104种木马的手动清除方法(2)

　　6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1

　　清除木马的步骤：

　　注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。

　　我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。

　　打开system.ini文件

　　在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe

　　如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。

　　保存退出system.ini

　　打开win.ini文件

　　在[WINDOWS]下面有个run=

　　如果你看到=后面有路径文件名，必须把它删除。

　　正确的应该是run=后面什么也没有。

　　=后面的路径文件名就是木马，把它查找出来，删除。

　　保存退出win.ini。

　　OK

　　7. AttackFTP

　　清除木马的步骤：

　　打开win.ini文件

　　在[WINDOWS]下面有load=wscan.exe

　　删除wscan.exe ，正确是load=

　　保存退出win.ini。

　　打开注册表Regedit

　　点击目录至：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　删除右边的Reminder="wscan.exe /s"

　　关闭Regedit，重新启动到MSDOS系统中

　　删除右边的"C:WINDOWSCmctl32.exe"

　　关闭Regedit，重新启动到MSDOS系统中

　　删除C:WINDOWSCmctl32.exe

　　OK

　　9. BackDoor v2.00 - v2.03

　　清除木马的步骤：

　　打开注册表Regedit

　　点击目录至：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　删除右边的‘c:windows otpa.exe /o=yes‘

　　关闭Regedit，重新启动到MSDOS系统中

　　删除c:windows otpa.exe

　　注意：不要删除真正的notepad.exe笔记本程序

　　ＯＫ

　　10. BF Evolution v5.3.12

　　清除木马的步骤：

　　打开注册表Regedit

　　点击目录至：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　删除右边的(Default)=" "

　　关闭Regedit，再次重新启动计算机。

　　将C:windowssystem .exe（空格exe文件）

　　ＯＫ

　　11. BioNet v0.84 - 0.92 + 2.21

　　0.8X版本是运行在Win95/98

　　0.9X以上版本有运行在Win95/98 和WinNT上两个软件

　　客户－服务器协议是一样的，因而NT客户能黑95/98被感染的机器，和Win95/98客户能黑NT被感染的系统完全一样。

　　清除木马的步骤：

　　首先准备一张98的启动盘，用它启动后，进入c:windows目录下，用attrib libupd~1.exe -h

　　命令让木马程序可见，然后删除它。

　　抽出软盘后重新启动，进入98下，在注册表里找到：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　删除右边的Systemdoor = "C:WINDOWSSystemmprdll.exe"

　　关闭Regedit，重新启动计算机。

　　查找到C:WINDOWSSystemmprdll.exe和

　　C:WINDOWSsystem undll.exe

　　注意：不要删除C:WINDOWSRUNDLL.EXE正确文件。

　　并删除两个文件。

　　OK

　　13. BladeRunner

　　清除木马的步骤：

　　打开注册表Regedit

　　点击目录至：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun