手工清除木马的一般方法

【简介】感谢网友“西宁的角落”参与投稿，下面给大家分享手工清除木马的一般方法(共5篇），欢迎阅读!

篇1：手工清除木马的一般方法

首先你要具备一些电脑的常识，比如查看自己的电脑有哪些自启动程序；然后你要对自己的电脑比较熟悉，为什么？晕，。。。。每个人的电脑都不一样，只有你自己知道自己装了哪些硬件软件。最后要说句，不要怕，做好ghost，系统还原等备份工作。就算系统被你搞崩溃了，你也学到东西了。

首先，你有中了木马的迹象，你应该先看看你的启动组有哪些东西是自动加载的，木马肯定是在这里面的。发现陌生的的程序了？还不止一个？没关系，一个一个来，记下名字。

然后找个进程查看工具（为什么要看进程？木马从来都是没窗体的或隐藏的，但却逃不出进程查看器），xp/有自带的工具，ctrl+shift+esc呼出，98/me用windows优化大师的进程查看器。

找到进程后，先结束他的进程（不然程序在使用中怎么删得到？），然后再把自启动项删除（因为高级点的木马有保护功能，如多线裎木马）。再隔离该可疑程序。最后重起计算机。这步要一个一个的来，不然你怎么知道哪个是木马？但是如果你对自己的电脑很熟悉的话，一般一眼就能看出来哪些不是自己装的程序。

如果还是有中木马的迹象，重复上面的步骤。

如果已经知道木马程序的位置，那么先结束进程，然后删除启动项目，删除木马程序。重起。

看完后，你是不是觉得很简单，就那么几步？：）

###############windows9x/me下的一些自启动方法#########

1.Autostart文件

C:windowsstartmenuprogramsstartup{chinese/english}

在注册表中的位置：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell

FoldersStartup=“C:windowsstartmenuprogramsstartup”

所以它将很容易被程序更改

2.Win.ini

[windows]

load=file.exe

run=file.exe

3.System.ini[boot]

Shell=Explorer.exefile.exe

4.c:windowswinstart.bat

看似平常，但每次都重新启动

5.Registry键

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices]

篇2：如何手工清除冰河木马

也许您中了冰河，苦于想把它弄掉，这里给你介绍一种方法，手工清除:

环境：win95/98

1.运行regedit进入注册表

2.到我的电脑HKEY_CLASSES_ROOT xtfileshellopencommand

3.将默认的数据记下（例如：c:windowsc_server.exe)

4.将默认的数据改为c:windows otepad.exe %1

5.重新启动电脑，进入dos模式，

6.把c:windowsc_server.exe删除。

7.重新启动电脑。

篇3：手工清除隐藏的病毒和木马

检查注册表

注册表一直都是很多木马和病毒“青睐”的寄生场所，注意在检查注册表之前要先给注册表备份，

1、 检查注册表中HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run和HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Runserveice，查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为EXE，然后记住木马程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要删除，接着到电脑中找到木马文件的藏身地将其彻底删除?比如“爱虫”病毒会修改上面所提的第一项，BO木马会修改上面所提的第二项)。

2、 检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER＼SOFTWARE＼Microsoft＼Internet Explorer＼Main中的几项(如Local Page)，如果发现键值被修改了，只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。

3、检查HKEY_CLASSES_ROOT＼inifile ＼shell＼open＼command和HKEY_CLASSES_ROOT ＼txtfile＼shell＼open＼command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来，很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的，

例如“罗密欧与朱丽叶”?BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的默认打开程序。

检查你的系统配置文件

其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe)，在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini，并且可以选择启动系统的时间。

1、检查win.ini文件(在C?＼windows＼下)，打开后，在?WINDOWS?下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。在一般情况下，在它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。比如攻击QQ的“GOP木马”就会在这里留下痕迹。

2、检查system.ini文件(在C:＼windows＼下)，在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，然后你就要在硬盘找到这个程序并将其删除了。这类的病毒很多，比如“尼姆达”病毒就会把该项修改为“shell=explorer.exe load.exe -dontrunold”。

点击阅读更多学院相关文章>>

分享到

篇4：手工清除流氓软件方法

鉴于最近经常有人谈论如何清除流氓软件，回答普遍都是用某某软件，的确我承认用软件不错，方便快捷，不过魔高一尺，道高一丈，流氓软件在日新月异，清理软件也会渐渐显露出它局限的一面---只能清楚大部分已知的流氓软件。所以今天我想介绍下我这个老菜鸟手工删除流氓软件的方法。

推荐辅助软件：icesword

开始假设电脑上已经有了流氓软件，根据我的经验，流氓软件都会想利用IE进行捆绑，所以

第一步：我们可以通过IE中插件管理来定位流氓软件的位置。

打开“IE”->工具->internet选项->程序->管理加载项

然后会列出很多IE插件，我们要做的只是观察插件的发行者，如果看到发行者前面有个“未验证”的话，我推荐别管它起什么作用，禁用，然后把不是 microsoft 的都禁用了，不用担心会关闭某些有用的插件，比方说播放网页中flash的插件，就算我们关闭了，以后IE会提示你。在状态栏上有个齿轮的符号，双击打开，然后它会提示你需要哪个插件，你到时候再恢复也不迟。

第二步：记录下刚才被基本怀疑为流氓软件的插件（Dll文件）的名字，然后到搜索中对系统进行搜索，一般来说，大部分流氓软件都会安装到x：Program Files下面，找到流氓软件安装的文件夹，先尝试删除，应该是没办法删除的，系统会跳出个窗口――“某文件正在被使用”，那么说明你刚才光在IE里清除是不够的，因为流氓软件已经将其自己加载到rundll32.exe进程中了，

第三步：我们要使用icesword进行操作了。打开 icesword，然后选进程，找到rundll32.exe（有时候可能会有几个，如果有多个的话，一个一个操作），点右键选择“模块信息”，在模块里找到你刚才没办法删除的dll文件，现在强行结束这个rundll32.exe进程，然后回到Program Files下，先别急着删除。现在打开regedit.exe开始搜索dll插件（就是你刚才在rundll32模块里找到的那个流氓软件的插件），找到一处就点右键删除注册键值，然后按F3继续搜索，直到跳出个窗口说搜索完毕了，那就说明你已经很干净地清除了流氓软件，删除刚才找到的文件夹，重新启动电脑吧，怎么样，世界干净了！

注册表的操作有几个注意点：

1、不要乱删键值，如果不小心删除了某个重要的数据，电脑可能会发生问题的。

2、regedit.exe里搜索时候，先点最顶端的我的电脑（注意：是注册表编辑器里的“我的电脑”），这样注册表搜索能搜索得最彻底。

注意：流氓软件有时候会同时用两个或以上的dll文件对IE进行捆绑，所以要把刚才的步骤做几次，一个一个的解除dll文件对IE的捆绑。

后记：流氓软件的确挺可怕（比当年冰河木马的保护措施都先进，而且好多防火墙都不警报），但是大家能通过这篇文章对流氓软件有个了解的话，相信大家以后见到流氓软件不会那么慌了。其实大家完全不用担心流氓软件无法清楚，只能重装系统，其实不然，因为流氓软件毕竟只是一种恶意软件而已，还没达到木马的境界，所以不可能想某些木马使用添加驱动程序方式来实现rootkit（完全隐藏文件和进程以及网络传送的数据包）。总之，对于流氓软件，我们完全可以尝试自己手工删除它，不用在乎它的防护功能做的多先进，是软件总有它的漏洞的，我们只要小小利用下，就会有意想不到的收获！

篇5：搜集最完整清除木马方法

很多计算机爱好者对安全问题了解不多，特别是计算机中了特洛伊木马不知道怎么样来清

除，虽然现在有很多的清除特洛伊木马的软件，可以自动清除木马。但你不知道木马是怎样在计算机中

运行的，如果你看了这篇文章之后，你就会明白一些木马的原理。

文章里面也有我自己处理木马的一些经验。

本资料来部分方法来自网上搜集整理而得，在这供大家研究学习所用

……………………………………………………………………………………………………………………

清除木马V1.54-1.55版本：

这两个版本跟上面的版本只是默认文件名不同，其它都一样，

把vmldir.vxd改为intld.vdx即可。

Drat v1.0 - 3.0b

清除木马的步骤：

打开注册表Regedit

点击目录至：hkey_classes_rootexefileshellopencommand

找到@=SHELL32 “%1” %*把它更改为@=“%1” %*

关闭保存Regedit，重新启动Windows。

查找c:windows下shell32．＊文件，并删除它。

OK

Eclipse 2000

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除右边的项目：bybt = “c:windowssystemeclipse2000.exe”

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunServices

删除右边的项目：cksys = “c:windowssystem could be anything .exe”

关闭保存Regedit，重新启动Windows

查找到eclipse2000.exe木马文件，并删除

Eclypse v1.0

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除右边的项目：Rnaapp =“C:WINDOWSSYSTEMmaapp.exe”

关闭保存Regedit，重新启动Windows

删除C:WINDOWSSYSTEMmaapp.exe

注意：不要删除Rnaapp.exe

OK

Executer v1

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

在右边的项目查找到“C:windowssexec.exe”，并删除。

关闭保存Regedit，重新启动Windows

相应删除木马程序文件。

OK

FakeFTP beta

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除右边的项目：Rundll32 = rundll3.tww /h

关闭保存Regedit，重新启动Windows

找到C:windows文件夹下的三个文件并删除它们

rundll3.bat - 9x.reg - nt.reg

OK

Forced Entry

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除右边的项目：MicrosoftRegistration32 = “C:somepath rojanhrs.exe”

关闭保存Regedit，重新启动Windows

由于路径容易改变，只要查找到trojanhrs.exe，并删除它。

GateCrasher v1.0 - 1.2

清除木马v1.0：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除右边的项目：Explore=‘c:windowsexplore.exe‘

关闭保存Regedit，重新启动Windows

然后，删除相应的木马程序。

OK

清除木马v1.1：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除右边的项目：Inet=‘EXPLORE.EXE‘

关闭保存Regedit，重新启动Windows

然后，找到相应的木马程序，并删除。

OK

清除木马v1.2：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除右边的项目：Command = ‘c:windowssystem.exe‘

关闭保存Regedit，重新启动Windows

然后，找到相应的木马程序，并删除。

OK

Girlfriend v1.3x (Including Patch 1 and 2)

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除右边的项目：Windll.exe =“C:windowswindll.exe”

Regedit里也保存着服务器的数据

HKEY_LOCAL_MACHINESOFTWAREMicrosoftGeneral

删除General项目标题

关闭保存Regedit，重新启动Windows

然后，找到相应的木马程序，并删除。

OK

Golden Retreiver v1.1b

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除右边的项目：Task Manager=“c:mstask.exe”

关闭保存Regedit，重新启动Windows

然后，找到相应的木马程序，并删除，

OK

Hack`a`Tack 1.0 - 2000

清除木马v1.0-1.2：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除右边的项目：Explorer32 =“C:windowsExpl32.exe”

关闭保存Regedit，重新启动Windows

然后，找到相应的木马程序，并删除。

OK

冰河v1.1 v2.2

冰河是国产最好的木马

清除木马v1.1

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

查找以下的两个路径，并删除

“ C:windowssystem kernel32.exe”

“ C:windowssystem sysexplr.exe”

关闭Regedit

重新启动到MSDOS方式

删除C:windowssystem kernel32.exe和C:windowssystem sysexplr.exe木马程序

重新启动。OK

清除木马v2.2

服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。

因此，不能明确说明。

你可以察看注册表，把可疑的文件路径删除。

重新启动到MSDOS方式

删除于注册表相对应的木马程序

重新启动Windows。OK

Acid Battery v1.0

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除右边的Explorer =“C:WINDOWSexpiorer.exe”

关闭Regedit

重新启动到MSDOS方式

删除c:windowsexpiorer.exe木马程序

注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。

重新启动。OK

Acid Shiver v1.0 + 1.0Mod + lmacid

清除木马的步骤：

重新启动到MSDOS方式

删除C:windowsMSGSVR16.EXE

然后回到Windows系统

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除右边的Explorer = “C:WINDOWSMSGSVR16.EXE”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

删除右边的Explorer = “C:WINDOWSMSGSVR16.EXE”

关闭Regedit

重新启动。OK

重新启动到MSDOS方式

删除C:windowswintour.exe然后回到Windows系统

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除右边的Wintour = “C:WINDOWSWINTOUR.EXE”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

删除右边的Wintour = “C:WINDOWSWINTOUR.EXE”

关闭Regedit

重新启动。OK

Ambush

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除右边的zka = “zcn32.exe”

关闭Regedit

重新启动到MSDOS方式

删除C:Windows zcn32.exe

重新启动。OK

AOL Trojan

清除木马的步骤：

启动到MSDOS方式

删除C: command.exe（删除前取消文件的隐含属性）

注意：不要删除真的command.com文件。

删除C: americ~1.0uddyl~1.exe（删除前取消文件的隐含属性）

删除C: windowssystemorton~1egist~1.exe（删除前取消文件的隐含属性）

打开WIN.INI文件

在[WINDOWS]下面“run=”和“load=”都加载者特洛伊木马程序的路径，必须清除它们：

run=

load=

保存WIN.INI

还要改正注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除右边的WinProfile = c:command.exe

关闭Regedit，重新启动Windows。OK

Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1

清除木马的步骤：

注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。

我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。

打开system.ini文件

在[BOOT]下面有个“shell=文件名”。正确的文件名是explorer.exe

如果不是“explorer.exe”，那么那个文件就是木马程序，把它查找出来，删除。

保存退出system.ini

打开win.ini文件

在[WINDOWS]下面有个run=

如果你看到=后面有路径文件名，必须把它删除。

正确的应该是run=后面什么也没有。

=后面的路径文件名就是木马，把它查找出来，删除。

保存退出win.ini。

OK

AttackFTP

清除木马的步骤：

打开win.ini文件

在[WINDOWS]下面有load=wscan.exe

删除wscan.exe ，正确是load=

保存退出win.ini。

打开注册