[推荐]关于木马的手工清除.doc

Bitter · 发表于 2005-5-23 19:24:00

关于木马的手工清除
PWSteal.Lemir.Gen

在看文章之前：我想说前几天由于我个人的疏忽，接了一个广告。但是我完全不知道其站包含木马？只能说隐藏的非常的好，单看源代码是根本找不出，并且代码还经过加密。后来经过我再三的研究才发现。但是我知道这已经导致很多网吧中了木马，我也完全无能为力，所以只能提供这篇文章针对我犯的错误。打奇迹的朋友不用担心，改木马是完全针对传奇的！所以请网吧管理员进行手动清楚，以免后来者倒霉。

PWSteal.Lemir.Gen 还分好几种变种，以下是针对Expl0rer.exe，另外可能进程中还有是internet.exe这种。
首先下载：最新木马查杀软件进行检查 http://www.57sf.com/9_repentip/News200403210583.htm这里提供的都是很不错的。

另外介绍手工清楚方法，可以不通过软件。
* 提示：PWSteal.Lemir.Gen 是对一类窃号木马的统称，这个方法只适用于木马主本文件为 Expl0rer.exe 的 PWSteal.Lemir.Gen 木马，在使用此方法前请先确保自己遇到的是这个木马才可以

有许多用户反应一些杀毒软件在发现 PWSteal.Lemir.Gen(SysModule32.DLL,SysModule64.DLL) 木马后遇到无法隔离、删除或是清除后反复出现的问题。下面就告诉大家一个清除此木马简单有效的方法：

由此此木马会将自己注册为系统 Explorer 组件，即使删除后也会自动生成，所以一般的杀毒软件较难直接清除掉它，但费尔托斯特安全可以完全彻底清除掉此木马，并且删除后不会再次出现，所以如果手上有费尔托斯特安全的正式版可以使用它删除（建议先升级到最新版的病毒库）。如果没有也可以用下面的方法手工清除它（注意以下方法测试于Windows2000/XP/2003/NT，9x/me下可能有些略有不同，这时建议使用费尔托斯特安全清除）：

一、请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下（如果系统已经做了此设置可以跳过这一步）：

打开“我的电脑”；
依次打开菜单“工具/文件夹选项”；
然后在弹出的“文件夹选项”对话框中切换到“查看”页；
去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态；
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项；
去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；
最后点击“确定”。

二、按“Ctrl+Alt+Del”键弹出任务管理器，找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步，只所以要迅速是因为如果动作慢的话，木马可能会自动恢复而再次运行起来，这样就无法删除掉其他木马文件了（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）；

三、打开资源管理器进入到 “系统目录\Winnt\System32”下（如果您的win2000/nt/xp安装在C盘则就是 C:\Winnt\System32）。找到EXPL0RER.EXE文件（注意第5个字母是数字0不是字母O）、SysModule32.dll文件，然后直接删除它们。如果这时报告“文件正在使用无法删除”的类似提示则说明木马已经再次恢复了，需要从第二步开始重复做，并且从第二步到第三步一定要迅速，这里建议可以先打开资源管理器选中这几个待删除的文件，在做第二步即刚结束掉EXPL0RER.EXE进程后马上转过来删除这2个文件，这样一般就可以成功了；

四、同样在 “系统目录\Winnt\System32”目录下找到 SysModule64.dll 文件，尝试删除它，不过如果这时报告“此文件正在使用中无法删除”等类似提示也没有关系，稍后在第七步将介绍如何删除此文件；

五、打开资源管理器进入到 “系统目录\Winnt”下，找到一个 MFCD3O.DLL 文件，手工删除它；

六、打开“开始/运行”，输入“regedit”后“确定”以打开注册表编辑器，找到“HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}”键，把整个“{081FE200-A103-11D7-A46D-C770E4459F2F}”键全部删除。

七、注销当前用户或重新登录或重启电脑。之后再按第四步的方法删除掉 SysModule64.dll 文件，如果一切正常此时应该可以删除掉它了。

至此，如果一切顺利 PWSteal.Lemir.Gen 木马就应该完全从您系统中清除干净了。

------------------------------------------------------------------------------------------------

Backdoor.D.WinSys

最近网络中总是充斥着一种网页木马 Backdoor.D.WinSys，此木马是以隐藏在网页中来传播的，并且主要是在一些音乐、电影网站中，只要用户访问这种网页就会自动下载并生成隐藏文件 WINSYS.cer、WINSYS.vbs 木马文件，接着会执行它，并且会在下次电脑启动时再次自动执行，由于隐藏在网页中所以流传甚广，危害很大。
不过费尔托斯特安全用户只要平时注意打开实时防护一般都可以有效阻止它的感染。但现在有一些新的传播形式，可以逃过检查，现在告诉大家一个窍门，使用此方法不但可以阻止这个木马而且可以极为有效的阻止这一类木马的感染和传播（费尔托斯特安全的未注册版用户虽然在发现此木马时不显示具体的名称，但使用下面的方法设置后同样可以起到防护作用）：

费尔托斯特安全用户解决办法（未注册版同样有效）：

打开费尔托斯特安全的“文件”面板
在左边的“实时扫描文件类型”中分别手工新增 PL、HTR、HTA、CER 文件类型

重启费尔托斯特安全（停止托斯特->启动托斯特）

这样，当再访问到含有这类破坏代码的网页时就会被费尔托斯特安全实时拦截到 HTML.Shell.Virus 病毒并报警，从而阻止它的运行。

普通用户解决办法：

先手工把这个 C:\$NtuninstallqXXXXXX$ 目录整个删除，这里要注意这个目录的一般并不固定，但它的总体形式一般总是“$NtuninstallqXXXXXX”的形式。如果您在资源管理中看不到也许是因为您的系统没有打开“查看隐藏文件”的设置，请再这样设置一下：

打开“我的电脑”

依次打开菜单“工具/文件夹选项”

然后在弹出的“文件夹选项”对话框中切换到“查看”页
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项

最后点击“确定”

做了这几步后您再找一下这个形式的目录，如果找到就把它整个删除掉
在“开始/运行”中运行 regedit.exe 命令打开注册表编译器，然后直接 F3 键打开搜索窗口，并选择“查看“中的”“项”、“值”、“数据”项，在中间输入“winsys.cer”并搜索。这样只要在注册表中发现有此内容的您全部把它删除掉，直到搜索完毕找不到有关值。

在未联接到 Internet 的情况下打开IE，并依次打开“工具/Internet选项/删除文件”，然后在弹出的对话框中选中“删除所有脱机内容”选项，然后点击“确定”。做完这一步之后先别着急关闭这个“Internet选项”对话框，请接着按下面的步骤继续做

查看“Internet选项”对话框中“主页”处的地址，如果它不是您自己设置的网站主页或是一个非常陌生的网址则记下这个网址（只记 http:// 之后的内容，可以用鼠标选中后使用 Ctrl+C 键直接复制），然后按照第2步的方法从注册表全部搜索出并删除有关这个网址的注册表键或值

这样就可以清除掉此木马了。

-------------------------------------------------------------------------------------------------

Backdoor.livup(msstart.exe)

最近有许多用户反应一些杀毒软件在发现 Backdoor.livup(msstart.exe) 木马后遇到无法隔离、删除或是清除后反复出现的问题。下面就告诉大家一个清除此木马简单有效的方法：

费尔托斯特安全可以完全彻底清除掉此木马，如果手上有它的正式版可以使用它删除（建议先升级到最新版的病毒库）。如果没有也可以用下面的方法手工清除它（注意以下方法测试于Windows2000/XP/2003/NT，9x/me下可能有些略有不同，这时建议使用费尔托斯特安全清除）：

一、请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下（如果系统已经做了此设置可以跳过这一步）：

打开“我的电脑”；

依次打开菜单“工具/文件夹选项”；

然后在弹出的“文件夹选项”对话框中切换到“查看”页；

去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态；
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项；

去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；
最后点击“确定”。

二、按“Ctrl+Alt+Del”键弹出任务管理器，找到名是“msstart.exe”的进程，找到后选中它并点击“结束进程”以结束掉木马进程；

三、打开资源管理器进入到 “系统目录\Winnt\System32”下（如果您的win2000/nt/xp安装在C盘则就是 C:\Winnt\System32），找到 msstart.exe 文件然后直接删除它；或者您也可以通过系统搜索（窗口键+F）功能来找出系统中所有的 msstart.exe 文件，然后全部删除掉。

至此，如果一切顺利您就应该可以清除掉此木马了。

-------------------------------------------------------------------------------------------------

Backdoor.PWStealer

费尔托斯特安全可以完全清除掉此病毒（托斯特显示病毒名为“Backdoor.PWStealer”），如果手上有它的正式版可以使用它扫描并删除。如果当前没有也可以用下面的方法手工清除它（注意以下方法测试于Windows2000/XP/2003/NT，9x/me下可能有些略有不同，这时您可以使用费尔托斯特安全清除）：

一、请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下（如果系统已经做了此设置可以跳过这一步）：

打开“我的电脑”；

依次打开菜单“工具/文件夹选项”；

然后在弹出的“文件夹选项”对话框中切换到“查看”页；

去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态；
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项；

去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；
最后点击“确定”。

二、打开“开始/运行”，输入“regedit”后“确定”以打开注册表编辑器，进入到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键下，在右边列中，找到一个名为“;Rundll”的值，如果找到请双击打开看，查看并记下“数值数据”中指示的文件及路径名，一般为“C:\WINNT\System32\XXXX.exe”的形式（但并不固定，这要根据具体的环境而变化），注意其中的“XXXX.exe”代表的是任意值，并不固定，而不是4个X，所以这时一定要记清这个“XXXX.exe”所代表的文件名，记下后然后从注册表中删除这个“;Rundll”值；

三、按“Ctrl+Alt+Del”键弹出任务管理器，找到在上面第二步中记下的“XXXX.exe”的进程（注意这里的XXXX.exe是具体的名称而不是4个X）。找到有相同的进程后选中它并点击“结束进程”以结束掉木马进程；

四、打开资源管理器进入到 “系统目录\Winnt\System32”下（如果您的win2000/nt/xp安装在C盘则就是 C:\Winnt\System32）。找到XXXX.exe和XXXX.dll文件然后直接删除它们（当然，这里的XXXX所代表的仍然不是4个X，而是具体的名称）；如果在删除过程中发现XXXX.dll删除不掉，而是报告“文件正在使用中无法删除”，则可以注销或重启一下电脑，然后再按此方法找到并删除它就可以了。

至此，如果一切顺利您就应该可以清除掉此木马了。

Bitter · 发表于 2005-5-23 19:24:00

常见木马的手工清除方法
1. 冰河v1.1 v2.2 这是国产最好的木马作者：黄鑫
清除木马v1.1 打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 查找以下的两个路径，并删除 "
C:windowssystem kernel32.exe" " C:windowssystem sysexplr.exe" 关闭Regedit
重新启动到MSDOS方式删除C:windowssystem kernel32.exe和C:windowssystem
sysexplr.exe木马程序重新启动。 OK
清除木马v2.2 服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。因此，不能明确说明。你可以察看注册表，把可疑的文件路径删除。
重新启动到MSDOS方式删除于注册表相对应的木马程序重新启动Windows。OK

2. Acid Battery v1.0 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的Explorer
="C:WINDOWSexpiorer.exe" 关闭Regedit 重新启动到MSDOS方式删除c:windowsexpiorer.exe木马程序
注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。重新启动。OK

3. Acid Shiver v1.0 + 1.0Mod + lmacid 清除木马的步骤：重新启动到MSDOS方式
删除C:windowsMSGSVR16.EXE 然后回到Windows系统打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的Explorer =
"C:WINDOWSMSGSVR16.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的Explorer = "C:WINDOWSMSGSVR16.EXE" 关闭Regedit 重新启动。OK 重新启动到MSDOS方式
删除C:windowswintour.exe然后回到Windows系统打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的Wintour =
"C:WINDOWSWINTOUR.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的Wintour = "C:WINDOWSWINTOUR.EXE" 关闭Regedit 重新启动。OK

4. Ambush 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的zka =
"zcn32.exe" 关闭Regedit 重新启动到MSDOS方式删除C:Windows zcn32.exe 重新启动。OK

5. AOL Trojan 清除木马的步骤：启动到MSDOS方式删除C: command.exe（删除前取消文件的隐含属性）
注意：不要删除真的command.com文件。删除C: americ~1.0uddyl~1.exe（删除前取消文件的隐含属性）删除C:
windowssystem orton~1 egist~1.exe（删除前取消文件的隐含属性）打开WIN.INI文件
在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径，必须清除它们： run= load= 保存WIN.INI
还要改正注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的WinProfile
= c:command.exe 关闭Regedit，重新启动Windows。OK

6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1 清除木马的步骤：
注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。保存退出system.ini 打开win.ini文件
在[WINDOWS]下面有个run= 如果你看到=后面有路径文件名，必须把它删除。正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马，把它查找出来，删除。保存退出win.ini。 OK

7. AttackFTP 清除木马的步骤：打开win.ini文件在[WINDOWS]下面有load=wscan.exe 删除wscan.exe
，正确是load= 保存退出win.ini。打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的Reminder="wscan.exe /s" 关闭Regedit，重新启动到MSDOS系统中删除C:windowssystem
wscan.exe OK

8. Back Construction 1.0 - 2.5 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的"C:WINDOWSCmctl32.exe" 关闭Regedit，重新启动到MSDOS系统中删除C:WINDOWSCmctl32.exe OK

9. BackDoor v2.00 - v2.03 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的'c:windows otpa.exe /o=yes' 关闭Regedit，重新启动到MSDOS系统中
删除c:windows otpa.exe 注意：不要删除真正的notepad.exe笔记本程序ＯＫ

10. BF Evolution v5.3.12 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的(Default)=" " 关闭Regedit，再次重新启动计算机。将C:windowssystem .exe（空格exe文件）ＯＫ

11. BioNet v0.84 - 0.92 + 2.21 0.8X版本是运行在Win95/98 0.9X以上版本有运行在Win95/98
和WinNT上两个软件客户－服务器协议是一样的，因而NT客户能黑95/98被感染的机器，和Win95/98客户能黑 NT被感染的系统完全一样。
清除木马的步骤：首先准备一张98的启动盘，用它启动后，进入c:windows目录下，用attrib libupd~1. exe -h
命令让木马程序可见，然后删除它。抽出软盘后重新启动，进入98下，在注册表里找到：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
的子键WinLibUpdate = "c:windowslibupdate.exe -hide" 将此子键删除。

12. Bla v1.0 - 5.03 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的Systemdoor
= "C:WINDOWSSystemmprdll.exe" 关闭Regedit，重新启动计算机。
查找到C:WINDOWSSystemmprdll.exe和 C:WINDOWSsystem undll.exe
注意：不要删除C:WINDOWSRUNDLL.EXE正确文件。并删除两个文件。 OK

13. BladeRunner 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 可以找到System-Tray
= "c:somethingsomething.exe" 右边的路径可能是任何东西，这时你不需要删除它，因为木马会立即自动加上，你需要
的是记下木马的名字与目录，然后退回到MS-DOS下，找到此木马文件并删除掉。重新启动计算机，然后重复第一步，在注册表中找到木马文件并删除此键。

14. Bobo v1.0 - 2.0 清除木马v1.0 打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的DirrectLibrarySupport ="C:WINDOWSSYSTEMDllclient.exe" 关闭Regedit，重新启动计算机。
DEL C:WindowsSystemDllclient.exe OK 清除木马v2.0 打开注册表Regedit 点击目录至：
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/ ICQ
Accel是一个“假象“的主键，选中ICQ Accel主键并把它删除。重新启动计算机。OK

15. BrainSpy vBeta 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 右边有 ??? =
"C:WINDOWSsystemBRAINSPY .exe" ???标签选是随意改变的。关闭Regedit，重新启动计算机
查找删除C:WINDOWSsystemBRAINSPY .exe ＯＫ

16. Cain and Abel v1.50 - 1.51 这是一个口令木马进入MS-DOS方式查找到C:windowsmsabel32.exe
并删除它。ＯＫ

17. Canasson 清除木马的步骤：打开WIN.INI文件查找c:msie5.exe，删除全部主键保存win.ini 重新启动计算机
删除c:msie5.exe木马文件ＯＫ

18. Chupachbra 清除木马的步骤：打开WIN.INI文件 [Windows]的下面有两个行 run=winprot.exe
load=winprot.exe 删除winprot.exe run= load= 保存Win.ini，再打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 删除右边的'System
Protect' = winprot.exe 重新启动Windows 查找到C:windowssystem winprot.exe，并删除。ＯＫ

19. Coma v1.09 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 删除右边的'RunTime'
= C:windowsmsgsrv36.exe 重新启动Windows 查找到C:windows msgsrv36.exe，并删除。ＯＫ

20. Control 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 删除右边的Load MSchv
Drv = C:windowssystemMSchv.exe 保存Regedit，重新启动Windows
查找到C:windowssystemMSchv.exe，并删除。ＯＫ

Bitter · 发表于 2005-5-23 19:25:00

21. Dark Shadow 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRunServices
删除右边的winfunctions="winfunctions.exe" 保存Regedit，重新启动Windows 查找到C:windowssystem winfunctions.exe，并删除。ＯＫ

22. DeepThroat v1.0 - 3.1 + Mod (Foreplay) 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 版本1.0
删除右边的项目'System32'=c:windowssystem32.exe 版本2.0-3.1 删除右边的项目'SystemTray' =
'Systray.exe' 保存Regedit，重新启动Windows 版本1.0删除c:windowssystem32.exe 版本2.0-3.1
删除c:windowssystemsystray.exe ＯＫ

23. Delta Source v0.5 - 0.7 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 删除右边的项目：DS
admin tool = C:TEMPSERVER.exe 保存Regedit，重新启动Windows 查找到C:TEMPSERVER.exe，并删除它。ＯＫ

24. Der Spaeher v3 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 删除右边的项目：explore
= "c:windowssystemdkbdll.exe " 保存Regedit，重新启动Windows
删除c:windowssystemdkbdll.exe木马文件。ＯＫ --

25. Doly v1.1 - v1.7 (SE) 清除木马V1.1-V1.5版本：
这几个木马版本的木马程序放在三处，增加二个注册项目，还增加到Win.ini项目。
首先，进入MS-DOS方式，删除三个木马程序，但V1.35版本多一个木马文件mdm.exe。把下列各项全部删除：
C:WINDOWSSYSTEM esk.sys C:WINDOWSStart MenuProgramsStartupmstesk.exe
c rogram FilesMStesk.exe c rogram FilesMdm.exe 重新启动Windows。接着，打开win.ini文件
找到[WINDOWS]下面load=c:windowssystem esk.exe项目，删除路径，改变为load= 保存win.ini文件。
最后，修改注册表Regedit 找到以下两个项目并删除它们
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Ms tesk =
"C rogram FilesMStesk.exe" 和
HKEY_USER.DefaultSoftwareMicrosoftWindowsCurrentVersionRun Ms tesk =
"C rogram FilesMStesk.exe"
再寻找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionss
这个组是木马的全部参数选择和设置的服务器，删除这个ss组的全部项目。关闭保存Regedit。还有打开C:AUTOEXEC.BAT文件，删除 @echo
off copy c:sys.lon c:windowsStartMenuStartup Items del c:win.reg
关闭保存autoexec.bat。ＯＫ

清除木马V1.6版本：该木马运行时，将不能通过98的正常操作关闭，只能RESET键。彻底清除步骤如下： 1．打开控制面板——添加删除程序——删除memory
manager 3.0，这就是木马程序，但是它并不会把木马的EXE文件删除掉。2．用98或DOS启动盘启动（用RESET键）后，转入C:，编辑AUTOEXEC。BAT，把如下内容删除： @echo off copy
c:sys.lon c:windowsstartm~1programsstartupmdm.exe del c:win.reg
保存AUTOEXEC。BAT文件并返回DOS后，在C：根目录下删除木马文件： del sys.lon del
windowsstartm~1programsstartupmdm.exe del progra~1mdm.exe
3．抽出软盘重新启动，进入98后，把c:program files目录下的memory manager 目录删除。清除木马V1.7版本：
首先，打开C:AUTOEXEC.BAT文件，删除 @echo off copy c:sys.lon
c:windowsstartm~1programsstartupmdm.exe del c:win.reg 关闭保存autoexec.bat
然后打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
找到c:windowssystemmdm.exe路径并删除这个项目点击目录至：
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到"C:windowssystemkernal32.exe"路径并删除这个项目关闭保存Regedit。重新启动Windows。
最后，删除以下木马程序： c:sys.lon c:iecookie.exe c:windowsstart
menuprogramsstartupmdm.exe c:program filesmdm.exe c:windowssystemmdm.exe
c:windowssystemkernal32.exe 注意：kernal32是ＡＯＫ

75. Revenger v1.0 - 1.5 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目：AppName ="C:...server.exe" 关闭保存Regedit，重新启动Windows
在c:windows查找相应的木马程序server.exe，并删除ＯＫ

76. Ripper 清除木马的步骤：打开system.ini文件将shell=explorer.exe sysrunt.exe 改为shell=
explorer.exe 关闭保存system.ini，重新启动Windows 在c:windows查找相应的木马程序sysrunt.exe，并删除ＯＫ

77. Satans Back Door v1.0 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的项目：sysprot protection ="C:windowssysprot.exe" 关闭保存Regedit，重新启动Windows
删除C:windowssysprot.exe ＯＫ

78. Schwindler v1.82 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目：User.exe = "C:WINDOWSUser.exe" 关闭保存Regedit，重新启动Windows
删除C:WINDOWSUser.exe ＯＫ

79. Setup Trojan (Sshare) +Mod Small Share 这个共享隐藏Ｃ盘的木马清除木马的步骤：打开注册表Regedit
点击目录至： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionNetworkLanMan
选择右边有'C$'的项目，并全部删除关闭保存Regedit，重新启动Windows ＯＫ

Bitter · 发表于 2005-5-23 19:25:00

80. ShadowPhyre v2.12.38 - 2.X 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目：WinZipp = "C:WINDOWSSYSTEMWinZipp.exe /nomsg" 或者WinZip =
"C:WINDOWSSYSTEMWinZip.exe /nomsg" 关闭保存Regedit，重新启动Windows 删除C:WINDOWS
WinZipp.exe或者C:WINDOWS WinZip.exe ＯＫ

81. Share All 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionNetworkLanMan
这里你将看到所有被木马共享出来的你的硬盘符号，把它们一个个删除掉。

82. ShitHeap 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的项目：recycle-bin = "c:windowssystem ecycle-bin.exe" 或者recycle-bin =
"c:windowssystem.exe" 关闭保存Regedit，重新启动Windows
删除c:windowssystem ecycle-bin.exe或者c:windowssystem.exe ＯＫ

83. Snid v1 - 2 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目：System-tray = 'c:windows emp$01.exe' 关闭保存Regedit，重新启动Windows
删除c:windows emp$01.exe ＯＫ

84. Softwarst 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的项目：NetApp
= C:windowssystemwinserv.exe 关闭保存Regedit，重新启动Windows
删除C:windowssystemwinserv.exe ＯＫ

85. Spirit 2000 Beta - v1.2 (fixed) 清除木马v Beta版本: 打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目：internet = "c:windows etip.exe " 关闭保存Regedit 打开win.ini文件
查找到run=c:windows etip.exe 更改为：run= 关闭保存win.ini，重新启动Windows
删除c:windows etip.exe和c:windows etip.exe ＯＫ

清除木马v 1.2版本: 打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目：SystemTray = "c:windowswindown.exe " 关闭保存Regedit，重新启动Windows
删除c:windowswindown.exe ＯＫ
清除木马v 1.2(fixed)版本: 打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除右边的项目：Server
1.2.exe = "c:windowsserver 1.2.exe" 关闭保存Regedit，重新启动Windows
删除c:windowsserver 1.2.exe ＯＫ

86. Stealth v2.0 - 2.16 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目：Winprotect System = "C:WINDOWSwinprotecte.exe 关闭保存Regedit，重新启动Windows 删除C:WINDOWSwinprotecte.exe ＯＫ

87. SubSeven - Introduction 清除木马v1.0 - 1.1：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目：SystemTrayIcon = "C:WINDOWSSysTrayIcon.Exe" 关闭保存Regedit，重新启动Windows
删除C:WINDOWSSysTrayIcon.Exe ＯＫ

清除木马v1.3 - 1.4 - 1.5：打开win.ini文件查找到run=nodll 更改为run= 关闭保存win.ini，重新启动Windows 删除c:windows odll.exe ＯＫ

清除木马v1.6：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目：SystemTray = "SysTray.Exe" 关闭保存Regedit，重新启动Windows
删除C:windowssystray.exe ＯＫ

清除木马v1.7：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
查找到右边的项目：C:windowskernel16.dl，并删除关闭保存Regedit，重新启动Windows
删除C:windowskernel16.dl ＯＫ

清除木马v1.8：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
查找到右边的项目：c:windowssystem.ini.，并删除关闭保存Regedit。打开win.ini文件查找到run= kernel16.dl
更改为run= 关闭保存win.ini。打开system.ini文件查找到shell=explorer.exe kernel32.dl
更改为shell=explorer.exe 关闭保存system.ini，重新启动Windows 删除C:windowskernel16.dl ＯＫ

清除木马v1.9 - 1.9b：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的项目：RegistryScan = "rundll16.exe" 关闭保存Regedit，重新启动Windows
删除C:windows undll16.exe ＯＫ

清除木马v2.0：打开system.ini文件查找到shell=explorer.exe trojanname.exe
更改为shell=explorer.exe 关闭保存system.ini，重新启动Windows 删除c:windows undll16.exe ＯＫ

清除木马v2.1 - 2.1 Gold + SubStealth- 2.1.3 Mod + 2.1.3 MUIE + 2.1 Bonus：
打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
删除右边的项目：WinLoader = MSREXE.EXE hkey_classes_rootexefileshellopencommand
将右边的项目更改为：@=""%1" %*" 关闭保存Regedit。打开win.ini文件查找到run=msrexe.exe和
load=msrexe.exe 更改为run= load= 关闭保存win.ini。打开system.ini文件查找到shell=explore.exe
msrexe.exe 更改为shell=explorer.exe 关闭保存system.ini，重新启动Windows 删除C:windows
msrexe.exe C:windowssystemsystray.dll ＯＫ

清除木马v2.2b1：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和删除右边的项目：加载器 =
"c:windowssystem***" 注：加载器和文件名是随意改变的关闭保存Regedit。打开win.ini文件更改为run=
关闭保存win.ini。打开system.ini文件更改为shell=explorer.exe 关闭保存system.ini，重新启动Windows
删除相对应的木马程序ＯＫ

88. Telecommando 1.54 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目：SystemApp＝"ODBC.EXE" 关闭保存Regedit，重新启动Windows 删除C:windowssystem
ODBC.EXE ＯＫ --

89. The Unexplained 清除木马的步骤：打开注册表Regedit 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目：InetB00st = "C:WINDOWSTEMPINETB00ST.EXE" 关闭保存Regedit，重新启动Windows
删除C:WINDOWSTEMPINETB00ST.EXE ＯＫ90. Thing v1.00 - 1.60 清除木马v1.00-1.12：点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除右边的项目：(Default) = "C:somepathhere hing.exe" 也有一些是在：
HKEY_LOCAL_MACHINESystemCurrentControlSetcontrolSessionManagerKnown16DL Ls
删除右边的项目：wsasrv.exe = "wsasrv.exe" 关闭保存Regedit，重新启动Windows
删除C:somepathhere hing.exe ＯＫ

清除木马v 1.20版本: 进入MS_DOS方式： del winspc13.exe del ms097.exe 打开system.ini文件
查找到shell=explorer.exe ms097.exe 更改为：shell=explorer.exe
关闭保存system.ini，重新启动Windows ＯＫ

清除木马v1.50版本: 点击目录至：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
这个项目的路径和文件名是随机改变的，察看有可疑的文件路径，将它删除。关闭保存Regedit。打开system.ini文件
查找到shell=explorer.exe后面是木马文件更改为：shell=explorer.exe 关闭保存system.ini，重新启动Windows 删除相应的木马文件ＯＫ

清除木马v1.50版本: 进入MS_DOS方式： del winspc13.exe del ms097.exe 打开system.ini文件
查找到shell=explorer.exe后面是木马文件更改为：shell=explorer.exe 关闭保存system.ini，重新启动Windows 删除相应的木马文件ＯＫ