1.exe(删除前取消文件的隐含属性)
    删除C:
    windowssystemnorton~1regist~1.exe(删除前取消文件的隐含属性)
    打开WIN.INI文件
    在[WINDOWS]下面”run=”和”load=”都加载者特洛伊木马程序的路径,必须清除它们:
    run=
    load=
    保存WIN.INI
    还要改正注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的WinProfile = c:command.exe
    关闭Regedit,重新启动Windows。OK

  6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
    清除木马的步骤:
    注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。
    我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
    打开system.ini文件
    在[BOOT]下面有个”shell=文件名”。正确的文件名是explorer.exe
    如果不是”explorer.exe”,那么那个文件就是木马程序,把它查找出来,删除。
    保存退出system.ini
    打开win.ini文件
    在[WINDOWS]下面有个run=
    如果你看到=后面有路径文件名,必须把它删除。
    正确的应该是run=后面什么也没有。
    =后面的路径文件名就是木马,把它查找出来,删除。
    保存退出win.ini。OK

  7. AttackFTP
    清除木马的步骤:
    打开win.ini文件
    在[WINDOWS]下面有load=wscan.exe
    删除wscan.exe ,正确是load=
    保存退出win.ini。
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的Reminder=”wscan.exe /s”
    关闭Regedit,重新启动到MSDOS系统中
    删除C:windowssystem wscan.exe
    OK

  8. Back Construction 1.0 – 2.5
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的”C:WINDOWSCmctl32.exe”
    关闭Regedit,重新启动到MSDOS系统中
    删除C:WINDOWSCmctl32.exe
    OK

  9. BackDoor v2.00 – v2.03
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的‘c:windowsnotpa.exe /o=yes‘
    关闭Regedit,重新启动到MSDOS系统中
    删除c:windowsnotpa.exe
    注意:不要删除真正的notepad.exe笔记本程序
    OK

  10. BF Evolution v5.3.12
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的(Default)=” “
    关闭Regedit,再次重新启动计算机。
    将C:windowssystem .exe(空格exe文件)
    OK

  11. BioNet v0.84 – 0.92 + 2.21
    0.8X版本是运行在Win95/98
    0.9X以上版本有运行在Win95/98 和WinNT上两个软件
    客户-服务器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑NT被感染的系统完全一样。
    清除木马的步骤:
    首先准备一张98的启动盘,用它启动后,进入c:windows目录下,用attrib
    libupd~1.exe -h
    命令让木马程序可见,然后删除它。
    抽出软盘后重新启动,进入98下,在注册表里找到:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    的子键WinLibUpdate = “c:windowslibupdate.exe -hide”
    将此子键删除。

  12. Bla v1.0 – 5.03
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的Systemdoor = “C:WINDOWSSystemmprdll.exe”
    关闭Regedit,重新启动计算机。
    查找到C:WINDOWSSystemmprdll.exe和
    C:WINDOWSsystemrundll.exe
    注意:不要删除C:WINDOWSRUNDLL.EXE正确文件。
    并删除两个文件。
    OK

  13. BladeRunner
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    可以找到System-Tray = “c:somethingsomething.exe”
    右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。
    重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。

  14. Bobo v1.0 – 2.0
    清除木马v1.0
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的DirrectLibrarySupport =”C:WINDOWSSYSTEMDllclient.exe”
    关闭Regedit,重新启动计算机。
    DEL C:WindowsSystemDllclient.exe
    OK
    清除木马v2.0
    打开注册表Regedit
    点击目录至:
    HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/
    ICQ Accel是一个”假象”的主键,选中ICQ Accel主键并把它删除。
    重新启动计算机。OK

  15. BrainSpy vBeta
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    右边有 ??? = “C:WINDOWSsystemBRAINSPY .exe”
    ???标签选是随意改变的。
    关闭Regedit,重新启动计算机
    查找删除C:WINDOWSsystemBRAINSPY .exe
    OK

  16. Cain and Abel v1.50 – 1.51
    这是一个口令木马
    进入MS-DOS方式
    查找到C:windowsmsabel32.exe
    并删除它。OK

  17. Canasson
    清除木马的步骤:
    打开WIN.INI文件
    查找c:msie5.exe,删除全部主键
    保存win.ini
    重新启动计算机
    删除c:msie5.exe木马文件
    OK

  18. Chupachbra
    清除木马的步骤:
    打开WIN.INI文件
    [Windows]的下面有两个行
    run=winprot.exe
    load=winprot.exe
    删除winprot.exe
    run=
    load=
    保存Win.ini,再打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
    删除右边的‘System Protect‘ = winprot.exe
    重新启动Windows
    查找到C:windowssystem winprot.exe,并删除。
    OK

  19. Coma v1.09
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
    删除右边的‘RunTime‘ = C:windowsmsgsrv36.exe
    重新启动Windows
    查找到C:windows msgsrv36.exe,并删除。
    OK

  20. Control
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
    删除右边的Load MSchv Drv = C:windowssystemMSchv.exe
    保存Regedit,重新启动Windows
    查找到C:windowssystemMSchv.exe,并删除。
    OK

  21. Dark Shadow
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRunServices
    删除右边的winfunctions=”winfunctions.exe”
    保存Regedit,重新启动Windows
    查找到C:windowssystem winfunctions.exe,并删除。
    OK

  22. DeepThroat v1.0 – 3.1 + Mod (Foreplay)
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
    版本1.0
    删除右边的项目‘System32‘=c:windowssystem32.exe
    版本2.0-3.1
    删除右边的项目‘SystemTray‘ = ‘Systray.exe‘
    保存Regedit,重新启动Windows
    版本1.0删除c:windowssystem32.exe
    版本2.0-3.1
    删除c:windowssystemsystray.exe
    OK

  23. Delta Source v0.5 – 0.7
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
    删除右边的项目:DS admin tool = C:TEMPSERVER.exe
    保存Regedit,重新启动Windows
    查找到C:TEMPSERVER.exe,并删除它。
    OK

  24. Der Spaeher v3
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
    删除右边的项目:explore = “c:windowssystemdkbdll.exe “
    保存Regedit,重新启动Windows
    删除c:windowssystemdkbdll.exe木马文件。
    OK

  25. Doly v1.1 – v1.7 (SE)
    清除木马V1.1-V1.5版本:
    这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到Win.ini项目。
    首先,进入MS-DOS方式,删除三个木马程序,但V1.35版本多一个木马文件mdm.exe。
    把下列各项全部删除:
    C:WINDOWSSYSTEMtesk.sys
    C:WINDOWSStart MenuProgramsStartupmstesk.exe
    c:Program FilesMStesk.exe
    c:Program FilesMdm.exe
    重新启动Windows。
    接着,打开win.ini文件
    找到[WINDOWS]下面load=c:windowssystemtesk.exe项目,删除路径,改变为load=
    保存win.ini文件。
    最后,修改注册表Regedit
    找到以下两个项目并删除它们
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
    Ms tesk = “C:Program FilesMStesk.exe”

    HKEY_USER.DefaultSoftwareMicrosoftWindowsCurrentVersionRun
    Ms tesk = “C:Program FilesMStesk.exe”
    再寻找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionss
    这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。
    关闭保存Regedit。
    还有打开C:AUTOEXEC.BAT文件,删除
    @echo off copy c:sys.lon c:windowsStartMenuStartup Items
    del c:win.reg
    关闭保存autoexec.bat。
    OK
    清除木马V1.6版本:
    该木马运行时,将不能通过98的正常操作关闭,只能RESET键。彻底清除步骤如下:
    1.打开控制面板——添加删除程序——删除memory manager
    3.0,这就是木马程序,但是它并不会把木马的EXE文件删除掉。
    2.用98或DOS启动盘启动(用RESET键)后,转入C:,编辑AUTOEXEC。BAT,把如下内容删除:
    @echo off copy c:sys.lon
    c:windowsstartm~1programsstartupmdm.exe
    del c:win.reg
    保存AUTOEXEC。BAT文件并返回DOS后,在C:根目录下删除木马文件:
    del sys.lon
    del windowsstartm~1programsstartupmdm.exe
    del progra~1mdm.exe
    3.抽出软盘重新启动,进入98后,把c:program files目录下的memory
    manager 目录删除。
    清除木马V1.7版本:
    首先,打开C:AUTOEXEC.BAT文件,删除
    @echo off copy c:sys.lon
    c:windowsstartm~1programsstartupmdm.exe
    del c:win.reg
    关闭保存autoexec.bat
    然后打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
    找到c:windowssystemmdm.exe路径并删除这个项目
    点击目录至:
    HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
    找到”C:windowssystemkernal32.exe”路径并删除这个项目
    关闭保存Regedit。重新启动Windows。
    最后,删除以下木马程序:
    c:sys.lon
    c:iecookie.exe
    c:windowsstart menuprogramsstartupmdm.exe
    c:program filesmdm.exe
    c:windowssystemmdm.exe
    c:windowssystemkernal32.exe
    注意:kernal32是A
    OK

  26. Donald Dick v1.52 – 1.55
    清除木马V1.52-1.53版本:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesVxDVMLDIR
    删除右边的项目:StaticVxD = “vmldir.vxd”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSSystemvmldir.vxd
    OK
    清除木马V1.54-1.55版本:
    这两个版本跟上面的版本只是默认文件名不同,其它都一样,
    把vmldir.vxd改为intld.vdx即可。

  27. Drat v1.0 – 3.0b
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:hkey_classes_rootexefileshellopencommand
    找到@=SHELL32 “%1″ %*把它更改为@=”%1” %*
    关闭保存Regedit,重新启动Windows。
    查找c:windows下shell32.*文件,并删除它。
    OK

  28. Eclipse 2000
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:bybt = “c:windowssystemeclipse2000.exe”
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
    RunServices
    删除右边的项目:cksys = “c:windowssystem could be anything .exe”
    关闭保存Regedit,重新启动Windows
    查找到eclipse2000.exe木马文件,并删除

  29. Eclypse v1.0
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Rnaapp =”C:WINDOWSSYSTEMrmaapp.exe”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSSYSTEMrmaapp.exe
    注意:不要删除Rnaapp.exe
    OK

  30. Executer v1
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    在右边的项目查找到”C:windowssexec.exe”,并删除。
    关闭保存Regedit,重新启动Windows
    相应删除木马程序文件。
    OK

  31. FakeFTP beta
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Rundll32 = rundll3.tww /h
    关闭保存Regedit,重新启动Windows
    找到C:windows文件夹下的三个文件并删除它们
    rundll3.bat – 9x.reg – nt.reg
    OK

  32. Forced Entry
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:MicrosoftRegistration32 = “C:somepath
    trojanhrs.exe”
    关闭保存Regedit,重新启动Windows
    由于路径容易改变,只要查找到trojanhrs.exe,并删除它。

  33. GateCrasher v1.0 – 1.2
    清除木马v1.0:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Explore=‘c:windowsexplore.exe‘
    关闭保存Regedit,重新启动Windows
    然后,删除相应的木马程序。
    OK
    清除木马v1.1:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Inet=‘EXPLORE.EXE‘
    关闭保存Regedit,重新启动Windows
    然后,找到相应的木马程序,并删除。
    OK
    清除木马v1.2:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Command = ‘c:windowssystem.exe‘
    关闭保存Regedit,重新启动Windows
    然后,找到相应的木马程序,并删除。
    OK

  34. Girlfriend v1.3x (Including Patch 1 and 2)
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Windll.exe =”C:windowswindll.exe”
    Regedit里也保存着服务器的数据
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftGeneral
    删除General项目标题
    关闭保存Regedit,重新启动Windows
    然后,找到相应的木马程序,并删除。
    OK

  35. Golden Retreiver v1.1b
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Task Manager=”c:mstask.exe”
    关闭保存Regedit,重新启动Windows
    然后,找到相应的木马程序,并删除。
    OK

  36. Hack`a`Tack 1.0 – 2000
    清除木马v1.0-1.2:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Explorer32 =”C:windowsExpl32.exe”
    关闭保存Regedit,重新启动Windows
    然后,找到相应的木马程序,并删除。
    OK
    清除木马v2000:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Configuration Wizard = c:windowscfgwiz32.exe
    关闭保存Regedit,重新启动Windows
    删除c:windowscfgwiz32.exe
    OK

  37. Hack99 KeyLogger
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:HKeyLog = “C:WindowsSystemHKeyLog.exe”
    关闭保存Regedit,重新启动Windows
    删除C:WindowsSystemHKeyLog.exe
    OK

  38. HostControl v1.0
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:RegClean = “c:windowsinfregcle32.exe”
    关闭保存Regedit,重新启动Windows
    删除c:windowsinfregcle32.exe
    OK

  39. Hvl Rat v5.30
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Explorer = “C:WINDOWSsystemMSGSVR16.EXE”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSsystemMSGSVR16.EXE
    OK

  40. ik97 v1.2
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:ik = ‘c:progra~1ikik.exe‘
    关闭保存Regedit,重新启动Windows
    删除C:Program Filesikik.exe
    OK

  41. InCommand v1.0 – 1.5
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    找到右边的项目:AdvancedSettings = *
    注意:*表示就是木马的存放路径与文件名,记下后删除此键。
    关闭保存Regedit,重新启动Windows
    按照刚才记下的木马路径与文件名删除木马程序。OK

  42. IndocTrination v0.1 – v0.11
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce
    每项标题都包括Msgsrv16 =”Msgsrv16″项目
    删除每个项目
    关闭保存Regedit,重新启动Windows
    删除C:windowssystemmsgserv16.exe
    OK

  43. inet v2.0 – 2.0n
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Explorer = “C:WINDOWSsysteminet.exe”
    关闭保存Regedit,重新启动Windows
    删除”C:WINDOWSsysteminet.exe”
    删除”C:WINDOWSsysteminet.dll”
    OK

  44. Infector v1.0 – 1.42
    清除木马的步骤:
    打开system.ini文件
    找到shell=explorer.exe c:pathtotrojan.exe项目
    改为:shell=explorer.exe
    保存关闭system.ini文件,重新启动Windows
    删除c:pathtotrojan.exe
    OK

  45. iniKiller v1.2 – 3.2 Pro
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Explore=”C:windowsbad.exe “
    关闭保存Regedit,重新启动Windows
    删除C:windowsbad.exe
    OK

  46. Intruder
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:PPModule1 = ‘ppmod1.sys‘
    关闭保存Regedit,重新启动Windows
    删除C:windowssystem ppmod1.sys
    删除C:windowssystem ppmod2.sys
    OK

  47. IRC3
    清除木马的步骤:
    打开win.ini文件
    找到load=closew项目,更改为:load=
    保存关闭win.ini,重新启动Windows
    查找这两个文件‘rundlls.exe‘ 、‘closew.bat‘
    并删除它们。
    OK

  48. Kaos v1.1 – 1.3
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Sys=”c:windowsshell32.exe”
    关闭保存Regedit,重新启动Windows
    删除c:windowsshell32.exe
    OK

  49. Khe Sanh v2.0
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:TBoot0001=”c:windowssystemtrjp.exe”
    关闭保存Regedit,重新启动Windows
    删除c:windowssystemtrjp.exe
    OK

  50. Kuang logger
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:K2logas.task =”C:WINDOWSSYSTEMK2logas.exe”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSSYSTEMK2logas.exe
    OK

  51. Kuang Original – 0.34
    清除木马v Original版本:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Temp$1.task = “c:windowssystemtemp$1.exe”
    清除木马v 0.20-0.21版本:
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:K2PS.task = “c:windowssystemk2ps.exe”
    清除木马v 0.30-0.34版本:
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:K2PS_full.task =
    “c:windowssystemk2ps_full.exe”
    关闭保存Regedit,重新启动Windows
    查找相对应的木马程序,并删除。
    OK

  52. Logger
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:??? = “C:windowssystemlogged.exe”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSSYSTEM logged.exe
    OK。
      
        
     
        
      提交者:Guest 在 2005-12-9 0:50:55

清除木马v2.2
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
因此,不能明确说明。 你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式 删除于注册表相对应的木马程序 重新启动Windows。OK

江民公司熊猫烧香专杀工具


  1. Acid Battery v1.0 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的Explorer =”C:WINDOWSexpiorer.exe” 关闭Regedit
    重新启动到MSDOS方式 删除c:windowsexpiorer.exe木马程序
    注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
    重新启动。OK

  2. Acid Shiver v1.0 + 1.0Mod + lmacid 清除木马的步骤:
    重新启动到MSDOS方式 删除C:windowsMSGSVR16.EXE 然后回到Windows系统
    打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的Explorer = “C:WINDOWSMSGSVR16.EXE”
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    删除右边的Explorer = “C:WINDOWSMSGSVR16.EXE” 关闭Regedit
    重新启动。OK 重新启动到MSDOS方式
    删除C:windowswintour.exe然后回到Windows系统 打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的Wintour = “C:WINDOWSWINTOUR.EXE”
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    删除右边的Wintour = “C:WINDOWSWINTOUR.EXE” 关闭Regedit 重新启动。OK

  3. Ambush 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的zka = “zcn32.exe” 关闭Regedit 重新启动到MSDOS方式
    删除C:Windows zcn32.exe 重新启动。OK

  4. AOL Trojan 清除木马的步骤: 启动到MSDOS方式 删除C:
    command.exe(删除前取消文件的隐含属性)
    注意:不要删除真的command.com文件。 删除C:
    americ~1.0buddyl~1.exe(删除前取消文件的隐含属性) 删除C:
    windowssystemnorton~1regist~1.exe(删除前取消文件的隐含属性)
    打开WIN.INI文件
    在[WINDOWS]下面”run=”和”load=”都加载者特洛伊木马程序的路径,必须清除它们:
    run= load= 保存WIN.INI 还要改正注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的WinProfile = c:command.exe 关闭Regedit,重新启动Windows。OK

  5. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1 清除木马的步骤:
    注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。
    我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
    打开system.ini文件
    在[BOOT]下面有个”shell=文件名”。正确的文件名是explorer.exe
    如果不是”explorer.exe”,那么那个文件就是木马程序,把它查找出来,删除。
    保存退出system.ini 打开win.ini文件 在[WINDOWS]下面有个run=
    如果你看到=后面有路径文件名,必须把它删除。
    正确的应该是run=后面什么也没有。
    =后面的路径文件名就是木马,把它查找出来,删除。 保存退出win.ini。 OK

  6. AttackFTP 清除木马的步骤: 打开win.ini文件
    在[WINDOWS]下面有load=wscan.exe 删除wscan.exe ,正确是load=
    保存退出win.ini。 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的Reminder=”wscan.exe /s” 关闭Regedit,重新启动到MSDOS系统中
    删除C:windowssystem wscan.exe OK

  7. Back Construction 1.0 – 2.5 清除木马的步骤: 打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的”C:WINDOWSCmctl32.exe” 关闭Regedit,重新启动到MSDOS系统中
    删除C:WINDOWSCmctl32.exe OK

  8. BackDoor v2.00 – v2.03 清除木马的步骤: 打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的’c:windowsnotpa.exe /o=yes’
    关闭Regedit,重新启动到MSDOS系统中 删除c:windowsnotpa.exe
    注意:不要删除真正的notepad.exe笔记本程序 OK

  9. BF Evolution v5.3.12 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的(Default)=” ” 关闭Regedit,再次重新启动计算机。
    将C:windowssystem .exe(空格exe文件) OK

  10. BioNet v0.84 – 0.92 + 2.21 0.8X版本是运行在Win95/98
    0.9X以上版本有运行在Win95/98 和WinNT上两个软件
    客户-服务器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑
    NT被感染的系统完全一样。 清除木马的步骤:
    首先准备一张98的启动盘,用它启动后,进入c:windows目录下,用attrib
    libupd~1. exe -h 命令让木马程序可见,然后删除它。
    抽出软盘后重新启动,进入98下,在注册表里找到:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    的子键WinLibUpdate = “c:windowslibupdate.exe -hide” 将此子键删除。

  11. Bla v1.0 – 5.03 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的Systemdoor = “C:WINDOWSSystemmprdll.exe”
    关闭Regedit,重新启动计算机。 查找到C:WINDOWSSystemmprdll.exe和
    C:WINDOWSsystemrundll.exe
    注意:不要删除C:WINDOWSRUNDLL.EXE正确文件。 并删除两个文件。 OK

  12. BladeRunner 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    可以找到System-Tray = “c:somethingsomething.exe”
    右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要
    的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。
    重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。

  13. Bobo v1.0 – 2.0 清除木马v1.0 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的DirrectLibrarySupport =”C:WINDOWSSYSTEMDllclient.exe”
    关闭Regedit,重新启动计算机。 DEL C:WindowsSystemDllclient.exe OK
    清除木马v2.0 打开注册表Regedit 点击目录至:
    HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/ ICQ
    Accel是一个“假象“的主键,选中ICQ Accel主键并把它删除。
    重新启动计算机。OK

  14. BrainSpy vBeta 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    右边有 ??? = “C:WINDOWSsystemBRAINSPY .exe”
    ???标签选是随意改变的。 关闭Regedit,重新启动计算机
    查找删除C:WINDOWSsystemBRAINSPY .exe OK

  15. Cain and Abel v1.50 – 1.51 这是一个口令木马 进入MS-DOS方式
    查找到C:windowsmsabel32.exe 并删除它。OK

  16. Canasson 清除木马的步骤: 打开WIN.INI文件
    查找c:msie5.exe,删除全部主键 保存win.ini 重新启动计算机
    删除c:msie5.exe木马文件 OK

  17. Chupachbra 清除木马的步骤: 打开WIN.INI文件
    [Windows]的下面有两个行 run=winprot.exe load=winprot.exe
    删除winprot.exe run= load= 保存Win.ini,再打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
    删除右边的’System Protect’ = winprot.exe 重新启动Windows
    查找到C:windowssystem winprot.exe,并删除。 OK

  18. Coma v1.09 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
    删除右边的’RunTime’ = C:windowsmsgsrv36.exe 重新启动Windows
    查找到C:windows msgsrv36.exe,并删除。 OK

  19. Control 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
    删除右边的Load MSchv Drv = C:windowssystemMSchv.exe
    保存Regedit,重新启动Windows
    查找到C:windowssystemMSchv.exe,并删除。 OK

  20. Dark Shadow 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRunServices
    删除右边的winfunctions=”winfunctions.exe” 保存Regedit,重新启动Windows
    查找到C:windowssystem winfunctions.exe,并删除。 OK

  21. DeepThroat v1.0 – 3.1 + Mod (Foreplay) 清除木马的步骤:
    打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
    版本1.0 删除右边的项目’System32’=c:windowssystem32.exe 版本2.0-3.1
    删除右边的项目’SystemTray’ = ‘Systray.exe’ 保存Regedit,重新启动Windows
    版本1.0删除c:windowssystem32.exe 版本2.0-3.1
    删除c:windowssystemsystray.exe OK

  22. Delta Source v0.5 – 0.7 清除木马的步骤: 打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
    删除右边的项目:DS admin tool = C:TEMPSERVER.exe
    保存Regedit,重新启动Windows 查找到C:TEMPSERVER.exe,并删除它。 OK

  23. Der Spaeher v3 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
    删除右边的项目:explore = “c:windowssystemdkbdll.exe ”
    保存Regedit,重新启动Windows
    删除c:windowssystemdkbdll.exe木马文件。 OK

金山公司熊猫烧香专杀工具

104种木马的清除方法(下)- –

木马一般分为客户端(client)和服务端(server),客户端就是你自己使用的各种命令的控制台,服务端则是要给别人运行,只有当运行过服务端的电脑才能够”完全由你控制”!不愿做奴隶的人们,跟我学木马清理吧。

  1. Doly v1.1 – v1.7 (SE) 清除木马V1.1-V1.5版本:
    这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到Win.ini项目。
    首先,进入MS-DOS方式,删除三个木马程序,但V1.35版本多一个木马文件mdm.exe。
    把下列各项全部删除: C:WINDOWSSYSTEMtesk.sys C:WINDOWSStart
    MenuProgramsStartupmstesk.exe c:Program FilesMStesk.exe
    c:Program FilesMdm.exe 重新启动Windows。 接着,打开win.ini文件
    找到[WINDOWS]下面load=c:windowssystemtesk.exe项目,删除路径,改变为load=
    保存win.ini文件。 最后,修改注册表Regedit 找到以下两个项目并删除它们
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
    Ms tesk = “C:Program FilesMStesk.exe” 和
    HKEY_USER.DefaultSoftwareMicrosoftWindowsCurrentVersionRun
    Ms tesk = “C:Program FilesMStesk.exe”
    再寻找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionss
    这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。
    关闭保存Regedit。 还有打开C:AUTOEXEC.BAT文件,删除 @echo off copy
    c:sys.lon c:windowsStartMenuStartup Items del c:win.reg
    关闭保存autoexec.bat。 OK 清除木马V1.6版本:
    该木马运行时,将不能通过98的正常操作关闭,只能RESET键。彻底清除步骤如下:
    1.打开控制面板——添加删除程序——删除memory manager
    3.0,这就是木马程序,但 是它并不会把木马的EXE文件删除掉。
    2.用98或DOS启动盘启动(用RESET键)后,转入C:,编辑AUTOEXEC。BAT,把如下内容
    删除: @echo off copy c:sys.lon
    c:windowsstartm~1programsstartupmdm.exe del c:win.reg
    保存AUTOEXEC。BAT文件并返回DOS后,在C:根目录下删除木马文件: del
    sys.lon del windowsstartm~1programsstartupmdm.exe del
    progra~1mdm.exe 3.抽出软盘重新启动,进入98后,把c:program
    files目录下的memory manager 目录 删除。 清除木马V1.7版本:
    首先,打开C:AUTOEXEC.BAT文件,删除 @echo off copy c:sys.lon
    c:windowsstartm~1programsstartupmdm.exe del c:win.reg
    关闭保存autoexec.bat 然后打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
    找到c:windowssystemmdm.exe路径并删除这个项目 点击目录至:
    HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
    找到”C:windowssystemkernal32.exe”路径并删除这个项目
    关闭保存Regedit。重新启动Windows。 最后,删除以下木马程序: c:sys.lon
    c:iecookie.exe c:windowsstart menuprogramsstartupmdm.exe
    c:program filesmdm.exe c:windowssystemmdm.exe
    c:windowssystemkernal32.exe 注意:kernal32是A OK

  2. Revenger v1.0 – 1.5 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:AppName =”C:…server.exe”
    关闭保存Regedit,重新启动Windows
    在c:windows查找相应的木马程序server.exe,并删除 OK

  3. Ripper 清除木马的步骤: 打开system.ini文件 将shell=explorer.exe
    sysrunt.exe 改为shell= explorer.exe 关闭保存system.ini,重新启动Windows
    在c:windows查找相应的木马程序sysrunt.exe,并删除 OK

  4. Satans Back Door v1.0 清除木马的步骤: 打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    删除右边的项目:sysprot protection =”C:windowssysprot.exe”
    关闭保存Regedit,重新启动Windows 删除C:windowssysprot.exe OK

  5. Schwindler v1.82 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:User.exe = “C:WINDOWSUser.exe”
    关闭保存Regedit,重新启动Windows 删除C:WINDOWSUser.exe OK

  6. Setup Trojan (Sshare) +Mod Small Share 这个共享隐藏C盘的木马
    清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionNetworkLanMan

熊猫烧香病毒变种 spoclsv.exe 解决方案
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播

  1. Magic Horse
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:SpoolerService=”c:windowsspoolsrv.exe”
    关闭保存Regedit,重新启动Windows
    删除c:windowsspoolsrv.exe
    OK

  2. Malicious
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersionPolicies
    删除右边的五个项目:DisableRegistryTools NoRun NoFind NoDesktop
    NoClose
    关闭保存Regedit,重新启动Windows
    OK

  3. Masters Paradise
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:SYSEDIT = c:windows sysedit.exe
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    删除右边的项目:Explorer = c:……agent.exe
    关闭保存Regedit,重新启动Windows
    查找到木马程序,并删除它们。
    注意:c:windowssystem下面的sysedit.exe文件是不是19KB,如果不是说明以被木马感染,删除它。
    OK

  4. Matrix v1.0 – 2.0
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:??? =”C:WINDOWSWincfg.exe”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSWincfg.exe
    OK

  5. MBK
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    查找并删除右边的项目:Explorer =” “后面是”mbt.exe”
    关闭保存Regedit,重新启动Windows
    查找mbt.exe并删除
    OK

  6. Millenium v1.0 – 2.0
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Millenium = “C:windowssystemreg66.exe “
    关闭保存Regedit,重新启动Windows
    删除C:windowssystemreg66.exe
    OK

  7. NetSphere v1.0 – 1.31337
    清除木马v1.0-1.30:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:NSSX =”C:WINDOWSsystemnssx.exe”
    HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
    HKEY_USERS****SoftwareMicrosoftWindowsCurrentVersionRun
    删除项目同上。
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSsystemnssx.exe
    OK
    清除木马v1.30-1.31337:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:ExecPowerProfile =”C:WINDOWSsystemepp32.exe”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSsystemepp32.exe
    OK

  8. NetSpy v1.0 – 2.0
    清除木马v1.0:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:SysProtect = “c:windowssystemsystem.exe”
    关闭保存Regedit,重新启动Windows
    删除c:windowssystemsystem.exe
    OK
    清除木马v2.0:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Netspy = “netspy.exe”
    关闭保存Regedit,重新启动Windows
    查找到netspy.exe,并删除
    OK

  9. NetTrojan v1.0
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:*** = “C:WINDOWSSystemglide16.exe”
    关闭保存Regedit
    打开win.ini文件
    查找到run=c:windowsfxp.exe
    把run=后面的路径删除
    关闭保存win.ini,重新启动Windows
    查找相应的木马程序,并删除
    OK

  10. Nirvana / VisualKiller v1.94 – 1.95
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:TheDoor = ‘c:windowsfontsariel.exe‘
    关闭保存Regedit,重新启动Windows
    删除c:windowsfontsariel.exe
    OK

  11. Phaze Zero v1.0b + 1.1
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:MsgServ = “msgsvr32.exe”
    关闭保存Regedit,重新启动Windows
    查找相应的木马程序,并删除
    OK

  12. Prayer v1.2 – 1.5
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:SysFiles = “C:WINDOWSSystemdlls32.exe”
    HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:SysFiles = “C:WINDOWSSystemdlls32.exe”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSSystemdlls32.exe
    OK

  13. PRIORITY (Beta)
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    Services
    删除右边的项目:”PServer”= C:WindowsSystemPServer.exe
    关闭保存Regedit,重新启动Windows
    删除C:WindowsSystemPServer.exe
    OK

  14. Progenic Password Thief / Keylogger v1.0
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:pwt =”C:WINDOWSSYSTEMpwt.exe”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSSYSTEMpwt.exe
    OK

  15. Progenic v1.0 -3.0
    清除木马的步骤:

选择右边有’C$’的项目,并全部删除 关闭保存Regedit,重新启动Windows OK

这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,
它还能中止大量的反病毒软件进程

打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目:Scandisk = “C:WINDOWSscandiskvr.exe”
关闭保存Regedit,重新启动Windows
删除C:WINDOWSscandiskvr.exe
OK

  1. ShadowPhyre v2.12.38 – 2.X 清除木马的步骤: 打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:WinZipp = “C:WINDOWSSYSTEMWinZipp.exe /nomsg”
    或者WinZip = “C:WINDOWSSYSTEMWinZip.exe /nomsg”
    关闭保存Regedit,重新启动Windows 删除C:WINDOWS
    WinZipp.exe或者C:WINDOWS WinZip.exe OK

  2. Share All 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionNetworkLanMan

1:拷贝文件
病毒运行后,会把自己拷贝到
C:WINDOWSSystem32Driversspoclsv.exe

  1. Prosiak beta – 0.70 b5
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    删除右边的项目:Microsoft DLL Loader = “windll32.exe”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWS windll32.exe
    OK

  2. Retrieve v1.3
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Microsoft Access =”C:WINDOWSaccess.exe”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSaccess.exe
    OK

  3. Revenger v1.0 – 1.5
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:AppName =”C:…server.exe”
    关闭保存Regedit,重新启动Windows
    在c:windows查找相应的木马程序server.exe,并删除
    OK

  4. Ripper
    清除木马的步骤:
    打开system.ini文件
    将shell=explorer.exe sysrunt.exe
    改为shell= explorer.exe
    关闭保存system.ini,重新启动Windows
    在c:windows查找相应的木马程序sysrunt.exe,并删除
    OK

  5. Satans Back Door v1.0
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    删除右边的项目:sysprot protection =”C:windowssysprot.exe”
    关闭保存Regedit,重新启动Windows
    删除C:windowssysprot.exe
    OK

  6. Schwindler v1.82
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:User.exe = “C:WINDOWSUser.exe”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSUser.exe
    OK

  7. Setup Trojan (Sshare) +Mod Small Share
    这个共享隐藏C盘的木马
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionNetworkLanMan
    选择右边有‘C$‘的项目,并全部删除
    关闭保存Regedit,重新启动Windows
    OK

  8. ShadowPhyre v2.12.38 – 2.X
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:WinZipp = “C:WINDOWSSYSTEMWinZipp.exe /nomsg”
    或者WinZip = “C:WINDOWSSYSTEMWinZip.exe /nomsg”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWS WinZipp.exe或者C:WINDOWS WinZip.exe
    OK

  9. Share All
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionNetworkLanMan
    这里你将看到所有被木马共享出来的你的硬盘符号,把它们一个个删除掉。

  10. ShitHeap
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    删除右边的项目:recycle-bin = “c:windowssystemrecycle-bin.exe”
    或者recycle-bin = “c:windowssystem.exe”
    关闭保存Regedit,重新启动Windows
    删除c:windowssystemrecycle-bin.exe或者c:windowssystem.exe
    OK

  11. Snid v1 – 2
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:System-tray = ‘c:windowstemp$01.exe‘
    关闭保存Regedit,重新启动Windows
    删除c:windowstemp$01.exe
    OK

  12. Softwarst
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:NetApp = C:windowssystemwinserv.exe
    关闭保存Regedit,重新启动Windows
    删除C:windowssystemwinserv.exe
    OK

  13. Spirit 2000 Beta – v1.2 (fixed)
    清除木马v Beta版本:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:internet = “c:windowsnetip.exe “
    关闭保存Regedit
    打开win.ini文件
    查找到run=c:windowsnetip.exe
    更改为:run=
    关闭保存win.ini,重新启动Windows
    删除c:windowsnetip.exe和c:windowsnetip.exe
    OK
    清除木马v 1.2版本:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:SystemTray = “c:windowswindown.exe “
    关闭保存Regedit,重新启动Windows
    删除c:windowswindown.exe
    OK
    清除木马v 1.2(fixed)版本:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Server 1.2.exe = “c:windowsserver 1.2.exe”
    关闭保存Regedit,重新启动Windows
    删除c:windowsserver 1.2.exe
    OK

  14. Stealth v2.0 – 2.16
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Winprotect System = “C:WINDOWSwinprotecte.exe
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSwinprotecte.exe
    OK

  15. SubSeven – Introduction
    清除木马v1.0 – 1.1:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:SystemTrayIcon = “C:WINDOWSSysTrayIcon.Exe”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSSysTrayIcon.Exe
    OK
    清除木马v1.3 – 1.4 – 1.5:
    打开win.ini文件
    查找到run=nodll
    更改为run=
    关闭保存win.ini,重新启动Windows
    删除c:windowsnodll.exe
    OK
    清除木马v1.6:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:SystemTray = “SysTray.Exe”
    关闭保存Regedit,重新启动Windows
    删除C:windowssystray.exe
    OK
    清除木马v1.7:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

    查找到右边的项目:C:windowskernel16.dl,并删除
    关闭保存Regedit,重新启动Windows
    删除C:windowskernel16.dl
    OK
    清除木马v1.8:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

    查找到右边的项目:c:windowssystem.ini.,并删除
    关闭保存Regedit。
    打开win.ini文件
    查找到run= kernel16.dl
    更改为run=
    关闭保存win.ini。
    打开system.ini文件
    查找到shell=explorer.exe kernel32.dl
    更改为shell=explorer.exe
    关闭保存system.ini,重新启动Windows
    删除C:windowskernel16.dl
    OK
    清除木马v1.9 – 1.9b:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

    删除右边的项目:RegistryScan = “rundll16.exe”
    关闭保存Regedit,重新启动Windows
    删除C:windowsrundll16.exe
    OK
    清除木马v2.0:
    打开system.ini文件
    查找到shell=explorer.exe trojanname.exe
    更改为shell=explorer.exe
    关闭保存system.ini,重新启动Windows
    删除c:windowsrundll16.exe
    OK
    清除木马v2.1 – 2.1 Gold + SubStealth- 2.1.3 Mod + 2.1.3 MUIE + 2.1
    Bonus:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

    删除右边的项目:WinLoader = MSREXE.EXE
    hkey_classes_rootexefileshellopencommand
    将右边的项目更改为:@=””%1″ %*”
    关闭保存Regedit。
    打开win.ini文件
    查找到run=msrexe.exe和
    load=msrexe.exe
    更改为run=
    load=
    关闭保存win.ini。
    打开system.ini文件
    查找到shell=explore.exe msrexe.exe
    更改为shell=explorer.exe
    关闭保存system.ini,重新启动Windows
    删除C:windows msrexe.exe
    C:windowssystemsystray.dll
    OK
    清除木马v2.2b1:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
    删除右边的项目:加载器 = “c:windowssystem***”
    注:加载器和文件名是随意改变的
    关闭保存Regedit。
    打开win.ini文件
    更改为run=
    关闭保存win.ini。
    打开system.ini文件
    更改为shell=explorer.exe
    关闭保存system.ini,重新启动Windows
    删除相对应的木马程序
    OK

  16. Telecommando 1.54
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:SystemApp=”ODBC.EXE”
    关闭保存Regedit,重新启动Windows
    删除C:windowssystem ODBC.EXE
    OK

  17. The Unexplained
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:InetB00st = “C:WINDOWSTEMPINETB00ST.EXE”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSTEMPINETB00ST.EXE
    OK

  18. Thing v1.00 – 1.60
    清除木马v1.00-1.12:
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:(Default) = “C:somepathherething.exe”
    也有一些是在:
    HKEY_LOCAL_MACHINESystemCurrentControlSetcontrolSessionManagerKnown16DLLs
    删除右边的项目:wsasrv.exe = “wsasrv.exe”
    关闭保存Regedit,重新启动Windows
    删除C:somepathherething.exe
    OK
    清除木马v 1.20版本:
    进入MS_DOS方式:
    del winspc13.exe
    del ms097.exe
    打开system.ini文件
    查找到shell=explorer.exe ms097.exe
    更改为:shell=explorer.exe
    关闭保存system.ini,重新启动Windows
    OK
    清除木马v1.50版本:
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    这个项目的路径和文件名是随机改变的,察看有可疑的文件路径,将它删除。
    关闭保存Regedit。
    打开system.ini文件
    查找到shell=explorer.exe后面是木马文件
    更改为:shell=explorer.exe
    关闭保存system.ini,重新启动Windows
    删除相应的木马文件
    OK
    清除木马v1.50版本:
    进入MS_DOS方式:
    del winspc13.exe
    del ms097.exe
    打开system.ini文件
    查找到shell=explorer.exe后面是木马文件
    更改为:shell=explorer.exe
    关闭保存system.ini,重新启动Windows
    删除相应的木马文件
    OK

  19. Transmission Scount v1.1 – 1.2
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Kernel16″ = C:WINDOWSKernel16.exe
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSKernel16.exe
    OK

  20. Trinoo
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目: System Services = service.exe
    关闭保存Regedit,重新启动Windows
    删除C:windowssystemservice.exe
    OK

  21. Trojan Cow v1.0
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:SysWindow = “C:WINDOWSSyswindow.exe”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSSyswindow.exe
    OK

  22. TryIt
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Rc5Dec = C:Program FilesInternet Explorer_.exe
    -guistart
    关闭保存Regedit,重新启动Windows
    删除C:Program FilesInternet Explorer_.exe
    OK

  23. Vampire v1.0 – 1.2
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Sockets =”c:windowssystemSockets.exe”
    关闭保存Regedit,重新启动Windows
    删除c:windowssystemSockets.exe
    OK

  24. WarTrojan v1.0 – 2.0
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Kernel32 = “C:somepathserver.exe”
    关闭保存Regedit,重新启动Windows
    删除C:somepathserver.exe
    OK

  25. wCrat v1.2b
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:MS Windows System Explorer
    =”C:WINDOWSsysexplor.exe”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSsysexplor.exe
    OK

  26. WebEx (v1.2, 1.3, and 1.4)
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:RunDl32 = “C:windowssystemtask_bar”
    关闭保存Regedit,重新启动Windows
    删除C:windowssystemtask_bar.exe和c:windowssystemmsinet.ocx
    OK

  27. WinCrash v2
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:WinManager = “c:windowsserver.exe”
    关闭保存Regedit
    打开win.ini文件
    查找到run=c:windowsserver.exe
    更改为:run=
    保存关闭win.ini,重新启动Windows
    删除c:windowsserver.exe
    OK

  28. WinCrash
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:MsManager =”SERVER.EXE”
    关闭保存Regedit,重新启动Windows
    删除C:windowssystem SERVER.EXE
    OK

  29. Xanadu v1.1
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:SETUP = “c:somepathsetup.exe”
    关闭保存Regedit,重新启动Windows
    删除c:somepathsetup.exe
    OK

  30. Xplorer v1.20
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:PCX = “C:WINDOWSsystemPCX.exe”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSsystemPCX.exe
    OK

  31. Xtcp v2.0 – 2.1
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:msgsv32 = “C:WINDOWSsystemwinmsg32.exe”
    关闭保存Regedit,重新启动Windows
    删除C:WINDOWSsystemwinmsg32.exe
    OK

  32. YAT
    清除木马的步骤:
    打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    删除右边的项目:Batterieanzeige = ‘c:pathnamehereserver.exe
    /nomsg‘
    关闭保存Regedit,重新启动Windows
    删除c:pathnamehereserver.exe
    OK。

这里你将看到所有被木马共享出来的你的硬盘符号,把它们一个个删除掉。

2:添加注册表自启动
病毒会添加自启动项
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
svcshare -> C:WINDOWSSystem32Driversspoclsv.exe

  1. ShitHeap 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    删除右边的项目:recycle-bin = “c:windowssystemrecycle-bin.exe”
    或者recycle-bin = “c:windowssystem.exe”
    关闭保存Regedit,重新启动Windows
    删除c:windowssystemrecycle-bin.exe或者c:windowssystem.exe OK

  2. Snid v1 – 2 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:System-tray = ‘c:windowstemp$01.exe’
    关闭保存Regedit,重新启动Windows 删除c:windowstemp$01.exe OK

  3. Softwarst 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:NetApp = C:windowssystemwinserv.exe
    关闭保存Regedit,重新启动Windows 删除C:windowssystemwinserv.exe
    OK

  4. Spirit 2000 Beta – v1.2 (fixed) 清除木马v Beta版本:
    打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:internet = “c:windowsnetip.exe ” 关闭保存Regedit
    打开win.ini文件 查找到run=c:windowsnetip.exe 更改为:run=
    关闭保存win.ini,重新启动Windows
    删除c:windowsnetip.exe和c:windowsnetip.exe OK 清除木马v
    1.2版本: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:SystemTray = “c:windowswindown.exe ”
    关闭保存Regedit,重新启动Windows 删除c:windowswindown.exe OK
    清除木马v 1.2(fixed)版本: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Server 1.2.exe = “c:windowsserver 1.2.exe”
    关闭保存Regedit,重新启动Windows 删除c:windowsserver 1.2.exe OK

  5. Stealth v2.0 – 2.16 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Winprotect System = “C:WINDOWSwinprotecte.exe
    关闭保存Regedit,重新启动Windows 删除C:WINDOWSwinprotecte.exe OK

  6. SubSeven – Introduction 清除木马v1.0 – 1.1: 打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:SystemTrayIcon = “C:WINDOWSSysTrayIcon.Exe”
    关闭保存Regedit,重新启动Windows 删除C:WINDOWSSysTrayIcon.Exe OK
    清除木马v1.3 – 1.4 – 1.5: 打开win.ini文件 查找到run=nodll 更改为run=
    关闭保存win.ini,重新启动Windows 删除c:windowsnodll.exe OK
    清除木马v1.6: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:SystemTray = “SysTray.Exe”
    关闭保存Regedit,重新启动Windows 删除C:windowssystray.exe OK
    清除木马v1.7: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    查找到右边的项目:C:windowskernel16.dl,并删除
    关闭保存Regedit,重新启动Windows 删除C:windowskernel16.dl OK
    清除木马v1.8: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    查找到右边的项目:c:windowssystem.ini.,并删除 关闭保存Regedit。
    打开win.ini文件 查找到run= kernel16.dl 更改为run= 关闭保存win.ini。
    打开system.ini文件 查找到shell=explorer.exe kernel32.dl
    更改为shell=explorer.exe 关闭保存system.ini,重新启动Windows
    删除C:windowskernel16.dl OK 清除木马v1.9 – 1.9b:
    打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    删除右边的项目:RegistryScan = “rundll16.exe”
    关闭保存Regedit,重新启动Windows 删除C:windowsrundll16.exe OK
    清除木马v2.0: 打开system.ini文件 查找到shell=explorer.exe
    trojanname.exe 更改为shell=explorer.exe
    关闭保存system.ini,重新启动Windows 删除c:windowsrundll16.exe OK
    清除木马v2.1 – 2.1 Gold + SubStealth- 2.1.3 Mod + 2.1.3 MUIE + 2.1
    Bonus: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    删除右边的项目:WinLoader = MSREXE.EXE
    hkey_classes_rootexefileshellopencommand
    将右边的项目更改为:@=””%1″ %*” 关闭保存Regedit。 打开win.ini文件
    查找到run=msrexe.exe和 load=msrexe.exe 更改为run= load=
    关闭保存win.ini。 打开system.ini文件 查找到shell=explore.exe msrexe.exe
    更改为shell=explorer.exe 关闭保存system.ini,重新启动Windows
    删除C:windows msrexe.exe C:windowssystemsystray.dll OK
    清除木马v2.2b1: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
    删除右边的项目:加载器 = “c:windowssystem***”
    注:加载器和文件名是随意改变的 关闭保存Regedit。 打开win.ini文件
    更改为run= 关闭保存win.ini。 打开system.ini文件 更改为shell=explorer.exe
    关闭保存system.ini,重新启动Windows 删除相对应的木马程序 OK

  7. Telecommando 1.54 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:SystemApp=”ODBC.EXE” 关闭保存Regedit,重新启动Windows
    删除C:windowssystem ODBC.EXE OK —

  8. The Unexplained 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:InetB00st = “C:WINDOWSTEMPINETB00ST.EXE”
    关闭保存Regedit,重新启动Windows 删除C:WINDOWSTEMPINETB00ST.EXE OK

  9. Thing v1.00 – 1.60 清除木马v1.00-1.12: 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:(Default) = “C:somepathherething.exe”
    也有一些是在:
    HKEY_LOCAL_MACHINESystemCurrentControlSetcontrolSessionManagerKnown16DL

3:病毒行为
a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
QQKav
QQAV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword

Ls 删除右边的项目:wsasrv.exe = “wsasrv.exe”
关闭保存Regedit,重新启动Windows 删除C:somepathherething.exe
OK 清除木马v 1.20版本: 进入MS_DOS方式: del winspc13.exe del
ms097.exe 打开system.ini文件 查找到shell=explorer.exe ms097.exe
更改为:shell=explorer.exe 关闭保存system.ini,重新启动Windows OK
清除木马v1.50版本: 点击目录至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
这个项目的路径和文件名是随机改变的,察看有可疑的文件路径,将它删除。
关闭保存Regedit。 打开system.ini文件
查找到shell=explorer.exe后面是木马文件 更改为:shell=explorer.exe
关闭保存system.ini,重新启动Windows 删除相应的木马文件 OK
清除木马v1.50版本: 进入MS_DOS方式: del winspc13.exe del ms097.exe
打开system.ini文件 查找到shell=explorer.exe后面是木马文件
更改为:shell=explorer.exe 关闭保存system.ini,重新启动Windows
删除相应的木马文件 OK

添加注册表使自己自启动
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
svcshare -> C:WINDOWSSystem32Driversspoclsv.exe

  1. Transmission Scount v1.1 – 1.2 清除木马的步骤: 打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Kernel16″ = C:WINDOWSKernel16.exe
    关闭保存Regedit,重新启动Windows 删除C:WINDOWSKernel16.exe OK

  2. Trinoo 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目: System Services = service.exe
    关闭保存Regedit,重新启动Windows 删除C:windowssystemservice.exe
    OK

  3. Trojan Cow v1.0 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:SysWindow = “C:WINDOWSSyswindow.exe”
    关闭保存Regedit,重新启动Windows 删除C:WINDOWSSyswindow.exe OK

  4. TryIt 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Rc5Dec = C:Program FilesInternet Explorer_.exe
    -guistart 关闭保存Regedit,重新启动Windows 删除C:Program
    FilesInternet Explorer_.exe OK

  5. Vampire v1.0 – 1.2 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Sockets =”c:windowssystemSockets.exe”
    关闭保存Regedit,重新启动Windows 删除c:windowssystemSockets.exe
    OK

  6. WarTrojan v1.0 – 2.0 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:Kernel32 = “C:somepathserver.exe”
    关闭保存Regedit,重新启动Windows 删除C:somepathserver.exe OK

  7. wCrat v1.2b 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:MS Windows System Explorer =”C:WINDOWSsysexplor.exe”
    关闭保存Regedit,重新启动Windows 删除C:WINDOWSsysexplor.exe OK

  8. WebEx (v1.2, 1.3, and 1.4) 清除木马的步骤: 打开注册表Regedit
    点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:RunDl32 = “C:windowssystemtask_bar”
    关闭保存Regedit,重新启动Windows
    删除C:windowssystemtask_bar.exe和c:windowssystemmsinet.ocx
    OK

  9. WinCrash v2 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:WinManager = “c:windowsserver.exe” 关闭保存Regedit
    打开win.ini文件 查找到run=c:windowsserver.exe 更改为:run=
    保存关闭win.ini,重新启动Windows 删除c:windowsserver.exe OK

  10. WinCrash 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:MsManager =”SERVER.EXE” 关闭保存Regedit,重新启动Windows
    删除C:windowssystem SERVER.EXE OK

  11. Xanadu v1.1 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:SETUP = “c:somepathsetup.exe”
    关闭保存Regedit,重新启动Windows 删除c:somepathsetup.exe OK

  12. Xplorer v1.20 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:PCX = “C:WINDOWSsystemPCX.exe”
    关闭保存Regedit,重新启动Windows 删除C:WINDOWSsystemPCX.exe OK

  13. Xtcp v2.0 – 2.1 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    删除右边的项目:msgsv32 = “C:WINDOWSsystemwinmsg32.exe”
    关闭保存Regedit,重新启动Windows 删除C:WINDOWSsystemwinmsg32.exe
    OK

  14. YAT 清除木马的步骤: 打开注册表Regedit 点击目录至:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
    删除右边的项目:Batterieanzeige = ‘c:pathnamehereserver.exe /nomsg’
    关闭保存Regedit,重新启动Windows 删除c:pathnamehereserver.exe OK

并中止系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

b:每隔18秒
点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享

c:每隔10秒
下载病毒作者指定的文件,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享

d:每隔6秒
删除安全软件在注册表中的键值

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse

并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
CheckedValue -> 0x00

删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger