Board logo

標題: 木馬的手工清除方法 [打印本頁]

作者: kalos    時間: 2007-5-4 07:29 PM     標題: 木馬的手工清除方法

有很多新手對安全問題了解比較不多,計算機中了特洛伊木馬不知道怎麼樣來清除。雖然現在有很多的清除特洛伊木馬的軟體,可以自動清除木馬。但你不知道木馬是怎樣在計算機中運行的,如果你看了這篇文章之後,你就會明白一些木馬的原理。

1. 冰河v1.1 v2.2
這是國產最好的木馬
清除木馬v1.1
打開註冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
查找以下的兩個路徑,並刪除
" C:\windows\system\ kernel32filter-031"
" C:\windows\system\ sysexplrfilter-031"
關閉Regedit
重新啟動到MSDOS方式
刪除C:\windows\system\ kernel32filter-031和C:\windows\system\ sysexplrfilter-031木馬程式
重新啟動。OK

清除木馬v2.2
伺服器程式、路徑用戶是可以隨意定義,寫入註冊表的鍵名也可以自己定義。
因此,不能明確說明。
你可以察看註冊表,把可疑的文件路徑刪除。
重新啟動到MSDOS方式
刪除於註冊表相對應的木馬程式
重新啟動Windows。OK

2. Acid Battery v1.0
清除木馬的步驟:
打開註冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的Explorer ="C:\WINDOWS\expiorerfilter-031"
關閉Regedit
重新啟動到MSDOS方式
刪除c:\windows\expiorerfilter-031木馬程式
注意:不要刪除正確的ExpLorerfilter-031程式,它們之間只有i與L的差別。
重新啟動。OK

3. Acid Shiver v1.0 + 1.0Mod + lmacid
清除木馬的步驟:
重新啟動到MSDOS方式
刪除C:\windows\MSGSVR16filter-031
然後回到Windows系統
開註冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

刪除右邊的Explorer = "C:\WINDOWS\MSGSVR16filter-031"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
刪除右邊的Explorer = "C:\WINDOWS\MSGSVR16filter-031"
關閉Regedit
重新啟動。OK
重新啟動到MSDOS方式

刪除C:\windows\wintourfilter-031然後回到Windows系統
打開註冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的Wintour = "C:\WINDOWS\WINTOURfilter-031" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
刪除右邊的Wintour = "C:\WINDOWS\WINTOURfilter-031"
關閉Regedit
重新啟動。OK

4. Ambush
清除木馬的步驟:
打開註冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的 "zcn32filter-031"
關閉Regedit N
重新啟動到MSDOS方式
刪除C:\Windows\ zcn32filter-031
重新啟動。OK

5. AOL Trojan
清除木馬的步驟:
啟動到MSDOS方式
刪除C:\ commandfilter-031(刪除前取消文件的隱含屬性)
注意:不要刪除真的command.com文件。
刪除C:\ americ~1.0\buddyl~1filter-031(刪除前取消文件的隱含屬性)
刪除C:\ windows\system\norton~1\regist~1filter-031(刪除前取消文件的隱含屬性)
打開WIN.INI文件
在[WINDOWS]下面“run=”和“load=”都載入者特洛伊木馬程式的路徑,必須清除它們:
run=
load=
保存WIN.INI
還要改正註冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的WinProfile = c:\commandfilter-031
關閉Regedit,重新啟動Windows。OK

6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
普斯討論區清除木馬的步驟:
注意:木馬程式默認文件名是wincmp32filter-031,然而程式可以隨意改變文件名。
我們可以根據木馬修改的system.ini和win.ini兩個文件來清除木馬。
打開system.ini文件
在[BOOT]下面有個”shell=文件名”。正確的文件名是explorerfilter-031
如果不是”explorerfilter-031”,那麼那個文件就是木馬程式,把它查找出來,刪除。
保存退出system.ini
打開win.ini文件
在[WINDOWS]下面有個run=
如果你看到=後面有路徑文件名,必須把它刪除。
正確的應該是run=後面什麼也沒有。
=後面的路徑文件名就是木馬,把它查找出來,刪除。
保存退出win.ini。
OK

7. AttackFTP 普斯討論區
清除木馬的步驟:
打開win.ini文件
在[WINDOWS]下面有load=wscanfilter-031
刪除wscanfilter-031 ,正確是load=
保存退出win.ini。
打開註冊表Regedit
點擊目錄至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的Reminder="wscanfilter-031 /s"
關閉Regedit,重新啟動到MSDOS系統中
刪除C:\windows\system\ wscanfilter-031
OK

8. Back Construction 1.0 - 2.5
清除木馬的步驟:
打開註冊表Regedit
點擊目錄至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的"C:\WINDOWS\Cmctl32filter-031"
關閉Regedit,重新啟動到MSDOS系統中
刪除C:\WINDOWS\Cmctl32filter-031
OK

9. BackDoor v2.00 - v2.03
清除木馬的步驟:
打開註冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除右邊的'c:\windows\notpafilter-031 /o=yes'
關閉Regedit,重新啟動到MSDOS系統中
刪除c:\windows\notpafilter-031
注意:不要刪除真正的notepadfilter-031筆記本程式
OK

10. BF Evolution v5.3.12
清除木馬的步驟:
打開註冊表Regedit
點擊目錄至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除右邊的(Default)=" "
關閉Regedit,再次重新啟動計算機。
將C:\windows\system\ filter-031(空格exe文件)
OK

11. BioNet v0.84 - 0.92 + 2.21
0.8X版本是運行在Win95/98
0.9X以上版本有運行在Win95/98 和WinNT上兩個軟體
客戶-伺服器協議是一樣的,因而NT客戶能黑95/98被感染的機器,和Win95/98客戶能黑NT被感染的系統完全一樣。
清除木馬的步驟:
首先準備一張98的啟動盤,用它啟動後,進入c:\windows目錄下,用attrib libupd~1filter-031 -h
命令讓木馬程式可見,然後刪除它。




歡迎光臨 娛樂滿紛 26FUN (http://26fun.com/bbs7/) Powered by Discuz! 7.0.0