✔ 最佳答案
1. 冰河v1.1 v2.2
這是國產最好的木馬 作者:黃鑫
清除木馬v1.1
打開注冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
查找以下的兩個路徑,並刪除
" C:\windows\system\ kernel32.exe"
" C:\windows\system\ sysexplr.exe"
關閉Regedit
重新啟動到MSDOS方式
刪除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木馬程序
重新啟動。OK
清除木馬v2.2
服務器程序、路徑用戶是可以隨意定義,寫入注冊表的鍵名也可以自己定義。
因此,不能明確說明。
你可以察看注冊表,把可疑的文件路徑刪除。
重新啟動到MSDOS方式
刪除於注冊表相對應的木馬程序
重新啟動Windows。OK
2. Acid Battery v1.0
清除木馬的步驟:
打開注冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的Explorer ="C:\WINDOWS\expiorer.exe"
關閉Regedit
重新啟動到MSDOS方式
刪除c:\windows\expiorer.exe木馬程序
注意:不要刪除正確的ExpLorer.exe程序,它們之間只有i與L的差別。
重新啟動。OK
3. Acid Shiver v1.0 + 1.0Mod + lmacid
清除木馬的步驟:
重新啟動到MSDOS方式
刪除C:\windows\MSGSVR16.EXE
然后回到Windows系統
打開注冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
刪除右邊的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
關閉Regedit
重新啟動。OK
重新啟動到MSDOS方式
刪除C:\windows\wintour.exe然后回到Windows系統
打開注冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的Wintour = "C:\WINDOWS\WINTOUR.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
刪除右邊的Wintour = "C:\WINDOWS\WINTOUR.EXE"
關閉Regedit
重新啟動。OK
4. Ambush
清除木馬的步驟:
打開注冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的zka = "zcn32.exe"
關閉Regedit
重新啟動到MSDOS方式
刪除C:\Windows\ zcn32.exe
重新啟動。OK
5. AOL Trojan
清除木馬的步驟:
啟動到MSDOS方式
刪除C:\ command.exe(刪除前取消文件的隱含屬性)
注意:不要刪除真的command.com文件。
刪除C:\ americ~1.0\buddyl~1.exe(刪除前取消文件的隱含屬性)
刪除C:\ windows\system\norton~1\regist~1.exe(刪除前取消文件的隱含屬性)
打開WIN.INI文件
在[WINDOWS]下面"run="和"load="都加載者特洛伊木馬程序的路徑,必須清除它們:
run=
load=
保存WIN.INI
還要改正注冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的WinProfile = c:\command.exe
關閉Regedit,重新啟動Windows。OK
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木馬的步驟:
注意:木馬程序默認文件名是wincmp32.exe,然而程序可以隨意改變文件名。
我們可以根據木馬修改的system.ini和win.ini兩個文件來清除木馬。
打開system.ini文件
在[BOOT]下面有個"sh#ll=文件名"。正確的文件名是explorer.exe
如果不是"explorer.exe",那麼那個文件就是木馬程序,把它查找出來,刪除。
保存退出system.ini
打開win.ini文件
在[WINDOWS]下面有個run=
如果你看到=后面有路徑文件名,必須把它刪除。
正確的應該是run=后面什麼也沒有。
=后面的路徑文件名就是木馬,把它查找出來,刪除。
保存退出win.ini。
OK
2007-09-03 19:01:22 補充:
7. AttackFTP清除木馬的步驟:打開win.ini文件在[WINDOWS]下面有load=wscan.exe刪除wscan.exe ,正確是load=保存退出win.ini。打開注冊表Regedit點擊目錄至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run刪除右邊的Reminder="wscan.exe /s"關閉Regedit,重新啟動到MSDOS系統中刪除C:\windows\system\ wscan.exeOK
2007-09-03 19:01:38 補充:
8. Back Construction 1.0 - 2.5清除木馬的步驟:打開注冊表Regedit點擊目錄至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run刪除右邊的"C:\WINDOWS\Cmctl32.exe"關閉Regedit,重新啟動到MSDOS系統中刪除C:\WINDOWS\Cmctl32.exeOK
2007-09-03 19:03:00 補充:
我知你可能有5明 add我:
[email protected][email protected](我驚你會5回我 盡量用msn la--)