熊蓋站 - 首頁

  Plurk Twitter    

» 您尚未 登入註冊 | 說明 | 娛樂中心 | 點歌 | 聊天留言 | 最新 | 精華 | 論壇 | 資訊 | 首頁 | 影音模式

熊蓋站  -> 軟體分享  -> 【分享】11種最流行的木馬清除方法

--> 本頁主題: 【分享】11種最流行的木馬清除方法 加為IE收藏 | 收藏主題 | 上一主題 | 下一主題 | 可列印版本
mangomkt


社區建設獎

∷ 職務: 見習版主 該用戶目前不在線
∷ 編號: 16
∷ 級別: 小有名氣
∷ 發帖: 272
∷ 威望: 136
∷ 財富: 816 蓋幣
∷ 貢獻: 3
∷ 配偶: 單身
∷ 家族: 無門無派
∷ 來自: 樹上一顆"芒"
∷ 註冊: 2005-02-14
∷ 上次: 2013-02-13
鮮花(9)
寵物資料

寵物狀態:死亡(餓 死!)
寵物級別:145 -最終進化-
寵物PK:開(接受挑戰)
0
0
  【字體: Plurk Twitter 
【本站推薦】:
 【分享】11種最流行的木馬清除方法

一、木馬ShareQQ
這是一款QQ密碼竊取軟件。清除方法如下:

1、刪除文件。

用進程管理軟件終止spolsv.exe這個進程(或到純DOS下),然後到windows\system文件夾下將spolsv.exe文件刪除,順便刪除的還有debug.dll、MSIME5f594f58.dll兩個文件,再到Windows目錄下刪除winin.exe文件。

2、檢查註冊表。

在「開始」菜單的「運行」中輸入regedit檢查註冊表,到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下,刪除名為「netconfig」的字符串。

再到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce下,刪除「winin」字符串即可。

3、重新啟動電腦。

二、木馬BladeRunner

首先展開註冊表到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,你會看到字符串值System-Tray,其鍵值為c:\something\something.exe,事實上c:\something\something.exe是可以任意變化的,就看給您下木馬的人怎麼設定了,所以你看到的可能與我說的不同,但這不影響我們查殺它。

根據木馬在註冊表中建立的的鍵值記下木馬的名字與所在文件夾,然後退回到純DOS下,找到此木馬文件並刪除掉。重新啟動計算機,然後到註冊表中找到我們前面提到的木馬文件所建立的字符串值及其鍵值,刪除之即可。

三、木馬廣外女生

廣外女生是廣東外語外貿大學「廣外女生」網絡小組的處女作,它的基本功能有:文件管理方面有上傳,下載,刪除,改名,設置屬性,建立文件夾和運行指定文件等功能;註冊表操作方面:全面模擬Windows的註冊表編輯器,讓遠程註冊表編輯工作有如在本機上操作一樣方便;屏幕控制方面:可以自定義圖片的質量來減少傳輸的時間,在局域網或高網速的地方還可以全屏操作被控方的鼠標(包括單擊,雙擊,右鍵,拖動等);其他功能還有遠程任務管理、郵件IP通知、郵件服務等。廣外女生與其他同類軟件相比,其主要特點是:服務端程序體積小,大家熟悉的「冰河」是260多KB,而廣外女生只有96KB!服務端佔用系統資源少,最多時只佔用3M的內存,不會影響服務端計算機的速度。隱蔽性好,不容易被發現。同時還自動檢查進程中是否含有「金山毒霸」、「防火牆」、「iparmor」、「tcmonitor」、「實時監控」、「lockdown」、「kill」、「天網」等字樣,如果發現就將該進程終止,也就是說它會使防火牆完全失去保護作用!

廣外女生的清除方法

該木馬程序運行後,將會在系統的SYSTEM目錄下生成一個木馬文件名為DIAGCFG.EXE,並關聯EXE文件的打開方式,如果直接刪除該文件,將會導致系統中所有的EXE文件無法打開。

1、到純DOS模式下,找到System目錄下的DIAGFG.EXE,刪除它;

2、由於DIAGCFG.EXE文件已經被刪除了,因此在Windows環境下所有exe文件都將無法運行。找到Windows目錄中的註冊表編輯器Regedit.exe,將它改名為「Regedit.com」;

3、回到Windows模式下,運行Windows目錄下的Regedit.com程序;

4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command,將其默認鍵值改成"%1" %*;

5、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices,刪除其中名稱為「Diagnostic Configuration」的鍵值;

6、關掉註冊表編輯器,回到Windows目錄,將「Regedit.com」改回「Regedit.exe」。

7、重新啟動電腦。

四、木馬BrainSpy

1、檢查註冊表。

展開註冊表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,你會在右邊的窗口中看到有字符串值***="C:\WINDOWS\system\BRAINSPY.exe",其中「***」是隨意改變,但其鍵值不變恆為「C:\WINDOWS\system\BRAINSPY.exe」,刪除此字符串值和鍵值。

2、刪除文件。

用進程管理軟件終止「BRAINSPY.exe」這個進程(或重新啟動電腦到純DOS下),然後到C:\WINDOWS\system文件夾下刪除BRAINSPY.exe文件即可清除木馬BrainSpy。

五、木馬FunnyFlash

FunnyFlash的圖標為FLASH圖標,很容易使人上當受騙,千萬不要以為它是個FLASH文件而運行。

清除方法:

1、檢查註冊表。

到註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下,刪除串值「723」及其鍵值「c:\`.exe」。

2、刪除木馬文件。

分別到C盤根目錄、C:\WINDOWS和C:\WINDOWS\SYSTEM文件夾下找到「`.exe」文件,刪除之,再到C:\WINDOWS\TEMP下刪除「FunnyFlash.exe」文件即可清除木馬。

六、QQ密碼偵探特別版

這也是一款QQ密碼竊取密碼,木馬文件名為QQSPYSP.EXE,文件大小379,904byte。它的清除方法:

重啟電腦到純DOS狀態下,然後將C:\WINDOWS\SYSTEM文件夾中的Internat.exe文件刪除,再將該文件夾下的smaxinte.exe文件重命名Internat.exe,最後刪除Windows文件夾下的Internat.exe和uttnskf.ini文件,重新啟動電腦即可清除該木馬。

七、木馬IEthief

IEthief的圖標與瀏覽器IE的圖標很是相似,不同之處其圖標在右端的「e」字開口處添加了一排「牙齒」,這是識別它與正常的IE文件的好方法。

清除方法:

1、刪除C:\WINDOWS\SYSTEM文件夾下的木馬文件和相關的信息記錄文件:IEthief.exe、firstrunIE.dat、IEcfg,這一步可以在純DOS下進行。

2、更改註冊表:

到註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下,刪除串值「ierun」及其鍵值「C:\WINDOWS\SYSTEM\IEthief.exe」即可。

八、木馬QEyes潛伏者

QEyes潛伏者是個QQ密碼竊取木馬,它的清除方法如下:

1、在「開始」菜單中的「運行」中輸入msconfig,找到Win.ini標籤,刪除「[windows]」字段下的「run=」下的字符串「c:\windows\thereadmsg.exe」。

2、檢查註冊表

在「開始」菜單的「運行」中輸入regedit,到註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下,刪除字符串值netservice及其鍵值c:\windows\nesmsg.exe;再刪除字符串值system及其鍵值c:\windows\system\kerne132.exe;最後再刪除字符串值boot及其鍵值c:\windows\system\kerne116.exe。

3、清除文件

到Windows所在安裝目錄下刪除nesmsg.exe、thereadmsg.exe、wininet.ini、raddr.txt和addr.txt文件,再到Windows\system文件夾下刪除kerne116.exe、kerne132.exe文件,最後到C盤根目錄下刪除process.dll文件即可清除該木馬。

九、木馬藍色火焰

藍色火焰是一款沒有客戶端的木馬,你的電腦中幾乎任何和網絡相關的程序都可以用來控制它,如Telnet、sterm、cterm、Zmud、Ftp、IE、Netscape、Opera、Flashget、Cuteftp……由於沒有客戶端,甚至可以跨平台來操控服務端,如在Unix、linux系統下……

藍色火焰客戶端與服務端連通訊通過19191端口進行;如果是微型版藍色火焰(這是只有10K大小的微型版藍色火焰),則使用9191端口連接。所以,也可以通過這個方法來發現「藍色火焰」,方法是在MS-DOS窗口下(在Win2000下稱作命令提示符下)運行netstat -a命令即可,如果發現有19191或9191端口開放,就表示你中木馬了(這部分介紹參考了筆友的文章)。

清除方法:

1、刪除木馬在註冊表中建立的鍵值。

在「開始」菜單的「運行」中輸入Regedit,到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下,刪除串值Network Services及其鍵值C:\WINDOWS\SYSTEM\tasksvc.exe。

2、恢復文件關聯:

到註冊表HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command之下,將C:\WINDOWS\SYSTEM\sy***pl.exe %1更改為:NOTEPAD.exe %1

3、刪除文件。

到C:\WINDOWS\SYSTEM下,將tasksvc.exe、sy***pl.exe、bfhook.dll這三個文件刪除即可清除木馬藍色火焰。

十、木馬Back Construction清除方法

到註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,刪除右邊窗口中的「C:\WINDOWS\Cmctl32.exe」。

刪除木馬文件。

重新啟動到純DOS下,或用進程管理軟件終止進程「Cmctl32.exe」,然後到C:\WINDOWS文件夾下刪除木馬文件Cmctl32.exe即可。

十一、手工清除冰河木馬




也許您中了冰河,苦於想把它弄掉。這裡給你介紹一種方法,手工清除
環境:win95/98

1、運行regedit進入註冊表
2、打開HKEY_CLASSES_ROOT\txtfile\shell\open\command"
3、將「默認」的數據記下(例如:c:\windows\c_server.exe)
4、將「默認」的數據改為"c:\windows\notepad.exe %1"
5、重新啟動電腦,進入dos模式。
6、把"c:\windows\c_server.exe"刪除。
7、重新啟動電腦。


※ ※ ※ 本文為 mangomkt 與 熊蓋站 共同所有,未經同意,請勿轉載 ※ ※ ※

 



[樓 主] |
發表於:2005-03-03 12:54

  熊蓋站 -> 軟體分享

v 最新文章        熊蓋站為自由討論論壇,所有個人行為或言論不代表本站立場。文章內容如有涉及侵權請聯絡我們,將立即刪除相關文章資料        v 精華文章

               

奇摩搜尋
完全比對 模糊比對

線上收看: 景點即時影像 | 線上查詢: 火車時刻表最上方

    Powered by 熊蓋站  Code © 2005-2017 Plurk Twitter 
讀取秒數Time 0.027031 second(s),query:4 Gzip enabled
   現在時間是 2024-11-27 13:07