104种木马病毒清除方法

### 104种木马病毒清除方法详解 #### 一、冰河 v1.1 & v2.2 **1.1 冰河 v1.1** - **概述**: 冰河是一款早期较为知名的木马软件，版本v1.1主要通过修改注册表来实现隐蔽运行。 - **清除步骤**: - 打开注册表编辑器(`Regedit`)。 - 导航至`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`。 - 查找并删除以下项: - `"C:\windows\system\kernel32.exe"` - `"C:\windows\system\sysexplr.exe"` - 关闭注册表编辑器。 - 重启电脑进入MS-DOS模式。 - 删除以下文件: - `C:\windows\system\kernel32.exe` - `C:\windows\system\sysexplr.exe` - 重启计算机。 **1.2 冰河 v2.2** - **概述**: 版本v2.2相比v1.1更为复杂，允许用户自定义服务程序路径及注册表键名。 - **清除步骤**: - 检查注册表(`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`)中的所有键值，删除可疑项。 - 重启电脑进入MS-DOS模式。 - 删除与可疑注册表项对应的木马文件。 - 重启Windows系统。 #### 二、Acid Battery v1.0 - **概述**: Acid Battery是一款早期的远程控制木马，主要通过注册表进行启动。 - **清除步骤**: - 打开注册表编辑器(`Regedit`)。 - 导航至`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`。 - 删除名为`Explorer`的键，其值为`"C:\WINDOWS\expiorer.exe"`。 - 重启电脑进入MS-DOS模式。 - 删除文件`c:\windows\expiorer.exe`。 - 重启系统。 #### 三、Acid Shiver v1.0 + 1.0Mod + lmacid - **概述**: Acid Shiver及其变种同样通过注册表实现启动。 - **清除步骤**: - 重启电脑进入MS-DOS模式，删除`C:\windows\MSGSVR16.EXE`。 - 在注册表编辑器中删除以下键: - `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`下的`Explorer = "C:\WINDOWS\MSGSVR16.EXE"` - `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices`下的`Explorer = "C:\WINDOWS\MSGSVR16.EXE"` - 重启电脑进入MS-DOS模式，删除`C:\windows\wintour.exe`。 - 在注册表编辑器中删除以下键: - `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`下的`Wintour = "C:\WINDOWS\WINTOUR.EXE"` - `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices`下的`Wintour = "C:\WINDOWS\WINTOUR.EXE"` #### 四、Ambush - **概述**: Ambush通过注册表启动。 - **清除步骤**: - 打开注册表编辑器(`Regedit`)。 - 导航至`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`。 - 删除键`zka= "zcn32.exe"`。 - 重启电脑进入MS-DOS模式。 - 删除`C:\Windows\ zcn32.exe`。 - 重启计算机。 #### 五、AOL Trojan - **概述**: AOL Trojan利用了注册表和系统配置文件(WIN.INI)。 - **清除步骤**: - 进入MS-DOS模式删除以下文件: - `C:\ command.exe` (注意不要删除`command.com`) - `C:\ americ~1.0\buddyl~1.exe` - `C:\ windows\system\norton~1\regist~1.exe` - 编辑WIN.INI文件，移除加载木马程序的路径。 - 在注册表编辑器中删除以下键: - `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`下的`WinProfile = c:\command.exe` #### 六、Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1 - **概述**: Asylum系列木马通过多种方式启动，包括注册表和系统启动文件。 - **清除步骤**: - **待续…** ### 总结 以上介绍了几种常见木马病毒的清除方法。需要注意的是，针对不同的木马病毒，清除步骤可能有所不同。此外，为了防止木马再次感染，建议安装可靠的反病毒软件并保持更新。对于不熟悉的系统操作，最好在专业人士指导下进行，避免误删重要系统文件导致系统不稳定或崩溃。