TCP/IP協議的簡單說明
減小字體
增大字體2009年04月20日 星期一 下午 12:33 tcp/IP(傳輸入控制地議/網際協議)是一種網絡通信協議,它規范了網絡上之所有通信設備,尤其是一個主機與另一個主機之間之數據傳輸格式以及傳送方式,tcp/IP是因特網之基礎協議。要想當黑客就有必要了解tcp/IP協議。
在數據傳送中,可以形象之理解為有兩個信封:tcp和IP信封。要送遞之信息被分成若干段,每一段塞入一個tcp信封,并在該信封上記錄有分段號之信息,再將tcp信封塞入IP大信封里,發送到網上。在掃收端,一個tcp軟件收集信封,抽出數據,按發送關之順序還原,并加以校驗,若發現差錯,tcp將會要求重發。因此tcp/IP在因特網中幾乎可以沒有差錯地傳送數據。對因特網用戶來說,并不需要了解網絡協議之整個結構,僅需了解IP之地址格式,即可與世界各地進行網絡通信。
1、tcp/IP之層次結構:
tcp/IP協議組中之協議因特網上數據之傳輸,提供了幾乎目前上網所用到之所有服務,在tcp/IP協議組中有兩種協議:
(1)網絡層協議:
網絡層協議管理離散計算機間之數據傳輸。這些協議用戶注意不到,它們是個系統表層以下工作之。比如,IP協議為用戶和遠程計算機提供了信息之傳輸方法,它是在許多信息之基礎上工作之。比如機器之IP地址。在機器之IP地址和其他信息之基礎上,IP確保信息正確達到目之機器。通過這一過程,IP和其他網絡層之協議一共同用于數據傳輸。如果沒有網絡工具,用戶就看不到在系統里工作之機器之IP。
(2)應用層協議:
相反地,應用層協議是可以看到之。比如,文件傳輸協議(FTP)是可以看到之。用戶為了傳一個文件而請求一個和其他計算機連接,連接建立后,就開始傳輸文件,在傳輸時,用戶和遠程計算機之交換之一部分是能看到之。
2、tcp/IP之重要協議:
(1)地址解析協議(ARP):
在網絡上進行通信之主機必須知道對方主機之硬件地址(網卡之物理地址)。地址解析協議之目之就是將IP地址映射成物理地址。這在使信息通過網絡時特別重要。一個消息(或者其他數據)在發送之前,被打到IP里面,或適合于因特網傳輸信息塊中,其中括兩臺計算機之IP地址。 在這個離開發送計算機前,必須找到目標之硬件地址,這就是ARP 初到達之地方。
一個ARP請求消息會在網上廣播。請求由一個進程接收,它回復物理地址。這個回復消息由原先之那臺發送廣播消息之計算機接收,從而傳輸過程就開始了。
ARP之設計括一個緩存。為了減少廣播量,ARP在緩存中保存地址映射以備后用。ARP級存保存有動態項和靜態項。動態項是自動加和刪除之,靜態項則是保留在緩存(Cache)中,直到計算機重啟為止。ARP緩存總是為本地子網保留硬件廣播地址(0xffffffffffffh)用為一個永久項,此項使主機能夠接收ARP廣播。當果看存時,該項不會顯示。每條ARP緩存記錄之生命周期為10分種,如果2分種未用則刪除。緩存容量滿時,刪除 早之記錄,但是,緩存也引起了安全性之問題。那就是緩存溢出——這不是本文之討論內容,所以就不說了。
(2)因特網控制消息協議(ICMP):
因特網控制消息協議(ICMP)用于報告錯誤并IP對消息進行控制。IP運用互聯組管理協議(IGMP)來告訴路由器某一網絡上指導組中有哪些可用主機。
以ICMP實現之 著名之網絡工具是Ping。Ping通常用來判斷一臺遠程機器是否正開著,數據從用戶之計算機發到遠程計算機,這些通常返回到用戶之計算機,如果數據據沒有返回到用戶計算機,Ping程序就產生一個表示遠程計算機關機之錯誤消息。
常見木馬之手工清除方法
1. 冰河v1.1 v2.2 這是國產 好之木馬 作者:黃鑫
清除木馬v1.1 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 查找以下之兩個路徑,并刪除 "
C:windowssystem kernel32.exe" " C:windowssystem sysexplr.exe" 關閉Regedit
重新啟動到MSDOS方式 刪除C:windowssystem kernel32.exe和C:windowssystem
sysexplr.exe木馬程序 重新啟動。 OK
清除木馬v2.2 服務器程序、路徑用戶是可以隨意定義,寫入注冊表之鍵名也可以自己定義。 因此,不能明確說明。 你可以察看注冊表,把可疑之文件路徑刪除。
重新啟動到MSDOS方式 刪除于注冊表相對應之木馬程序 重新啟動Windows。OK
2. Acid Battery v1.0 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之Explorer
="C:WINDOWSexpiorer.exe" 關閉Regedit 重新啟動到MSDOS方式 刪除c:windowsexpiorer.exe木馬程序
注意:不要刪除正確之ExpLorer.exe程序,它們之間只有i與L之差別。 重新啟動。OK
3. Acid Shiver v1.0 + 1.0Mod + lmacid 清除木馬之步驟: 重新啟動到MSDOS方式
刪除C:windowsMSGSVR16.EXE 然后回到Windows系統 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之Explorer =
"C:WINDOWSMSGSVR16.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊之Explorer = "C:WINDOWSMSGSVR16.EXE" 關閉Regedit 重新啟動。OK 重新啟動到MSDOS方式
刪除C:windowswintour.exe然后回到Windows系統 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之Wintour =
"C:WINDOWSWINTOUR.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊之Wintour = "C:WINDOWSWINTOUR.EXE" 關閉Regedit 重新啟動。OK
4. Ambush 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之zka =
"zcn32.exe" 關閉Regedit 重新啟動到MSDOS方式 刪除C:Windows zcn32.exe 重新啟動。OK
5. AOL Trojan 清除木馬之步驟: 啟動到MSDOS方式 刪除C: command.exe(刪除前取消文件之隱含屬性)
注意:不要刪除真之command.com文件。 刪除C: americ~1.0 uddyl~1.exe(刪除前取消文件之隱含屬性) 刪除C:
windowssystem orton~1 egist~1.exe(刪除前取消文件之隱含屬性) 打開WIN.INI文件
在[WINDOWS]下面"run="和"load="都加載者特洛伊木馬程序之路徑,必須清除它們: run= load= 保存WIN.INI
還要改正注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之WinProfile
= c:command.exe 關閉Regedit,重新啟動Windows。OK
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1 清除木馬之步驟:
注意:木馬程序默認文件名是wincmp32.exe,然而程序可以隨意改變文件名。 我們可以根據木馬修改之system.ini和win.ini兩個文件來清除木馬。
打開system.ini文件 在[BOOT]下面有個"shell=文件名"。正確之文件名是explorer.exe
如果不是"explorer.exe",那么那個文件就是木馬程序,把它查找出來,刪除。 保存退出system.ini 打開win.ini文件
在[WINDOWS]下面有個run= 如果你看到=后面有路徑文件名,必須把它刪除。 正確之應該是run=后面什么也沒有。
=后面之路徑文件名就是木馬,把它查找出來,刪除。 保存退出win.ini。 OK
7. AttackFTP 清除木馬之步驟: 打開win.ini文件 在[WINDOWS]下面有load=wscan.exe 刪除wscan.exe
,正確是load= 保存退出win.ini。 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之Reminder="wscan.exe /s" 關閉Regedit,重新啟動到MSDOS系統中 刪除C:windowssystem
wscan.exe OK
8. Back Construction 1.0 - 2.5 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之"C:WINDOWSCmctl32.exe" 關閉Regedit,重新啟動到MSDOS系統中 刪除C:WINDOWSCmctl32.exe OK
9. BackDoor v2.00 - v2.03 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之'c:windows otpa.exe /o=yes' 關閉Regedit,重新啟動到MSDOS系統中
刪除c:windows otpa.exe 注意:不要刪除真正之notepad.exe筆記本程序 OK
10. BF Evolution v5.3.12 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之(Default)=" " 關閉Regedit,再次重新啟動計算機。 將C:windowssystem .exe(空格exe文件) OK
11. BioNet v0.84 - 0.92 + 2.21 0.8X版本是運行在Win95/98 0.9X以上版本有運行在Win95/98
和WinNT上兩個軟件 客戶-服務器協議是一樣之,因而NT客戶能黑95/98被感染之機器,和Win95/98客戶能黑 NT被感染之系統完全一樣。
清除木馬之步驟: 首先準備一張98之啟動盤,用它啟動后,進入c:windows目錄下,用attrib libupd~1. exe -h
命令讓木馬程序可見,然后刪除它。 抽出軟盤后重新啟動,進入98下,在注冊表里找到:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
之子鍵WinLibUpdate = "c:windowslibupdate.exe -hide" 將此子鍵刪除。
12. Bla v1.0 - 5.03 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之Systemdoor
= "C:WINDOWSSystemmprdll.exe" 關閉Regedit,重新啟動計算機。
查找到C:WINDOWSSystemmprdll.exe和 C:WINDOWSsystem undll.exe
注意:不要刪除C:WINDOWSRUNDLL.EXE正確文件。 并刪除兩個文件。 OK
13. BladeRunner 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 可以找到System-Tray
= "c:somethingsomething.exe" 右邊之路徑可能是任何東西,這時你不需要刪除它,因為木馬會立即自動加上,你需要
之是記下木馬之名字與目錄,然后退回到MS-DOS下,找到此木馬文件并刪除掉。 重新啟動計算機,然后重復第一步,在注冊表中找到木馬文件并刪除此鍵。
14. Bobo v1.0 - 2.0 清除木馬v1.0 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之DirrectLibrarySupport ="C:WINDOWSSYSTEMDllclient.exe" 關閉Regedit,重新啟動計算機。
DEL C:WindowsSystemDllclient.exe OK 清除木馬v2.0 打開注冊表Regedit 點擊目錄至:
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/ ICQ
Accel是一個“假象“之主鍵,選中ICQ Accel主鍵并把它刪除。 重新啟動計算機。OK
15. BrainSpy vBeta 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 右邊有 ??? =
"C:WINDOWSsystemBRAINSPY .exe" ???標簽選是隨意改變之。 關閉Regedit,重新啟動計算機
查找刪除C:WINDOWSsystemBRAINSPY .exe OK
16. Cain and Abel v1.50 - 1.51 這是一個口令木馬 進入MS-DOS方式 查找到C:windowsmsabel32.exe
并刪除它。OK
17. Canasson 清除木馬之步驟: 打開WIN.INI文件 查找c:msie5.exe,刪除全部主鍵 保存win.ini 重新啟動計算機
刪除c:msie5.exe木馬文件 OK
18. Chupachbra 清除木馬之步驟: 打開WIN.INI文件 [Windows]之下面有兩個行 run=winprot.exe
load=winprot.exe 刪除winprot.exe run= load= 保存Win.ini,再打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 刪除右邊之'System
Protect' = winprot.exe 重新啟動Windows 查找到C:windowssystem winprot.exe,并刪除。 OK
19. Coma v1.09 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 刪除右邊之'RunTime'
= C:windowsmsgsrv36.exe 重新啟動Windows 查找到C:windows msgsrv36.exe,并刪除。 OK
20. Control 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 刪除右邊之Load MSchv
Drv = C:windowssystemMSchv.exe 保存Regedit,重新啟動Windows
查找到C:windowssystemMSchv.exe,并刪除。 OK
21. Dark Shadow 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRunServices
刪除右邊之winfunctions="winfunctions.exe" 保存Regedit,重新啟動Windows 查找到C:windowssystem winfunctions.exe,并刪除。 OK
22. DeepThroat v1.0 - 3.1 + Mod (Foreplay) 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 版本1.0
刪除右邊之項目'System32'=c:windowssystem32.exe 版本2.0-3.1 刪除右邊之項目'SystemTray' =
'Systray.exe' 保存Regedit,重新啟動Windows 版本1.0刪除c:windowssystem32.exe 版本2.0-3.1
刪除c:windowssystemsystray.exe OK
23. Delta Source v0.5 - 0.7 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 刪除右邊之項目:DS
admin tool = C:TEMPSERVER.exe 保存Regedit,重新啟動Windows 查找到C:TEMPSERVER.exe,并刪除它。 OK
24. Der Spaeher v3 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 刪除右邊之項目:explore
= "c:windowssystemdkbdll.exe " 保存Regedit,重新啟動Windows
刪除c:windowssystemdkbdll.exe木馬文件。 OK --
25. Doly v1.1 - v1.7 (SE) 清除木馬V1.1-V1.5版本:
這幾個木馬版本之木馬程序放在三處,增加二個注冊項目,還增加到Win.ini項目。
首先,進入MS-DOS方式,刪除三個木馬程序,但V1.35版本多一個木馬文件mdm.exe。 把下列各項全部刪除:
C:WINDOWSSYSTEM esk.sys C:WINDOWSStart MenuProgramsStartupmstesk.exe
c rogram FilesMStesk.exe c rogram FilesMdm.exe 重新啟動Windows。 接著,打開win.ini文件
找到[WINDOWS]下面load=c:windowssystem esk.exe項目,刪除路徑,改變為load= 保存win.ini文件。
后,修改注冊表Regedit 找到以下兩個項目并刪除它們
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Ms tesk =
"C rogram FilesMStesk.exe" 和
HKEY_USER.DefaultSoftwareMicrosoftWindowsCurrentVersionRun Ms tesk =
"C rogram FilesMStesk.exe"
再尋找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionss
這個組是木馬之全部參數選擇和設置之服務器,刪除這個ss組之全部項目。 關閉保存Regedit。 還有打開C:AUTOEXEC.BAT文件,刪除 @echo
off copy c:sys.lon c:windowsStartMenuStartup Items del c:win.reg
關閉保存autoexec.bat。 OK
清除木馬V1.6版本: 該木馬運行時,將不能通過98之也很操作關閉,只能RESET鍵。徹底清除步驟如下: 1.打開控制面板——添加刪除程序——刪除memory
manager 3.0,這就是木馬程序,但 是它并不會把木馬之EXE文件刪除掉。
2.用98或DOS啟動盤啟動(用RESET鍵)后,轉入C:,編輯AUTOEXEC。BAT,把如下內容 刪除: @echo off copy
c:sys.lon c:windowsstartm~1programsstartupmdm.exe del c:win.reg
保存AUTOEXEC。BAT文件并返回DOS后,在C:根目錄下刪除木馬文件: del sys.lon del
windowsstartm~1programsstartupmdm.exe del progra~1mdm.exe
3.抽出軟盤重新啟動,進入98后,把c:program files目錄下之memory manager 目錄 刪除。 清除木馬V1.7版本:
首先,打開C:AUTOEXEC.BAT文件,刪除 @echo off copy c:sys.lon
c:windowsstartm~1programsstartupmdm.exe del c:win.reg 關閉保存autoexec.bat
然后打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
找到c:windowssystemmdm.exe路徑并刪除這個項目 點擊目錄至:
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到"C:windowssystemkernal32.exe"路徑并刪除這個項目 關閉保存Regedit。重新啟動Windows。
后,刪除以下木馬程序: c:sys.lon c:iecookie.exe c:windowsstart
menuprogramsstartupmdm.exe c:program filesmdm.exe c:windowssystemmdm.exe
c:windowssystemkernal32.exe 注意:kernal32是A OK
75. Revenger v1.0 - 1.5 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:AppName ="C:...server.exe" 關閉保存Regedit,重新啟動Windows
在c:windows查找相應之木馬程序server.exe,并刪除 OK
76. Ripper 清除木馬之步驟: 打開system.ini文件 將shell=explorer.exe sysrunt.exe 改為shell=
explorer.exe 關閉保存system.ini,重新啟動Windows 在c:windows查找相應之木馬程序sysrunt.exe,并刪除 OK
77. Satans Back Door v1.0 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊之項目:sysprot protection ="C:windowssysprot.exe" 關閉保存Regedit,重新啟動Windows
刪除C:windowssysprot.exe OK
78. Schwindler v1.82 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:User.exe = "C:WINDOWSUser.exe" 關閉保存Regedit,重新啟動Windows
刪除C:WINDOWSUser.exe OK
79. Setup Trojan (Sshare) +Mod Small Share 這個共享隱藏C盤之木馬 清除木馬之步驟: 打開注冊表Regedit
點擊目錄至: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionNetworkLanMan
選擇右邊有'C$'之項目,并全部刪除 關閉保存Regedit,重新啟動Windows OK
80. ShadowPhyre v2.12.38 - 2.X 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:WinZipp = "C:WINDOWSSYSTEMWinZipp.exe /nomsg" 或者WinZip =
"C:WINDOWSSYSTEMWinZip.exe /nomsg" 關閉保存Regedit,重新啟動Windows 刪除C:WINDOWS
WinZipp.exe或者C:WINDOWS WinZip.exe OK
81. Share All 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionNetworkLanMan
這里你將看到所有被木馬共享出來之你之硬盤符號,把它們一個個刪除掉。
82. ShitHeap 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊之項目:recycle-bin = "c:windowssystem ecycle-bin.exe" 或者recycle-bin =
"c:windowssystem.exe" 關閉保存Regedit,重新啟動Windows
刪除c:windowssystem ecycle-bin.exe或者c:windowssystem.exe OK
83. Snid v1 - 2 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:System-tray = 'c:windows emp$01.exe' 關閉保存Regedit,重新啟動Windows
刪除c:windows emp$01.exe OK
84. Softwarst 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之項目:NetApp
= C:windowssystemwinserv.exe 關閉保存Regedit,重新啟動Windows
刪除C:windowssystemwinserv.exe OK
85. Spirit 2000 Beta - v1.2 (fixed) 清除木馬v Beta版本: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:internet = "c:windows etip.exe " 關閉保存Regedit 打開win.ini文件
查找到run=c:windows etip.exe 更改為:run= 關閉保存win.ini,重新啟動Windows
刪除c:windows etip.exe和c:windows etip.exe OK
清除木馬v 1.2版本: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:SystemTray = "c:windowswindown.exe " 關閉保存Regedit,重新啟動Windows
刪除c:windowswindown.exe OK
清除木馬v 1.2(fixed)版本: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之項目:Server
1.2.exe = "c:windowsserver 1.2.exe" 關閉保存Regedit,重新啟動Windows
刪除c:windowsserver 1.2.exe OK
86. Stealth v2.0 - 2.16 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:Winprotect System = "C:WINDOWSwinprotecte.exe 關閉保存Regedit,重新啟動Windows 刪除C:WINDOWSwinprotecte.exe OK
87. SubSeven - Introduction 清除木馬v1.0 - 1.1: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:SystemTrayIcon = "C:WINDOWSSysTrayIcon.Exe" 關閉保存Regedit,重新啟動Windows
刪除C:WINDOWSSysTrayIcon.Exe OK
清除木馬v1.3 - 1.4 - 1.5: 打開win.ini文件 查找到run=nodll 更改為run= 關閉保存win.ini,重新啟動Windows 刪除c:windows odll.exe OK
清除木馬v1.6: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:SystemTray = "SysTray.Exe" 關閉保存Regedit,重新啟動Windows
刪除C:windowssystray.exe OK
清除木馬v1.7: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
查找到右邊之項目:C:windowskernel16.dl,并刪除 關閉保存Regedit,重新啟動Windows
刪除C:windowskernel16.dl OK
清除木馬v1.8: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
查找到右邊之項目:c:windowssystem.ini.,并刪除 關閉保存Regedit。 打開win.ini文件 查找到run= kernel16.dl
更改為run= 關閉保存win.ini。 打開system.ini文件 查找到shell=explorer.exe kernel32.dl
更改為shell=explorer.exe 關閉保存system.ini,重新啟動Windows 刪除C:windowskernel16.dl OK
清除木馬v1.9 - 1.9b: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊之項目:RegistryScan = "rundll16.exe" 關閉保存Regedit,重新啟動Windows
刪除C:windows undll16.exe OK
清除木馬v2.0: 打開system.ini文件 查找到shell=explorer.exe trojanname.exe
更改為shell=explorer.exe 關閉保存system.ini,重新啟動Windows 刪除c:windows undll16.exe OK
清除木馬v2.1 - 2.1 Gold + SubStealth- 2.1.3 Mod + 2.1.3 MUIE + 2.1 Bonus:
打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊之項目:WinLoader = MSREXE.EXE hkey_classes_rootexefileshellopencommand
將右邊之項目更改為:@=""%1" %*" 關閉保存Regedit。 打開win.ini文件 查找到run=msrexe.exe和
load=msrexe.exe 更改為run= load= 關閉保存win.ini。 打開system.ini文件 查找到shell=explore.exe
msrexe.exe 更改為shell=explorer.exe 關閉保存system.ini,重新啟動Windows 刪除C:windows
msrexe.exe C:windowssystemsystray.dll OK
清除木馬v2.2b1: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和 刪除右邊之項目:加載器 =
"c:windowssystem***" 注:加載器和文件名是隨意改變之 關閉保存Regedit。 打開win.ini文件 更改為run=
關閉保存win.ini。 打開system.ini文件 更改為shell=explorer.exe 關閉保存system.ini,重新啟動Windows
刪除相對應之木馬程序 OK
88. Telecommando 1.54 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:SystemApp="ODBC.EXE" 關閉保存Regedit,重新啟動Windows 刪除C:windowssystem
ODBC.EXE OK --
89. The Unexplained 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:InetB00st = "C:WINDOWSTEMPINETB00ST.EXE" 關閉保存Regedit,重新啟動Windows
刪除C:WINDOWSTEMPINETB00ST.EXE OK
90. Thing v1.00 - 1.60 清除木馬v1.00-1.12: 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:(Default) = "C:somepathhere hing.exe" 也有一些是在:
HKEY_LOCAL_MACHINESystemCurrentControlSetcontrolSessionManagerKnown16DL Ls
刪除右邊之項目:wsasrv.exe = "wsasrv.exe" 關閉保存Regedit,重新啟動Windows
刪除C:somepathhere hing.exe OK
清除木馬v 1.20版本: 進入MS_DOS方式: del winspc13.exe del ms097.exe 打開system.ini文件
查找到shell=explorer.exe ms097.exe 更改為:shell=explorer.exe
關閉保存system.ini,重新啟動Windows OK
清除木馬v1.50版本: 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
這個項目之路徑和文件名是隨機改變之,察看有可疑之文件路徑,將它刪除。 關閉保存Regedit。 打開system.ini文件
查找到shell=explorer.exe后面是木馬文件 更改為:shell=explorer.exe 關閉保存system.ini,重新啟動Windows 刪除相應之木馬文件 OK
清除木馬v1.50版本: 進入MS_DOS方式: del winspc13.exe del ms097.exe 打開system.ini文件
查找到shell=explorer.exe后面是木馬文件 更改為:shell=explorer.exe 關閉保存system.ini,重新啟動Windows 刪除相應之木馬文件 OK
91. Transmission Scount v1.1 - 1.2 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:Kernel16" = C:WINDOWSKernel16.exe 關閉保存Regedit,重新啟動Windows
刪除C:WINDOWSKernel16.exe OK
92. Trinoo 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之項目:
System Services = service.exe 關閉保存Regedit,重新啟動Windows
刪除C:windowssystemservice.exe OK
93. Trojan Cow v1.0 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:SysWindow = "C:WINDOWSSyswindow.exe" 關閉保存Regedit,重新啟動Windows
刪除C:WINDOWSSyswindow.exe OK
94. TryIt 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之項目:Rc5Dec
= C rogram FilesInternet Explorer\_.exe -guistart 關閉保存Regedit,重新啟動Windows
刪除C rogram FilesInternet Explorer\_.exe OK
95. Vampire v1.0 - 1.2 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:Sockets ="c:windowssystemSockets.exe" 關閉保存Regedit,重新啟動Windows
刪除c:windowssystemSockets.exe OK
96. WarTrojan v1.0 - 2.0 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:Kernel32 = "C:somepathserver.exe" 關閉保存Regedit,重新啟動Windows
刪除C:somepathserver.exe OK
97. wCrat v1.2b 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之項目:MS
Windows System Explorer ="C:WINDOWSsysexplor.exe" 關閉保存Regedit,重新啟動Windows
刪除C:WINDOWSsysexplor.exe OK
98. WebEx (v1.2, 1.3, and 1.4) 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:RunDl32 = "C:windowssystem ask_bar" 關閉保存Regedit,重新啟動Windows
刪除C:windowssystem ask_bar.exe和c:windowssystemmsinet.ocx OK
99. WinCrash v2 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:WinManager = "c:windowsserver.exe" 關閉保存Regedit 打開win.ini文件
查找到run=c:windowsserver.exe 更改為:run= 保存關閉win.ini,重新啟動Windows
刪除c:windowsserver.exe OK
100. WinCrash 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:MsManager ="SERVER.EXE" 關閉保存Regedit,重新啟動Windows 刪除C:windowssystem SERVER.EXE OK
101. Xanadu v1.1 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之項目:SETUP
= "c:somepathsetup.exe" 關閉保存Regedit,重新啟動Windows 刪除c:somepathsetup.exe OK
102. Xplorer v1.20 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之項目:PCX =
"C:WINDOWSsystemPCX.exe" 關閉保存Regedit,重新啟動Windows 刪除C:WINDOWSsystemPCX.exe
OK
103. Xtcp v2.0 - 2.1 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:msgsv32 = "C:WINDOWSsystemwinmsg32.exe" 關閉保存Regedit,重新啟動Windows
刪除C:WINDOWSsystemwinmsg32.exe OK
104. YAT 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊之項目:Batterieanzeige = 'c:pathnamehereserver.exe /nomsg'
關閉保存Regedit,重新啟動Windows 刪除c:pathnamehereserver.exe OK
關于木馬之手工清除
在看文章之前:我想說前幾天由于我個人之疏忽,接了一個廣告。但是我完全不知道其站含木馬?只能說隱藏之非常之好,單看源代碼是根本找不出,并且代碼還經過加密。后來經過我再三之研究才發現。但是我知道這已經導致很多網吧中了木馬,我也完全沒有能為力,所以只能提供這篇文章針對我犯之錯誤。打奇跡之朋友不用擔心,改木馬是完全針對傳奇之!所以請網吧管理員進行手動清楚,以免后來者倒霉。
PWSteal.Lemir.Gen 還分好幾種變種,以下是針對Expl0rer.exe,另外可能進程中還有是internet.exe這種。
首先下載: 新木馬查殺軟件進行檢查 http://www.57sf.com/9_repentip/News200403210583.htm這里提供之都是很不錯之。
另外介紹手工清楚方法,可以不通過軟件。
* 提示:PWSteal.Lemir.Gen 是對一類竊號木馬之統稱,這個方法只適用于木馬主本文件為 Expl0rer.exe 之 PWSteal.Lemir.Gen 木馬,在使用此方法前請先確保自己遇到之是這個木馬才可以
有許多用戶反應一些殺毒軟件在發現 PWSteal.Lemir.Gen(SysModule32.DLL,SysModule64.DLL) 木馬后遇到沒有法隔離、刪除或是清除后反復出現之問題。
在數據傳送中,可以形象之理解為有兩個信封:tcp和IP信封。要送遞之信息被分成若干段,每一段塞入一個tcp信封,并在該信封上記錄有分段號之信息,再將tcp信封塞入IP大信封里,發送到網上。在掃收端,一個tcp軟件收集信封,抽出數據,按發送關之順序還原,并加以校驗,若發現差錯,tcp將會要求重發。因此tcp/IP在因特網中幾乎可以沒有差錯地傳送數據。對因特網用戶來說,并不需要了解網絡協議之整個結構,僅需了解IP之地址格式,即可與世界各地進行網絡通信。
1、tcp/IP之層次結構:
tcp/IP協議組中之協議因特網上數據之傳輸,提供了幾乎目前上網所用到之所有服務,在tcp/IP協議組中有兩種協議:
(1)網絡層協議:
網絡層協議管理離散計算機間之數據傳輸。這些協議用戶注意不到,它們是個系統表層以下工作之。比如,IP協議為用戶和遠程計算機提供了信息之傳輸方法,它是在許多信息之基礎上工作之。比如機器之IP地址。在機器之IP地址和其他信息之基礎上,IP確保信息正確達到目之機器。通過這一過程,IP和其他網絡層之協議一共同用于數據傳輸。如果沒有網絡工具,用戶就看不到在系統里工作之機器之IP。
(2)應用層協議:
相反地,應用層協議是可以看到之。比如,文件傳輸協議(FTP)是可以看到之。用戶為了傳一個文件而請求一個和其他計算機連接,連接建立后,就開始傳輸文件,在傳輸時,用戶和遠程計算機之交換之一部分是能看到之。
2、tcp/IP之重要協議:
(1)地址解析協議(ARP):
在網絡上進行通信之主機必須知道對方主機之硬件地址(網卡之物理地址)。地址解析協議之目之就是將IP地址映射成物理地址。這在使信息通過網絡時特別重要。一個消息(或者其他數據)在發送之前,被打到IP里面,或適合于因特網傳輸信息塊中,其中括兩臺計算機之IP地址。 在這個離開發送計算機前,必須找到目標之硬件地址,這就是ARP 初到達之地方。
一個ARP請求消息會在網上廣播。請求由一個進程接收,它回復物理地址。這個回復消息由原先之那臺發送廣播消息之計算機接收,從而傳輸過程就開始了。
ARP之設計括一個緩存。為了減少廣播量,ARP在緩存中保存地址映射以備后用。ARP級存保存有動態項和靜態項。動態項是自動加和刪除之,靜態項則是保留在緩存(Cache)中,直到計算機重啟為止。ARP緩存總是為本地子網保留硬件廣播地址(0xffffffffffffh)用為一個永久項,此項使主機能夠接收ARP廣播。當果看存時,該項不會顯示。每條ARP緩存記錄之生命周期為10分種,如果2分種未用則刪除。緩存容量滿時,刪除 早之記錄,但是,緩存也引起了安全性之問題。那就是緩存溢出——這不是本文之討論內容,所以就不說了。
(2)因特網控制消息協議(ICMP):
因特網控制消息協議(ICMP)用于報告錯誤并IP對消息進行控制。IP運用互聯組管理協議(IGMP)來告訴路由器某一網絡上指導組中有哪些可用主機。
以ICMP實現之 著名之網絡工具是Ping。Ping通常用來判斷一臺遠程機器是否正開著,數據從用戶之計算機發到遠程計算機,這些通常返回到用戶之計算機,如果數據據沒有返回到用戶計算機,Ping程序就產生一個表示遠程計算機關機之錯誤消息。
常見木馬之手工清除方法
1. 冰河v1.1 v2.2 這是國產 好之木馬 作者:黃鑫
清除木馬v1.1 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 查找以下之兩個路徑,并刪除 "
C:windowssystem kernel32.exe" " C:windowssystem sysexplr.exe" 關閉Regedit
重新啟動到MSDOS方式 刪除C:windowssystem kernel32.exe和C:windowssystem
sysexplr.exe木馬程序 重新啟動。 OK
清除木馬v2.2 服務器程序、路徑用戶是可以隨意定義,寫入注冊表之鍵名也可以自己定義。 因此,不能明確說明。 你可以察看注冊表,把可疑之文件路徑刪除。
重新啟動到MSDOS方式 刪除于注冊表相對應之木馬程序 重新啟動Windows。OK
2. Acid Battery v1.0 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之Explorer
="C:WINDOWSexpiorer.exe" 關閉Regedit 重新啟動到MSDOS方式 刪除c:windowsexpiorer.exe木馬程序
注意:不要刪除正確之ExpLorer.exe程序,它們之間只有i與L之差別。 重新啟動。OK
3. Acid Shiver v1.0 + 1.0Mod + lmacid 清除木馬之步驟: 重新啟動到MSDOS方式
刪除C:windowsMSGSVR16.EXE 然后回到Windows系統 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之Explorer =
"C:WINDOWSMSGSVR16.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊之Explorer = "C:WINDOWSMSGSVR16.EXE" 關閉Regedit 重新啟動。OK 重新啟動到MSDOS方式
刪除C:windowswintour.exe然后回到Windows系統 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之Wintour =
"C:WINDOWSWINTOUR.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊之Wintour = "C:WINDOWSWINTOUR.EXE" 關閉Regedit 重新啟動。OK
4. Ambush 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之zka =
"zcn32.exe" 關閉Regedit 重新啟動到MSDOS方式 刪除C:Windows zcn32.exe 重新啟動。OK
5. AOL Trojan 清除木馬之步驟: 啟動到MSDOS方式 刪除C: command.exe(刪除前取消文件之隱含屬性)
注意:不要刪除真之command.com文件。 刪除C: americ~1.0 uddyl~1.exe(刪除前取消文件之隱含屬性) 刪除C:
windowssystem orton~1 egist~1.exe(刪除前取消文件之隱含屬性) 打開WIN.INI文件
在[WINDOWS]下面"run="和"load="都加載者特洛伊木馬程序之路徑,必須清除它們: run= load= 保存WIN.INI
還要改正注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之WinProfile
= c:command.exe 關閉Regedit,重新啟動Windows。OK
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1 清除木馬之步驟:
注意:木馬程序默認文件名是wincmp32.exe,然而程序可以隨意改變文件名。 我們可以根據木馬修改之system.ini和win.ini兩個文件來清除木馬。
打開system.ini文件 在[BOOT]下面有個"shell=文件名"。正確之文件名是explorer.exe
如果不是"explorer.exe",那么那個文件就是木馬程序,把它查找出來,刪除。 保存退出system.ini 打開win.ini文件
在[WINDOWS]下面有個run= 如果你看到=后面有路徑文件名,必須把它刪除。 正確之應該是run=后面什么也沒有。
=后面之路徑文件名就是木馬,把它查找出來,刪除。 保存退出win.ini。 OK
7. AttackFTP 清除木馬之步驟: 打開win.ini文件 在[WINDOWS]下面有load=wscan.exe 刪除wscan.exe
,正確是load= 保存退出win.ini。 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之Reminder="wscan.exe /s" 關閉Regedit,重新啟動到MSDOS系統中 刪除C:windowssystem
wscan.exe OK
8. Back Construction 1.0 - 2.5 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之"C:WINDOWSCmctl32.exe" 關閉Regedit,重新啟動到MSDOS系統中 刪除C:WINDOWSCmctl32.exe OK
9. BackDoor v2.00 - v2.03 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之'c:windows otpa.exe /o=yes' 關閉Regedit,重新啟動到MSDOS系統中
刪除c:windows otpa.exe 注意:不要刪除真正之notepad.exe筆記本程序 OK
10. BF Evolution v5.3.12 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之(Default)=" " 關閉Regedit,再次重新啟動計算機。 將C:windowssystem .exe(空格exe文件) OK
11. BioNet v0.84 - 0.92 + 2.21 0.8X版本是運行在Win95/98 0.9X以上版本有運行在Win95/98
和WinNT上兩個軟件 客戶-服務器協議是一樣之,因而NT客戶能黑95/98被感染之機器,和Win95/98客戶能黑 NT被感染之系統完全一樣。
清除木馬之步驟: 首先準備一張98之啟動盤,用它啟動后,進入c:windows目錄下,用attrib libupd~1. exe -h
命令讓木馬程序可見,然后刪除它。 抽出軟盤后重新啟動,進入98下,在注冊表里找到:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
之子鍵WinLibUpdate = "c:windowslibupdate.exe -hide" 將此子鍵刪除。
12. Bla v1.0 - 5.03 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之Systemdoor
= "C:WINDOWSSystemmprdll.exe" 關閉Regedit,重新啟動計算機。
查找到C:WINDOWSSystemmprdll.exe和 C:WINDOWSsystem undll.exe
注意:不要刪除C:WINDOWSRUNDLL.EXE正確文件。 并刪除兩個文件。 OK
13. BladeRunner 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 可以找到System-Tray
= "c:somethingsomething.exe" 右邊之路徑可能是任何東西,這時你不需要刪除它,因為木馬會立即自動加上,你需要
之是記下木馬之名字與目錄,然后退回到MS-DOS下,找到此木馬文件并刪除掉。 重新啟動計算機,然后重復第一步,在注冊表中找到木馬文件并刪除此鍵。
14. Bobo v1.0 - 2.0 清除木馬v1.0 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之DirrectLibrarySupport ="C:WINDOWSSYSTEMDllclient.exe" 關閉Regedit,重新啟動計算機。
DEL C:WindowsSystemDllclient.exe OK 清除木馬v2.0 打開注冊表Regedit 點擊目錄至:
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/ ICQ
Accel是一個“假象“之主鍵,選中ICQ Accel主鍵并把它刪除。 重新啟動計算機。OK
15. BrainSpy vBeta 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 右邊有 ??? =
"C:WINDOWSsystemBRAINSPY .exe" ???標簽選是隨意改變之。 關閉Regedit,重新啟動計算機
查找刪除C:WINDOWSsystemBRAINSPY .exe OK
16. Cain and Abel v1.50 - 1.51 這是一個口令木馬 進入MS-DOS方式 查找到C:windowsmsabel32.exe
并刪除它。OK
17. Canasson 清除木馬之步驟: 打開WIN.INI文件 查找c:msie5.exe,刪除全部主鍵 保存win.ini 重新啟動計算機
刪除c:msie5.exe木馬文件 OK
18. Chupachbra 清除木馬之步驟: 打開WIN.INI文件 [Windows]之下面有兩個行 run=winprot.exe
load=winprot.exe 刪除winprot.exe run= load= 保存Win.ini,再打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 刪除右邊之'System
Protect' = winprot.exe 重新啟動Windows 查找到C:windowssystem winprot.exe,并刪除。 OK
19. Coma v1.09 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 刪除右邊之'RunTime'
= C:windowsmsgsrv36.exe 重新啟動Windows 查找到C:windows msgsrv36.exe,并刪除。 OK
20. Control 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 刪除右邊之Load MSchv
Drv = C:windowssystemMSchv.exe 保存Regedit,重新啟動Windows
查找到C:windowssystemMSchv.exe,并刪除。 OK
21. Dark Shadow 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRunServices
刪除右邊之winfunctions="winfunctions.exe" 保存Regedit,重新啟動Windows 查找到C:windowssystem winfunctions.exe,并刪除。 OK
22. DeepThroat v1.0 - 3.1 + Mod (Foreplay) 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 版本1.0
刪除右邊之項目'System32'=c:windowssystem32.exe 版本2.0-3.1 刪除右邊之項目'SystemTray' =
'Systray.exe' 保存Regedit,重新啟動Windows 版本1.0刪除c:windowssystem32.exe 版本2.0-3.1
刪除c:windowssystemsystray.exe OK
23. Delta Source v0.5 - 0.7 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 刪除右邊之項目:DS
admin tool = C:TEMPSERVER.exe 保存Regedit,重新啟動Windows 查找到C:TEMPSERVER.exe,并刪除它。 OK
24. Der Spaeher v3 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun 刪除右邊之項目:explore
= "c:windowssystemdkbdll.exe " 保存Regedit,重新啟動Windows
刪除c:windowssystemdkbdll.exe木馬文件。 OK --
25. Doly v1.1 - v1.7 (SE) 清除木馬V1.1-V1.5版本:
這幾個木馬版本之木馬程序放在三處,增加二個注冊項目,還增加到Win.ini項目。
首先,進入MS-DOS方式,刪除三個木馬程序,但V1.35版本多一個木馬文件mdm.exe。 把下列各項全部刪除:
C:WINDOWSSYSTEM esk.sys C:WINDOWSStart MenuProgramsStartupmstesk.exe
c rogram FilesMStesk.exe c rogram FilesMdm.exe 重新啟動Windows。 接著,打開win.ini文件
找到[WINDOWS]下面load=c:windowssystem esk.exe項目,刪除路徑,改變為load= 保存win.ini文件。
后,修改注冊表Regedit 找到以下兩個項目并刪除它們
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Ms tesk =
"C rogram FilesMStesk.exe" 和
HKEY_USER.DefaultSoftwareMicrosoftWindowsCurrentVersionRun Ms tesk =
"C rogram FilesMStesk.exe"
再尋找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionss
這個組是木馬之全部參數選擇和設置之服務器,刪除這個ss組之全部項目。 關閉保存Regedit。 還有打開C:AUTOEXEC.BAT文件,刪除 @echo
off copy c:sys.lon c:windowsStartMenuStartup Items del c:win.reg
關閉保存autoexec.bat。 OK
清除木馬V1.6版本: 該木馬運行時,將不能通過98之也很操作關閉,只能RESET鍵。徹底清除步驟如下: 1.打開控制面板——添加刪除程序——刪除memory
manager 3.0,這就是木馬程序,但 是它并不會把木馬之EXE文件刪除掉。
2.用98或DOS啟動盤啟動(用RESET鍵)后,轉入C:,編輯AUTOEXEC。BAT,把如下內容 刪除: @echo off copy
c:sys.lon c:windowsstartm~1programsstartupmdm.exe del c:win.reg
保存AUTOEXEC。BAT文件并返回DOS后,在C:根目錄下刪除木馬文件: del sys.lon del
windowsstartm~1programsstartupmdm.exe del progra~1mdm.exe
3.抽出軟盤重新啟動,進入98后,把c:program files目錄下之memory manager 目錄 刪除。 清除木馬V1.7版本:
首先,打開C:AUTOEXEC.BAT文件,刪除 @echo off copy c:sys.lon
c:windowsstartm~1programsstartupmdm.exe del c:win.reg 關閉保存autoexec.bat
然后打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersionRun
找到c:windowssystemmdm.exe路徑并刪除這個項目 點擊目錄至:
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到"C:windowssystemkernal32.exe"路徑并刪除這個項目 關閉保存Regedit。重新啟動Windows。
后,刪除以下木馬程序: c:sys.lon c:iecookie.exe c:windowsstart
menuprogramsstartupmdm.exe c:program filesmdm.exe c:windowssystemmdm.exe
c:windowssystemkernal32.exe 注意:kernal32是A OK
75. Revenger v1.0 - 1.5 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:AppName ="C:...server.exe" 關閉保存Regedit,重新啟動Windows
在c:windows查找相應之木馬程序server.exe,并刪除 OK
76. Ripper 清除木馬之步驟: 打開system.ini文件 將shell=explorer.exe sysrunt.exe 改為shell=
explorer.exe 關閉保存system.ini,重新啟動Windows 在c:windows查找相應之木馬程序sysrunt.exe,并刪除 OK
77. Satans Back Door v1.0 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊之項目:sysprot protection ="C:windowssysprot.exe" 關閉保存Regedit,重新啟動Windows
刪除C:windowssysprot.exe OK
78. Schwindler v1.82 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:User.exe = "C:WINDOWSUser.exe" 關閉保存Regedit,重新啟動Windows
刪除C:WINDOWSUser.exe OK
79. Setup Trojan (Sshare) +Mod Small Share 這個共享隱藏C盤之木馬 清除木馬之步驟: 打開注冊表Regedit
點擊目錄至: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionNetworkLanMan
選擇右邊有'C$'之項目,并全部刪除 關閉保存Regedit,重新啟動Windows OK
80. ShadowPhyre v2.12.38 - 2.X 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:WinZipp = "C:WINDOWSSYSTEMWinZipp.exe /nomsg" 或者WinZip =
"C:WINDOWSSYSTEMWinZip.exe /nomsg" 關閉保存Regedit,重新啟動Windows 刪除C:WINDOWS
WinZipp.exe或者C:WINDOWS WinZip.exe OK
81. Share All 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionNetworkLanMan
這里你將看到所有被木馬共享出來之你之硬盤符號,把它們一個個刪除掉。
82. ShitHeap 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊之項目:recycle-bin = "c:windowssystem ecycle-bin.exe" 或者recycle-bin =
"c:windowssystem.exe" 關閉保存Regedit,重新啟動Windows
刪除c:windowssystem ecycle-bin.exe或者c:windowssystem.exe OK
83. Snid v1 - 2 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:System-tray = 'c:windows emp$01.exe' 關閉保存Regedit,重新啟動Windows
刪除c:windows emp$01.exe OK
84. Softwarst 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之項目:NetApp
= C:windowssystemwinserv.exe 關閉保存Regedit,重新啟動Windows
刪除C:windowssystemwinserv.exe OK
85. Spirit 2000 Beta - v1.2 (fixed) 清除木馬v Beta版本: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:internet = "c:windows etip.exe " 關閉保存Regedit 打開win.ini文件
查找到run=c:windows etip.exe 更改為:run= 關閉保存win.ini,重新啟動Windows
刪除c:windows etip.exe和c:windows etip.exe OK
清除木馬v 1.2版本: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:SystemTray = "c:windowswindown.exe " 關閉保存Regedit,重新啟動Windows
刪除c:windowswindown.exe OK
清除木馬v 1.2(fixed)版本: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之項目:Server
1.2.exe = "c:windowsserver 1.2.exe" 關閉保存Regedit,重新啟動Windows
刪除c:windowsserver 1.2.exe OK
86. Stealth v2.0 - 2.16 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:Winprotect System = "C:WINDOWSwinprotecte.exe 關閉保存Regedit,重新啟動Windows 刪除C:WINDOWSwinprotecte.exe OK
87. SubSeven - Introduction 清除木馬v1.0 - 1.1: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:SystemTrayIcon = "C:WINDOWSSysTrayIcon.Exe" 關閉保存Regedit,重新啟動Windows
刪除C:WINDOWSSysTrayIcon.Exe OK
清除木馬v1.3 - 1.4 - 1.5: 打開win.ini文件 查找到run=nodll 更改為run= 關閉保存win.ini,重新啟動Windows 刪除c:windows odll.exe OK
清除木馬v1.6: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:SystemTray = "SysTray.Exe" 關閉保存Regedit,重新啟動Windows
刪除C:windowssystray.exe OK
清除木馬v1.7: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
查找到右邊之項目:C:windowskernel16.dl,并刪除 關閉保存Regedit,重新啟動Windows
刪除C:windowskernel16.dl OK
清除木馬v1.8: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
查找到右邊之項目:c:windowssystem.ini.,并刪除 關閉保存Regedit。 打開win.ini文件 查找到run= kernel16.dl
更改為run= 關閉保存win.ini。 打開system.ini文件 查找到shell=explorer.exe kernel32.dl
更改為shell=explorer.exe 關閉保存system.ini,重新啟動Windows 刪除C:windowskernel16.dl OK
清除木馬v1.9 - 1.9b: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊之項目:RegistryScan = "rundll16.exe" 關閉保存Regedit,重新啟動Windows
刪除C:windows undll16.exe OK
清除木馬v2.0: 打開system.ini文件 查找到shell=explorer.exe trojanname.exe
更改為shell=explorer.exe 關閉保存system.ini,重新啟動Windows 刪除c:windows undll16.exe OK
清除木馬v2.1 - 2.1 Gold + SubStealth- 2.1.3 Mod + 2.1.3 MUIE + 2.1 Bonus:
打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊之項目:WinLoader = MSREXE.EXE hkey_classes_rootexefileshellopencommand
將右邊之項目更改為:@=""%1" %*" 關閉保存Regedit。 打開win.ini文件 查找到run=msrexe.exe和
load=msrexe.exe 更改為run= load= 關閉保存win.ini。 打開system.ini文件 查找到shell=explore.exe
msrexe.exe 更改為shell=explorer.exe 關閉保存system.ini,重新啟動Windows 刪除C:windows
msrexe.exe C:windowssystemsystray.dll OK
清除木馬v2.2b1: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和 刪除右邊之項目:加載器 =
"c:windowssystem***" 注:加載器和文件名是隨意改變之 關閉保存Regedit。 打開win.ini文件 更改為run=
關閉保存win.ini。 打開system.ini文件 更改為shell=explorer.exe 關閉保存system.ini,重新啟動Windows
刪除相對應之木馬程序 OK
88. Telecommando 1.54 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:SystemApp="ODBC.EXE" 關閉保存Regedit,重新啟動Windows 刪除C:windowssystem
ODBC.EXE OK --
89. The Unexplained 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:InetB00st = "C:WINDOWSTEMPINETB00ST.EXE" 關閉保存Regedit,重新啟動Windows
刪除C:WINDOWSTEMPINETB00ST.EXE OK
90. Thing v1.00 - 1.60 清除木馬v1.00-1.12: 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:(Default) = "C:somepathhere hing.exe" 也有一些是在:
HKEY_LOCAL_MACHINESystemCurrentControlSetcontrolSessionManagerKnown16DL Ls
刪除右邊之項目:wsasrv.exe = "wsasrv.exe" 關閉保存Regedit,重新啟動Windows
刪除C:somepathhere hing.exe OK
清除木馬v 1.20版本: 進入MS_DOS方式: del winspc13.exe del ms097.exe 打開system.ini文件
查找到shell=explorer.exe ms097.exe 更改為:shell=explorer.exe
關閉保存system.ini,重新啟動Windows OK
清除木馬v1.50版本: 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
這個項目之路徑和文件名是隨機改變之,察看有可疑之文件路徑,將它刪除。 關閉保存Regedit。 打開system.ini文件
查找到shell=explorer.exe后面是木馬文件 更改為:shell=explorer.exe 關閉保存system.ini,重新啟動Windows 刪除相應之木馬文件 OK
清除木馬v1.50版本: 進入MS_DOS方式: del winspc13.exe del ms097.exe 打開system.ini文件
查找到shell=explorer.exe后面是木馬文件 更改為:shell=explorer.exe 關閉保存system.ini,重新啟動Windows 刪除相應之木馬文件 OK
91. Transmission Scount v1.1 - 1.2 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:Kernel16" = C:WINDOWSKernel16.exe 關閉保存Regedit,重新啟動Windows
刪除C:WINDOWSKernel16.exe OK
92. Trinoo 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之項目:
System Services = service.exe 關閉保存Regedit,重新啟動Windows
刪除C:windowssystemservice.exe OK
93. Trojan Cow v1.0 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:SysWindow = "C:WINDOWSSyswindow.exe" 關閉保存Regedit,重新啟動Windows
刪除C:WINDOWSSyswindow.exe OK
94. TryIt 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之項目:Rc5Dec
= C rogram FilesInternet Explorer\_.exe -guistart 關閉保存Regedit,重新啟動Windows
刪除C rogram FilesInternet Explorer\_.exe OK
95. Vampire v1.0 - 1.2 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:Sockets ="c:windowssystemSockets.exe" 關閉保存Regedit,重新啟動Windows
刪除c:windowssystemSockets.exe OK
96. WarTrojan v1.0 - 2.0 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:Kernel32 = "C:somepathserver.exe" 關閉保存Regedit,重新啟動Windows
刪除C:somepathserver.exe OK
97. wCrat v1.2b 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之項目:MS
Windows System Explorer ="C:WINDOWSsysexplor.exe" 關閉保存Regedit,重新啟動Windows
刪除C:WINDOWSsysexplor.exe OK
98. WebEx (v1.2, 1.3, and 1.4) 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:RunDl32 = "C:windowssystem ask_bar" 關閉保存Regedit,重新啟動Windows
刪除C:windowssystem ask_bar.exe和c:windowssystemmsinet.ocx OK
99. WinCrash v2 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:WinManager = "c:windowsserver.exe" 關閉保存Regedit 打開win.ini文件
查找到run=c:windowsserver.exe 更改為:run= 保存關閉win.ini,重新啟動Windows
刪除c:windowsserver.exe OK
100. WinCrash 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:MsManager ="SERVER.EXE" 關閉保存Regedit,重新啟動Windows 刪除C:windowssystem SERVER.EXE OK
101. Xanadu v1.1 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之項目:SETUP
= "c:somepathsetup.exe" 關閉保存Regedit,重新啟動Windows 刪除c:somepathsetup.exe OK
102. Xplorer v1.20 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 刪除右邊之項目:PCX =
"C:WINDOWSsystemPCX.exe" 關閉保存Regedit,重新啟動Windows 刪除C:WINDOWSsystemPCX.exe
OK
103. Xtcp v2.0 - 2.1 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
刪除右邊之項目:msgsv32 = "C:WINDOWSsystemwinmsg32.exe" 關閉保存Regedit,重新啟動Windows
刪除C:WINDOWSsystemwinmsg32.exe OK
104. YAT 清除木馬之步驟: 打開注冊表Regedit 點擊目錄至:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
刪除右邊之項目:Batterieanzeige = 'c:pathnamehereserver.exe /nomsg'
關閉保存Regedit,重新啟動Windows 刪除c:pathnamehereserver.exe OK
關于木馬之手工清除
在看文章之前:我想說前幾天由于我個人之疏忽,接了一個廣告。但是我完全不知道其站含木馬?只能說隱藏之非常之好,單看源代碼是根本找不出,并且代碼還經過加密。后來經過我再三之研究才發現。但是我知道這已經導致很多網吧中了木馬,我也完全沒有能為力,所以只能提供這篇文章針對我犯之錯誤。打奇跡之朋友不用擔心,改木馬是完全針對傳奇之!所以請網吧管理員進行手動清楚,以免后來者倒霉。
PWSteal.Lemir.Gen 還分好幾種變種,以下是針對Expl0rer.exe,另外可能進程中還有是internet.exe這種。
首先下載: 新木馬查殺軟件進行檢查 http://www.57sf.com/9_repentip/News200403210583.htm這里提供之都是很不錯之。
另外介紹手工清楚方法,可以不通過軟件。
* 提示:PWSteal.Lemir.Gen 是對一類竊號木馬之統稱,這個方法只適用于木馬主本文件為 Expl0rer.exe 之 PWSteal.Lemir.Gen 木馬,在使用此方法前請先確保自己遇到之是這個木馬才可以
有許多用戶反應一些殺毒軟件在發現 PWSteal.Lemir.Gen(SysModule32.DLL,SysModule64.DLL) 木馬后遇到沒有法隔離、刪除或是清除后反復出現之問題。
中查找“TCP/IP協議的簡單說明”更多相關內容
中查找“TCP/IP協議的簡單說明”更多相關內容