100种木马的手工清除方法

cnstars

1. 冰河v1.1 v2.2

这是国产最好的木马

清除木马v1.1

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

查找以下的两个路径，并删除

" C:\windows\system\ kernel32.exe"

" C:\windows\system\ sysexplr.exe"

关闭Regedit

重新启动到MSDOS方式

删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序

重新启动。OK



清除木马v2.2

服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。

因此，不能明确说明。

你可以察看注册表，把可疑的文件路径删除。

重新启动到MSDOS方式

删除于注册表相对应的木马程序

重新启动Windows。OK



2. Acid Battery v1.0

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Explorer ="C:\WINDOWS\expiorer.exe"

关闭Regedit

重新启动到MSDOS方式

删除c:\windows\expiorer.exe木马程序

注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。

重新启动。OK



3. Acid Shiver v1.0 + 1.0Mod + lmacid

清除木马的步骤：

重新启动到MSDOS方式

删除C:\windows\MSGSVR16.EXE

然后回到Windows系统

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"

关闭Regedit

重新启动。OK

重新启动到MSDOS方式

删除C:\windows\wintour.exe然后回到Windows系统

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"

关闭Regedit

重新启动。OK



4. Ambush

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的zka = "zcn32.exe"

关闭Regedit

重新启动到MSDOS方式

删除C:\Windows\ zcn32.exe

重新启动。OK



5. AOL Trojan

清除木马的步骤：

启动到MSDOS方式

删除C:\ command.exe（删除前取消文件的隐含属性）

注意：不要删除真的command.com文件。

删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性）

删除C:\ windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性）

打开WIN.INI文件

在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径，必须清除它们：

run=

load=

保存WIN.INI

还要改正注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的WinProfile = c:\command.exe

关闭Regedit，重新启动Windows。OK



6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1

清除木马的步骤：

注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。

我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。

打开system.ini文件

在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe

如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。

保存退出system.ini

打开win.ini文件

在[WINDOWS]下面有个run=

如果你看到=后面有路径文件名，必须把它删除。

正确的应该是run=后面什么也没有。

=后面的路径文件名就是木马，把它查找出来，删除。

保存退出win.ini。

OK



7. AttackFTP

清除木马的步骤：

打开win.ini文件

在[WINDOWS]下面有load=wscan.exe

删除wscan.exe ，正确是load=

保存退出win.ini。

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Reminder="wscan.exe /s"

关闭Regedit，重新启动到MSDOS系统中

删除C:\windows\system\ wscan.exe

OK



8. Back Construction 1.0 - 2.5

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的"C:\WINDOWS\Cmctl32.exe"

关闭Regedit，重新启动到MSDOS系统中

删除C:\WINDOWS\Cmctl32.exe

OK



9. BackDoor v2.00 - v2.03

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的'c:\windows\notpa.exe /o=yes'

关闭Regedit，重新启动到MSDOS系统中

删除c:\windows\notpa.exe

注意：不要删除真正的notepad.exe笔记本程序

ＯＫ



10. BF Evolution v5.3.12

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的(Default)=" "

关闭Regedit，再次重新启动计算机。

将C:\windows\system\ .exe（空格exe文件）

ＯＫ



11. BioNet v0.84 - 0.92 + 2.21

0.8X版本是运行在Win95/98

0.9X以上版本有运行在Win95/98 和WinNT上两个软件

客户－服务器协议是一样的，因而NT客户能黑95/98被感染的机器，和Win95/98客户能黑

NT被感染的系统完全一样。

清除木马的步骤：

首先准备一张98的启动盘，用它启动后，进入c:\windows目录下，用attrib libupd~1.

exe -h

命令让木马程序可见，然后删除它。

抽出软盘后重新启动，进入98下，在注册表里找到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

的子键WinLibUpdate = "c:\windows\libupdate.exe -hide"

将此子键删除。



12. Bla v1.0 - 5.03

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Systemdoor = "C:\WINDOWS\System\mprdll.exe"

关闭Regedit，重新启动计算机。

查找到C:\WINDOWS\System\mprdll.exe和

C:\WINDOWS\system\rundll.exe

注意：不要删除C:\WINDOWS\RUNDLL.EXE正确文件。

并删除两个文件。

OK



13. BladeRunner

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

可以找到System-Tray = "c:\something\something.exe"

右边的路径可能是任何东西，这时你不需要删除它，因为木马会立即自动加上，你需要

的是记下木马的名字与目录，然后退回到MS-DOS下，找到此木马文件并删除掉。

重新启动计算机，然后重复第一步，在注册表中找到木马文件并删除此键。



14. Bobo v1.0 - 2.0

清除木马v1.0

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的DirrectLibrarySupport ="C:\WINDOWS\SYSTEM\Dllclient.exe"

关闭Regedit，重新启动计算机。

DEL C:\Windows\System\Dllclient.exe

OK

清除木马v2.0

打开注册表Regedit

点击目录至：

HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/

ICQ Accel是一个“假象“的主键，选中ICQ Accel主键并把它删除。

重新启动计算机。OK



15. BrainSpy vBeta

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

右边有 ??? = "C:\WINDOWS\system\BRAINSPY .exe"

???标签选是随意改变的。

关闭Regedit，重新启动计算机

查找删除C:\WINDOWS\system\BRAINSPY .exe

ＯＫ



16. Cain and Abel v1.50 - 1.51

这是一个口令木马

进入MS-DOS方式

查找到C:\windows\msabel32.exe

并删除它。ＯＫ



17. Canasson

清除木马的步骤：

打开WIN.INI文件

查找c:\msie5.exe，删除全部主键

保存win.ini

重新启动计算机

删除c:\msie5.exe木马文件

ＯＫ



18. Chupachbra

清除木马的步骤：

打开WIN.INI文件

[Windows]的下面有两个行

run=winprot.exe

load=winprot.exe

删除winprot.exe

run=

load=

保存Win.ini，再打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的'System Protect' = winprot.exe

重新启动Windows

查找到C:\windows\system\ winprot.exe，并删除。

ＯＫ



19. Coma v1.09

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的'RunTime' = C:\windows\msgsrv36.exe

重新启动Windows

查找到C:\windows\ msgsrv36.exe，并删除。

ＯＫ



20. Control

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的Load MSchv Drv = C:\windows\system\MSchv.exe

保存Regedit，重新启动Windows

查找到C:\windows\system\MSchv.exe，并删除。

ＯＫ



21. Dark Shadow

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\RunServices

删除右边的winfunctions="winfunctions.exe"

保存Regedit，重新启动Windows

查找到C:\windows\system\ winfunctions.exe，并删除。

ＯＫ



22. DeepThroat v1.0 - 3.1 + Mod (Foreplay)

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

版本1.0

删除右边的项目'System32'=c:\windows\system32.exe

版本2.0-3.1

删除右边的项目'SystemTray' = 'Systray.exe'

保存Regedit，重新启动Windows

版本1.0删除c:\windows\system32.exe

版本2.0-3.1

删除c:\windows\system\systray.exe

ＯＫ



23. Delta Source v0.5 - 0.7

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的项目：DS admin tool = C:\TEMPSERVER.exe

保存Regedit，重新启动Windows

查找到C:\TEMPSERVER.exe，并删除它。

ＯＫ



24. Der Spaeher v3

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的项目：explore = "c:\windows\system\dkbdll.exe "

保存Regedit，重新启动Windows

删除c:\windows\system\dkbdll.exe木马文件。

ＯＫ



--



25. Doly v1.1 - v1.7 (SE)

清除木马V1.1-V1.5版本：

这几个木马版本的木马程序放在三处，增加二个注册项目，还增加到Win.ini项目。

首先，进入MS-DOS方式，删除三个木马程序，但V1.35版本多一个木马文件mdm.exe。

把下列各项全部删除：

C:\WINDOWS\SYSTEM\tesk.sys

C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe

c:\Program Files\MStesk.exe

c:\Program Files\Mdm.exe

重新启动Windows。

接着，打开win.ini文件

找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目，删除路径，改变为load=

保存win.ini文件。

最后，修改注册表Regedit

找到以下两个项目并删除它们

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Ms tesk = "C:\Program Files\MStesk.exe"

和

HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run

Ms tesk = "C:\Program Files\MStesk.exe"

再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss

这个组是木马的全部参数选择和设置的服务器，删除这个ss组的全部项目。

关闭保存Regedit。

还有打开C:\AUTOEXEC.BAT文件，删除

@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Items\

del c:\win.reg

关闭保存autoexec.bat。

ＯＫ

清除木马V1.6版本：

该木马运行时，将不能通过98的正常操作关闭，只能RESET键。彻底清除步骤如下：

1．打开控制面板——添加删除程序——删除memory manager 3.0，这就是木马程序，但

是它并不会把木马的EXE文件删除掉。

2．用98或DOS启动盘启动（用RESET键）后，转入C:\，编辑AUTOEXEC。BAT，把如下内容

删除：

@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe

del c:\win.reg

保存AUTOEXEC。BAT文件并返回DOS后，在C：\根目录下删除木马文件：

del sys.lon

del windows\startm~1\programs\startup\mdm.exe

del progra~1\mdm.exe

3．抽出软盘重新启动，进入98后，把c:\program files\目录下的memory manager 目录

删除。

清除木马V1.7版本：

首先，打开C:\AUTOEXEC.BAT文件，删除

@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe

del c:\win.reg

关闭保存autoexec.bat

然后打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

找到c:\windows\system\mdm.exe路径并删除这个项目

点击目录至：

HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/

找到"C:\windows\system\kernal32.exe"路径并删除这个项目

关闭保存Regedit。重新启动Windows。

最后，删除以下木马程序：

c:\sys.lon

c:\iecookie.exe

c:\windows\start menu\programs\startup\mdm.exe

c:\program files\mdm.exe

c:\windows\system\mdm.exe

c:\windows\system\kernal32.exe

注意：kernal32是Ａ

ＯＫ

网路游侠

[emb7]

沉睡不醒

这好像是我整出来的那本书上的哈.(在这个站上有下载的哈)

转自---木马攻防

原名为“100种木马的手工清除方法”，发现没这么多，整理了一下才放上来,我就改名为55种了

你怎么才发了前25个哇?我来帮你加完吧.你看,我整理在书上也都注明了出处,你转贴以后也要注明的哈

26. Revenger v1.0 - 1.5

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：AppName =\"C:\\...\\server.exe\"

关闭保存Regedit，重新启动Windows

在c:\\windows查找相应的木马程序server.exe，并删除

ＯＫ



27. Ripper

清除木马的步骤：

打开system.ini文件

将shell=explorer.exe sysrunt.exe

改为shell= explorer.exe

关闭保存system.ini，重新启动Windows

在c:\\windows查找相应的木马程序sysrunt.exe，并删除

ＯＫ



28. Satans Back Door v1.0

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\

删除右边的项目：sysprot protection =\"C:\\windows\\sysprot.exe\"

关闭保存Regedit，重新启动Windows

删除C:\\windows\\sysprot.exe

ＯＫ



29. Schwindler v1.82

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：User.exe = \"C:\\WINDOWS\\User.exe\"

关闭保存Regedit，重新启动Windows

删除C:\\WINDOWS\\User.exe

ＯＫ



30. Setup Trojan (Sshare) +Mod Small Share

这个共享隐藏Ｃ盘的木马

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\



选择右边有\'C$\'的项目，并全部删除

关闭保存Regedit，重新启动Windows

ＯＫ



31. ShadowPhyre v2.12.38 - 2.X

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：WinZipp = \"C:\\WINDOWS\\SYSTEM\\WinZipp.exe /nomsg\"

或者WinZip = \"C:\\WINDOWS\\SYSTEM\\WinZip.exe /nomsg\"

关闭保存Regedit，重新启动Windows

删除C:\\WINDOWS\\ WinZipp.exe或者C:\\WINDOWS\\ WinZip.exe

ＯＫ





32. Share All

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Network\\LanMan\\



这里你将看到所有被木马共享出来的你的硬盘符号，把它们一个个删除掉。



33. ShitHeap

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\

删除右边的项目：recycle-bin = \"c:\\windows\\system\\recycle-bin.exe\"

或者recycle-bin = \"c:\\windows\\system.exe\"

关闭保存Regedit，重新启动Windows

删除c:\\windows\\system\\recycle-bin.exe或者c:\\windows\\system.exe

ＯＫ



34. Snid v1 - 2

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：System-tray = \'c:\\windows\\temp$01.exe\'

关闭保存Regedit，重新启动Windows

删除c:\\windows\\temp$01.exe

ＯＫ



35. Softwarst

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：NetApp = C:\\windows\\system\\winserv.exe

关闭保存Regedit，重新启动Windows

删除C:\\windows\\system\\winserv.exe

ＯＫ



36. Spirit 2000 Beta - v1.2 (fixed)

清除木马v Beta版本:

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：internet = \"c:\\windows\\netip.exe \"

关闭保存Regedit

打开win.ini文件

查找到run=c:\\windows\\netip.exe

更改为：run=

关闭保存win.ini，重新启动Windows

删除c:\\windows\\netip.exe和c:\\windows\\netip.exe

ＯＫ

清除木马v 1.2版本:

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：SystemTray = \"c:\\windows\\windown.exe \"

关闭保存Regedit，重新启动Windows

删除c:\\windows\\windown.exe

ＯＫ

清除木马v 1.2(fixed)版本:

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：Server 1.2.exe = \"c:\\windows\\server 1.2.exe\"

关闭保存Regedit，重新启动Windows

删除c:\\windows\\server 1.2.exe

ＯＫ



37. Stealth v2.0 - 2.16

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：Winprotect System = \"C:\\WINDOWS\\winprotecte.exe

关闭保存Regedit，重新启动Windows

删除C:\\WINDOWS\\winprotecte.exe

ＯＫ



38. SubSeven - Introduction

清除木马v1.0 - 1.1：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：SystemTrayIcon = \"C:\\WINDOWS\\SysTrayIcon.Exe\"

关闭保存Regedit，重新启动Windows

删除C:\\WINDOWS\\SysTrayIcon.Exe

ＯＫ

清除木马v1.3 - 1.4 - 1.5：

打开win.ini文件

查找到run=nodll

更改为run=

关闭保存win.ini，重新启动Windows

删除c:\\windows\\nodll.exe

ＯＫ

清除木马v1.6：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：SystemTray = \"SysTray.Exe\"

关闭保存Regedit，重新启动Windows

删除C:\\windows\\systray.exe

ＯＫ

清除木马v1.7：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

\\

查找到右边的项目：C:\\windows\\kernel16.dl，并删除

关闭保存Regedit，重新启动Windows

删除C:\\windows\\kernel16.dl

ＯＫ

清除木马v1.8：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run和

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

\\

查找到右边的项目：c:\\windows\\system.ini.，并删除

关闭保存Regedit。

打开win.ini文件

查找到run= kernel16.dl

更改为run=

关闭保存win.ini。

打开system.ini文件

查找到shell=explorer.exe kernel32.dl

更改为shell=explorer.exe

关闭保存system.ini，重新启动Windows

删除C:\\windows\\kernel16.dl

ＯＫ

清除木马v1.9 - 1.9b：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run和

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

\\

删除右边的项目：RegistryScan = \"rundll16.exe\"

关闭保存Regedit，重新启动Windows

删除C:\\windows\\rundll16.exe

ＯＫ

清除木马v2.0：

打开system.ini文件

查找到shell=explorer.exe trojanname.exe

更改为shell=explorer.exe

关闭保存system.ini，重新启动Windows

删除c:\\windows\\rundll16.exe

ＯＫ

清除木马v2.1 - 2.1 Gold + SubStealth- 2.1.3 Mod + 2.1.3 MUIE + 2.1 Bonus：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run和

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices

\\

删除右边的项目：WinLoader = MSREXE.EXE

hkey_classes_root\\exefile\\shell\\open\\command

将右边的项目更改为：@=\"\\\"%1\\\" %*\"

关闭保存Regedit。

打开win.ini文件

查找到run=msrexe.exe和

load=msrexe.exe

更改为run=

load=

关闭保存win.ini。

打开system.ini文件

查找到shell=explore.exe msrexe.exe

更改为shell=explorer.exe

关闭保存system.ini，重新启动Windows

删除C:\\windows\\ msrexe.exe

C:\\windows\\system\\systray.dll

ＯＫ

清除木马v2.2b1：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run和

删除右边的项目：加载器 = \"c:\\windows\\system\\***\"

注：加载器和文件名是随意改变的

关闭保存Regedit。

打开win.ini文件

更改为run=

关闭保存win.ini。

打开system.ini文件

更改为shell=explorer.exe

关闭保存system.ini，重新启动Windows

删除相对应的木马程序

ＯＫ



39. Telecommando 1.54

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：SystemApp＝\"ODBC.EXE\"

关闭保存Regedit，重新启动Windows

删除C:\\windows\\system\\ ODBC.EXE

ＯＫ

--







40. The Unexplained

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：InetB00st = \"C:\\WINDOWS\\TEMPINETB00ST.EXE\"

关闭保存Regedit，重新启动Windows

删除C:\\WINDOWS\\TEMPINETB00ST.EXE

ＯＫ



41. Thing v1.00 - 1.60

清除木马v1.00-1.12：

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：(Default) = \"C:\\some\\path\\here\\thing.exe\"

也有一些是在：

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\control\\SessionManager\\Known16DL

Ls\\

删除右边的项目：wsasrv.exe = \"wsasrv.exe\"

关闭保存Regedit，重新启动Windows

删除C:\\some\\path\\here\\thing.exe

ＯＫ

清除木马v 1.20版本:

进入MS_DOS方式：

del winspc13.exe

del ms097.exe

打开system.ini文件

查找到shell=explorer.exe ms097.exe

更改为：shell=explorer.exe

关闭保存system.ini，重新启动Windows

ＯＫ

清除木马v1.50版本:

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

这个项目的路径和文件名是随机改变的，察看有可疑的文件路径，将它删除。

关闭保存Regedit。

打开system.ini文件

查找到shell=explorer.exe后面是木马文件

更改为：shell=explorer.exe

关闭保存system.ini，重新启动Windows

删除相应的木马文件

ＯＫ

清除木马v1.50版本:

进入MS_DOS方式：

del winspc13.exe

del ms097.exe

打开system.ini文件

查找到shell=explorer.exe后面是木马文件

更改为：shell=explorer.exe

关闭保存system.ini，重新启动Windows

删除相应的木马文件

ＯＫ



42. Transmission Scount v1.1 - 1.2

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：Kernel16\" = C:\\WINDOWS\\Kernel16.exe

关闭保存Regedit，重新启动Windows

删除C:\\WINDOWS\\Kernel16.exe

ＯＫ



43. Trinoo

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目： System Services = service.exe

关闭保存Regedit，重新启动Windows

删除C:\\windows\\system\\service.exe

ＯＫ



44. Trojan Cow v1.0

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：SysWindow = \"C:\\WINDOWS\\Syswindow.exe\"

关闭保存Regedit，重新启动Windows

删除C:\\WINDOWS\\Syswindow.exe

ＯＫ



45. TryIt

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：Rc5Dec = C:\\Program Files\\Internet Explorer\\_.exe -guistart

关闭保存Regedit，重新启动Windows

删除C:\\Program Files\\Internet Explorer\\_.exe

ＯＫ



46. Vampire v1.0 - 1.2

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：Sockets =\"c:\\windows\\system\\Sockets.exe\"

关闭保存Regedit，重新启动Windows

删除c:\\windows\\system\\Sockets.exe

ＯＫ



47. WarTrojan v1.0 - 2.0

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：Kernel32 = \"C:\\somepath\\server.exe\"

关闭保存Regedit，重新启动Windows

删除C:\\somepath\\server.exe

ＯＫ





48. wCrat v1.2b

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：MS Windows System Explorer =\"C:\\WINDOWS\\sysexplor.exe\"

关闭保存Regedit，重新启动Windows

删除C:\\WINDOWS\\sysexplor.exe

ＯＫ



49. WebEx (v1.2, 1.3, and 1.4)

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：RunDl32 = \"C:\\windows\\system\\task_bar\"

关闭保存Regedit，重新启动Windows

删除C:\\windows\\system\\task_bar.exe和c:\\windows\\system\\msinet.ocx

ＯＫ



50. WinCrash v2

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：WinManager = \"c:\\windows\\server.exe\"

关闭保存Regedit

打开win.ini文件

查找到run=c:\\windows\\server.exe

更改为：run=

保存关闭win.ini，重新启动Windows

删除c:\\windows\\server.exe

ＯＫ



51. WinCrash

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：MsManager =\"SERVER.EXE\"

关闭保存Regedit，重新启动Windows

删除C:\\windows\\system\\ SERVER.EXE

ＯＫ



52. Xanadu v1.1

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：SETUP = \"c:\\somepath\\setup.exe\"

关闭保存Regedit，重新启动Windows

删除c:\\somepath\\setup.exe

ＯＫ



53. Xplorer v1.20

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：PCX = \"C:\\WINDOWS\\system\\PCX.exe\"

关闭保存Regedit，重新启动Windows

删除C:\\WINDOWS\\system\\PCX.exe

ＯＫ



54. Xtcp v2.0 - 2.1

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\

删除右边的项目：msgsv32 = \"C:\\WINDOWS\\system\\winmsg32.exe\"

关闭保存Regedit，重新启动Windows

删除C:\\WINDOWS\\system\\winmsg32.exe

ＯＫ



55. YAT

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\

删除右边的项目：Batterieanzeige = \'c:\\pathnamehere\\server.exe /nomsg\'

关闭保存Regedit，重新启动Windows

删除c:\\pathnamehere\\server.exe

ＯＫ