木马程序编程_木马程序教程

怎么样才能让木马与文件夹捆绑,而且不易被破坏.

别干坏事～～～

下载一个exe捆绑机，使用及其简单！

用IExpress制作免杀木马实战教程

--------------------------------------------------------------------------------

摘自: 2005-07-24 00:54:43 hackbase.com

工具介绍：

名称：IExpress

功能:专用于制作各种 CAB 压缩与自解压缩包的工具。

实际操作

在这一部分，笔者将以实例的形式为大家详细讲解捆绑木马的整个过程。

第一步

在“运行”对话框中输入IExpress就可启动程序(图1)。

在开始的时候会有两个选项供你选择，一个是创建新的自解压文件(Create new Self Extraction Directive file)，另一个是打开已经保存的自解压模板“.sed”文件(Open existing Self Extraction Directive file)。我们应该选择第一项，然后点击“下一步”按钮。[!--empirenews.page--]

第二步

接下来选择制作木马自解压包的三种打包方式(图2)，它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。

因为我们要制作的是木马解压包，所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。

第三步

在“确认提示”(Confirmation prompt)这一环节，软件会询问在木马程序解包前是否提示用户进行确认，由于我们是在制作木马程序的解压包，当然越隐蔽越好，选择第一项“不提示”(No prompt)，这么做的目的是让中招人毫无防备。点击“下一步”按钮，在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者，选择“显示用户允许协议”(Display a license)，点击“Browse”选择一份编辑好的TXT文档，此文档可以用微软公司的名义来编辑，设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。

第四步

现在，我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如，你制作的协议和IE补丁包相关，那么你就可将木马和一个正常的IE补丁包添加进来。

随后进入安装程序选择窗口，指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如，在Install Program内设置正常的IE补丁包先运行，此时木马并未运行，在中招者看来的确是一个IE补丁包。在post install command内设置木马程序，这样在IE补丁包安装完毕时，木马程序将会在后台执行，我们的目的也就达到了。

第五步

接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的，所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置，由于我们做的是木马捆绑安装程序，当然应该选择“No message”。

第六步

上述设置完成后，接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”，以便隐藏解压缩过程，有助于隐藏某些木马程序启动时弹出的命令提示框。最后，设置在软件安装完成后是否重新启动(Configure reboot)，可以根据实际需要来选择。如果你所用的木马是“即插即用”的，那么就选择“No reboot”;如果所采用的木马用于开启终端服务，那么可选择“Always reboot”，同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。[!--empirenews.page--]

在保存刚才所做的设置后点击“下一步”按钮，即可开始制作木马自解压程序。

整个制作过程是在DOS下进行的，在完成度达到100%后会弹出提示窗口，点击“完成”，木马程序与合法程序的捆绑工作就完成了(格式为EXE)，直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。

现在还等什么?赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然，你也可以把它作为IE的重要补丁发送给别人。

不用第三方工具，无需过多的加壳伪装，让“Windows”来为我们服务，为我们捆绑木马，岂不快哉。

第二步

接下来选择制作木马自解压包的三种打包方式(图2)，它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。

因为我们要制作的是木马解压包，所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。

第三步

在“确认提示”(Confirmation prompt)这一环节，软件会询问在木马程序解包前是否提示用户进行确认，由于我们是在制作木马程序的解压包，当然越隐蔽越好，选择第一项“不提示”(No prompt)，这么做的目的是让中招人毫无防备。点击“下一步”按钮，在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者，选择“显示用户允许协议”(Display a license)，点击“Browse”选择一份编辑好的TXT文档，此文档可以用微软公司的名义来编辑，设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。

第四步

现在，我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如，你制作的协议和IE补丁包相关，那么你就可将木马和一个正常的IE补丁包添加进来。[!--empirenews.page--]

随后进入安装程序选择窗口，指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如，在Install Program内设置正常的IE补丁包先运行，此时木马并未运行，在中招者看来的确是一个IE补丁包。在post install command内设置木马程序，这样在IE补丁包安装完毕时，木马程序将会在后台执行，我们的目的也就达到了。

第五步

接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的，所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置，由于我们做的是木马捆绑安装程序，当然应该选择“No message”。

第六步

上述设置完成后，接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”，以便隐藏解压缩过程，有助于隐藏某些木马程序启动时弹出的命令提示框。最后，设置在软件安装完成后是否重新启动(Configure reboot)，可以根据实际需要来选择。如果你所用的木马是“即插即用”的，那么就选择“No reboot”;如果所采用的木马用于开启终端服务，那么可选择“Always reboot”，同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。

在保存刚才所做的设置后点击“下一步”按钮，即可开始制作木马自解压程序。

整个制作过程是在DOS下进行的，在完成度达到100%后会弹出提示窗口，点击“完成”，木马程序与合法程序的捆绑工作就完成了(格式为EXE)，直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。

现在还等什么?赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然，你也可以把它作为IE的重要补丁发送给别人。

不用第三方工具，无需过多的加壳伪装，让“Windows”来为我们服务，为我们捆绑木马，岂不快哉

参考资料：

求asp木马全教程

针对楼主所说的问题，推荐楼主使用可牛免费杀毒，杀毒能力强，占用内存小，可以与其他杀软相兼容： 可牛杀毒是一款完全免费的杀毒软件，它集成了全球领先的杀毒引擎，自主开发了高效轻巧的云引擎，完美清除传统的病毒木马； 独创双杀软保护模式，可与传统杀毒软件一起保护系统。更有主动防御、邮件防毒、漏洞修复功能，保护系统免受未知病毒侵害 下载地址：

怎么手动杀木马,可以说的详细一点吗!????谢谢了！

Syscheck2.exe 这是一个强力有效的软件，如果你能学会利用这款工具，所有的病毒你都将不会怕.手动杀毒. 还是不懂的话联系本人.

下载地址:

1：进程管理

红色显示的是非系统的进程或文件。点击一个进程可以列出进程包含的模块。你可以中止包括系统进

程在内的所有进程，但不推荐你去中止第一个svchost.exe前的进程（包括第一个svchost.exe），这样做

的后果可能是导致系统重启或无法关机。

syscheck的进程管理页可列出win32级的隐藏进程，但不会特别标注它。

通常在手动杀毒中会结束那些红色显示的进程，很多全局钩子会插入到Explorer等系统进程中（注意

模块中的红色dll），所以有时也会结束这些系统进程以便删除病毒。为避免病毒进程的重复加载，可以

勾选限制线程的创建来禁止新的线程。

在进程管理页的模块显示栏中右键选项有属性，删除到回收站，加入到重启删除列表三项，可以方便

在进程显示页就分析、清理恶软或木马。

删除到回收站会结束该模块的主进程后删除模块列表中选定的文件，支持多选。

卸载模块并删除文件在删除全局HOOK的DLL时可能会用到。

加入到重启删除列表直接将选定的文件重启后删除。（注意不要把系统DLL删了）建议只对红色显

示的非系统模块进行删除处理。

永久禁止此文件的执行即软件限制策略，仅对exe文件有效。注意，过多地限制软件的执行可能会

影响系统运行效率。

2：服务管理

红色显示的非系统服务。单击列表标题可以排序以便快速查找新增的系统服务。对于以svchost.exe启

动的服务，文件路径显示的是该服务文件而非svchost.exe的路径。这一点区别于sc命令显示出来的文件

路径。

中止服务功能是仅在系统重启前中止服务，并不是永久性的中止服务。而删除服务则是删除服务键值

（不提供删除前的保存。所以，要删除你得自已去确定是否真要这么做）。

值得注意的是，某些服务是无法中止或删除的（比如划词搜索的驱动服务）。这是因为它可能采用了

注册表键值的保护。对付这类服务，要使用内核Hook检查中的ssdt恢复功能后，才能在本页中删除其键值

（要注意的是，某些服务不提供终止服务，所以删除服务后它可能仍在运行，需要重启才真正停止）。

在服务页使用右键可获得更多的服务控制。

3: 活动文件

活动文件页显示了包括启动项在内的容易被侵入改写的注册表键值。syscheck仅关注于改写了的键值

，所以不同的机器上显示内容并不一样。

在做恢复前，可以核对一下讯息栏显示的内容，以确定是否要恢复。对于没有讯息显示的项目可以定

位文件查看文件的属性。

要注意的是，syschek在本页中的恢复不仅仅是改回系统默认值（或删除不需要的键值），如果需要恢

复的是一个DLL文件工作的键值，syschek还会做反注册该DLL的工作。

Winsock检测用于检测Lsp被劫持的情况，不管是否检测到第三方的DLL是否加载，也允许用户强制恢

复Winsock。所以，也可以用来作其它检测修复工具破坏掉了Winsock引起网页不能浏览的恢复处理。

4: 敏感键值

本页显示的内容是没有对应文件的系统键值。这些是系统允许的，但有改写后可能造成你使用不便的

键值（如NoRun等文件关联改写）等。

5: 内核Hook检测

内核Hook检测只关注于被Hook了的内核函数，一般来说对应的模块提供者是一个.sys文件。

以划词搜索为例，它的驱动交叉保护（注册表HOOK及文件HOOK），自身的卸载与其它的卸载工具都不

能删除hcalway.sys及abhcop.sys文件（且卸载后这两个驱动还在运行中，所以，你无法直接删除这两个

文

件。

对付这样的系统底层驱动，可以勾选并恢复成系统默认函数以使其驱动保护失效。要注意的是，大部

份的杀软也注册有底层HOOK，如果你选择了它们，还原后至重启前这些杀软的实时监视将可能失效。

恢复系统底层原始函数地址后，就可以在服务管理页删除划词搜索的注册表服务项了

2 Syscheck2最新版下载

其驱动abhcop.sys的保护，是无法删除其注册的服务项）。然后重启机器（系统无法删除一个运行中的文

件，而划词的驱动又不停供停止功能，所以只能重启），就可以手动删除这两个文件了（当然也可以用内

置的资源管理器中的加入重启删除列表功能，来代替手动删除的操作）。

由于底层Hook的优先级很高，所以恢复了SSDT后，可能会有一些隐藏的进程或文件会显示出来，故可

以在恢复SSDT后再次观察各检测页状况以删除受这些驱动隐藏、保护的进程，注册表项等。

6: 文件搜索

通过限制一定条件搜索，以便清除系统中的病毒备份或找到未知病毒。

7: 文件浏览

由于syscheck采用了一些反HOOK手段，所以内置的资源管理器可以看到隐藏的文件或文件夹（例如灰

鸽子、hackdef100隐藏的文件）。这样方便你做删除文件的工作。对于利用系统本身特性隐藏的文件（如

Downloaded Program Files），内置资源管理器也可一览无遗。

内置资源管理器用法与Explorer基本相同，右键菜单除了普通的删除操作外，还有延时删除（重启后

生效），可用于删除顽固文件。（注意这个选项没有后悔药，删除前多看一眼文件属性，修改日期等讯息

，不要把受保护的系统文件也删了！）。

--------------------------------------------------------------------

顽固病毒清除步骤：

1: 先试试病毒是否自带所谓的“卸载”功能，如果有就先执行，以便快速清除外围普通病毒文件（此时

病毒保护机制仍然可能在生效）。

2: 进入“内核Hook检测”，还原所有被Hook的系统函数（如果无显示内容，则跳过本步骤）。

3: 结束所有非系统进程（红色显示的进程）。如果是删除IE插件类的病毒，请同时结束Explorer及浏览

器进程。如果明确知道是病毒进程，可以先单击它，然后在其模块列表中直接用右键删除该文件。

4: 进入“服务管理”，找到并删除病毒对应的注册表服务项。

5: 进入“活动文件”，删除其启动加载项及BHO、IE工具栏等加载项。

6: 进入本工具的“资源管理器”（不是Windows的资源管理器！），找到病毒对应的文件，右击，选择“

删除所选（含文件夹）”；如果不成功，则选择“加入重启删除列表”。

7: 重启，重复上述步骤检查，直到系统干净为止！

--------------------------------------------------------------------

关于快速净化功能键的说明:

1: 快速净化后会在你的桌面上生成[Syscheck修复前备份]文件夹，本文件中包含文件如下:

a.WinSock备份.reg；

b.hosts还原.bat 及hosts文件；

c.如是有启动组中的快捷方式或程序，也会移入本文件夹中；

d.原来的注册表启动备份到“启动备份.reg”备份文件中。

多次执行快速净化请将第一个[Syscheck修复前备份]文件夹改名保存，因为程序会覆盖原有文件，仅

第一个备份是您的最初系统备份。

2: 快速净化的功能:

a.禁用了一切启动文件；

b.删除了一切插件，一切对正常系统不该存在的键值；

c.还原了默认winsock；

d.将hosts文件改为了默认的127.0.0.1 localhost 一行；

e.删除各盘根目录下的Autorun.inf；

f.删除windows及Program Files目录下的*.com文件；

删除system32下与*.exe同名的*.com文件。

3: 使用快速净化的处理方法:

快速净化处理完毕，有一个倒计时对话框提示是否重启。手动能力较强的用户可以选择不重启。此时

系统关闭了许多进程，可以执行一些先前无法执行的一些操作，当然此时用清它清理工具来清理的效果也

更好。同时也可以手动编辑快速净化中生成的.reg及.bat文件并立即执行，重启后会有更好的兼容性。

a.净化后你的系统的一些功能可能不能使用，不必担心，备份中都有，都可以还原；

b.建议先直接双击"启动备份.reg"还原启动项，再打开syscheck中将不再使用的启动项目删除；

快捷方式如果想保持启动也可拖回到启动组中；

c.打开hosts文件，查看有无您不想要的项目，修改后可用"host还原.bat"持贝它到原有的位置（根据

需要，本操作可以不必执行）；

4: 做完清理工作再重启一次。上网打开网页试一试，如果不行，则用备份的winsock.reg还原（还原后可

能需要重启一次才能生效）。

通过以上步骤，我们就可以在一个干净的环境下清除木马，快速处理文件删除了。

求大神教我怎么使用QQ木马，并且能够发个木马给我

您好

您QQ总被盗说明电脑上存在病毒，千万不要尝试使用木马，那样您帐号肯定更是会被盗的。

建议您现在应该到腾讯电脑管家官网下载一个电脑管家

然后使用电脑管家——杀毒——全盘查杀，然后根据电脑管家提示，将电脑中的木马病毒彻底清除

然后再去QQ安全中心，修改您的密码和密保即可解决问题。

如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难

腾讯电脑管家企业平台：

木马是什么？听说可以绑在文件上？怎么使？哪能找到木马？

到搜索引擎找木马生成器,再用记事本打开文件(如图片,音乐,电影等),把病毒挂上去,就可以了~再不会的可以上网搜索木马捆绑教程就可以啦!

木马是什麽？详细症状？解决方法？

目前国内木马病毒共分为五大类别，主要以网络为依托进行病毒传播，偷取用户隐私资料是其主要目的。这些木马病毒多具有引诱性与欺骗性，属于今年病毒新的危害趋势。

2004年中国地区危害最为严重的十种木马病毒数据来源于金山毒霸全球反病毒网络、和金山毒霸全国木马病毒情报站，以及毒霸运营部门和线上反病毒部门联合统计而来。统计时间从2003年12月份至2004年9月。

金山反病毒专家指出，随着家庭数字娱乐行业的迅速普及，宽带化小区、电信在数字通讯网络上建设力度进一步加大，人们的网络应用方向开始扩展；网络游戏、即时通讯聊天、宽带视频等进入寻常百姓家。与此同时，新型病毒开始通过各种网络渗透，呈现了新的传播方式和破坏方式。

电脑病毒频发的特征及原因

病毒分析数据显示，目前电脑病毒多以欺骗手段进行传播，比如MSN病毒，以“想看漂亮视频MM吗”等作为诱导，至使全国接近30万人中了MSN病毒。在十一国庆节前夕，图片病毒突然出现，也是打着美女、色情图片为旗号，造成了新一轮电脑安全隐患。

各种应用系统的漏洞也是造成病毒泛滥的主要原因之一。病毒通过个人电脑的操作系统漏洞进入用户计算机中。特别是今年危害严重的木马病毒，会随着电子邮件、即时通讯工具(MSN、QQ等)、网页浏览等方式感染用户电脑，而多数病毒都是利用了操作系统的漏洞。比如说，系统漏洞就像给了木马病毒一把钥匙，使它能够很轻易在电脑中埋伏下来，而木马病毒又会欺骗用户伪装成“好人”，达到其偷取隐私信息的险恶目的。

从金山反病毒中心三个季度累计数据分析来看，网络蠕虫病毒占了9个月来病毒总数的平均28%以上，而木马病毒占了57%，其它混合型病毒占了15%。总的来看，木马病毒增长非常之快。值得注意的是，混合型病毒给用户制造出了大麻烦。金山毒霸反病毒专家对于各种邮件当中隐藏的木马病毒表示出强烈担忧，因为电子邮件很轻易就会把木马病毒传送到世界上任何一个地方。嵌入式网页木马病毒也成为一种快速的传播渠道，病毒制造者通过诱使用户点击网页链接传播病毒，往往体现在比如邮件、即时通讯消息栏内出现，“这里的美女真多”、“快来看看呀，她(他)已等你很久了…..”再加上一段链接地址。用户如果点击就很可能会中病毒。

相关数据显示，目前木马病毒数量增长非常快，反病毒专家表示现阶段的重点工作是防止木马病毒所造成的社会负面影响。因为，木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今，针对以上各种现象的危害越来越多，木马病毒已成为威胁数字娱乐的大敌。

根据木马病毒的特点与其危害范围，木马病毒又分为以下五大类别：针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。

一、网游木马病毒：2004年，大量针对网络游戏的木马病毒涌现，主要原因是网络游戏产业超高速发展，网上虚拟装备交易非常火爆！然而，一些别有用心的病毒者开始把目光盯在这一安全性比较薄弱的环节，用户如果中了针对网络游戏的木马病毒，它会盗取用户帐号后，并立即将帐号中的游戏装备转移，再由木马病毒使用者卖出这些盗取的游戏装备而获利。如今，甚至有不怀好意者，干脆以制作木马为职业。

二、网银木马病毒：网银木马专门针对网络银行攻击，采用记录键盘和系统动作的方法盗取网银的帐号和密码，并发送到作者指定的邮件，直接导致用户的经济损失。目前通过网络银行的犯罪行为已经开始出现，今年某一大学生利用网络偷取到网络银行用户60多万人民币，还试图用钱贿赂办案警察，但是其最终受到了法律的严惩。

三、即时通讯木马病毒：可以利用即时通讯工具(比如：QQ、MSN)进行传播。中毒后，可能导致用户的经济损失。中了木马后电脑会下载病毒作者指的任意程序，其危害不可确定。会造成恶作剧，比如“MSN我要结婚”病毒，中毒者会向联系人发送“我今天要结婚”的恶作剧消息。

四、后门木马病毒： 在网络中被恶意者大量传播。病毒本身不具有传播的功能，都是被恶意者种植。该木马病毒采用反弹端口技术绕过防火墙，对被感染的系统进行远程文件和注册表的操作,可以捕获被控制的电脑的屏幕, 可远程重启和关闭计算机, 可以禁用系统热键和注册表编辑器，中了该木马后，被感染的系统将完全暴露于黑客手中。

五、广告木马病毒：此类木马采用各种技术隐藏于系统内，修改IE等网页浏览器的主页，禁多种系统功能，收集系统信息发送给传播广告木马的网站。更恶毒的是修改网页定向，导致一些正常的网站不能登录。最近闹的沸沸扬扬的MSN病毒就是这种木马病毒，它诱使点击一个可执行文件导致了937个网站不能正常访问。

该分析认为，这五大类木马病毒构成了木马的主要类别，其中，网游木马病毒占到木马病毒总数的32%以上，网银木马占到7%，即时通讯木马占了23%，广告木马占了24%，后门木马占了14%。从危害极别来看，网游木马危害最为严重，其次是广告木马也包含恶作剧程序，再次是即时通讯木马，接下来危害也比较大的是后门木马病毒，排在最后一位的是网银木马。

危害最为严重的木马病毒如下：

QQ 狩猎者(Troj.QQmsg)

网银大盗A(Troj.KeyLog.a)

MSN小尾巴(Worm.MSNFunny)(注：MSN小尾巴同时具有蠕虫和木马特点)

传奇男孩(Troj.MirBoy)

剑侠幽灵(Troj.JXGhost.a)

安哥(Hack.AgoBot)

灰鸽子(Hack.Huigezi

蜜峰大盗(Troj.Mifeng)

黑洞 (Hack.BlackHole、Hack.HeiDong)

记事本幽灵(Win32.Troj.Axela.w)

如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。 保存退出system.ini 打开win.ini文件

在[WINDOWS]下面有个run= 如果你看到=后面有路径文件名，必须把它删除。 正确的应该是run=后面什么也没有。

=后面的路径文件名就是木马，把它查找出来，删除。 保存退出win.ini。 OK

7. AttackFTP 清除木马的步骤： 打开win.ini文件 在[WINDOWS]下面有load=wscan.exe 删除wscan.exe

，正确是load= 保存退出win.ini。 打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Reminder="wscan.exe /s" 关闭Regedit，重新启动到MSDOS系统中 删除C:\windows\system\

wscan.exe OK

8. Back Construction 1.0 - 2.5 清除木马的步骤： 打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的"C:\WINDOWS\Cmctl32.exe" 关闭Regedit，重新启动到MSDOS系统中 删除C:\WINDOWS\Cmctl32.exe OK

9. BackDoor v2.00 - v2.03 清除木马的步骤： 打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的'c:\windows\notpa.exe /o=yes' 关闭Regedit，重新启动到MSDOS系统中

删除c:\windows\notpa.exe 注意：不要删除真正的notepad.exe笔记本程序 OK

10. BF Evolution v5.3.12 清除木马的步骤： 打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的(Default)=" " 关闭Regedit，再次重新启动计算机。 将C:\windows\system\ .exe（空格exe文件） OK

11. BioNet v0.84 - 0.92 + 2.21 0.8X版本是运行在Win95/98 0.9X以上版本有运行在Win95/98

和WinNT上两个软件 客户－服务器协议是一样的，因而NT客户能黑95/98被感染的机器，和Win95/98客户能黑 NT被感染的系统完全一样。

清除木马的步骤： 首先准备一张98的启动盘，用它启动后，进入c:\windows目录下，用attrib libupd~1. exe -h

命令让木马程序可见，然后删除它。 抽出软盘后重新启动，进入98下，在注册表里找到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

的子键WinLibUpdate = "c:\windows\libupdate.exe -hide" 将此子键删除。

12. Bla v1.0 - 5.03 清除木马的步骤： 打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Systemdoor

= "C:\WINDOWS\System\mprdll.exe" 关闭Regedit，重新启动计算机。

查找到C:\WINDOWS\System\mprdll.exe和 C:\WINDOWS\system\rundll.exe

注意：不要删除C:\WINDOWS\RUNDLL.EXE正确文件。 并删除两个文件。 OK

13. BladeRunner 清除木马的步骤： 打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 可以找到System-Tray

= "c:\something\something.exe" 右边的路径可能是任何东西，这时你不需要删除它，因为木马会立即自动加上，你需要

的是记下木马的名字与目录，然后退回到MS-DOS下，找到此木马文件并删除掉。 重新启动计算机，然后重复第一步，在注册表中找到木马文件并删除此键。

14. Bobo v1.0 - 2.0 清除木马v1.0 打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的DirrectLibrarySupport ="C:\WINDOWS\SYSTEM\Dllclient.exe" 关闭Regedit，重新启动计算机。

DEL C:\Windows\System\Dllclient.exe OK 清除木马v2.0 打开注册表Regedit 点击目录至：

HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/ ICQ

3 100种木马的手工清除方法

Accel是一个“假象“的主键，选中ICQ Accel主键并把它删除。 重新启动计算机。OK

15. BrainSpy vBeta 清除木马的步骤： 打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 右边有 ??? =

"C:\WINDOWS\system\BRAINSPY .exe" ???标签选是随意改变的。 关闭Regedit，重新启动计算机

查找删除C:\WINDOWS\system\BRAINSPY .exe OK

16. Cain and Abel v1.50 - 1.51 这是一个口令木马 进入MS-DOS方式 查找到C:\windows\msabel32.exe

并删除它。OK

17. Canasson 清除木马的步骤： 打开WIN.INI文件 查找c:\msie5.exe，删除全部主键 保存win.ini 重新启动计算机

删除c:\msie5.exe木马文件 OK

18. Chupachbra 清除木马的步骤： 打开WIN.INI文件 [Windows]的下面有两个行 run=winprot.exe

load=winprot.exe 删除winprot.exe run= load= 保存Win.ini，再打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的'System

Protect' = winprot.exe 重新启动Windows 查找到C:\windows\system\ winprot.exe，并删除。 OK

19. Coma v1.09 清除木马的步骤： 打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的'RunTime'

= C:\windows\msgsrv36.exe 重新启动Windows 查找到C:\windows\ msgsrv36.exe，并删除。 OK

20. Control 清除木马的步骤： 打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的Load MSchv

Drv = C:\windows\system\MSchv.exe 保存Regedit，重新启动Windows

查找到C:\windows\system\MSchv.exe，并删除。 OK

21. Dark Shadow 清除木马的步骤： 打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\RunServices

删除右边的winfunctions="winfunctions.exe" 保存Regedit，重新启动Windows 查找到C:\windows\system\ winfunctions.exe，并删除。 OK

22. DeepThroat v1.0 - 3.1 + Mod (Foreplay) 清除木马的步骤： 打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 版本1.0

删除右边的项目'System32'=c:\windows\system32.exe 版本2.0-3.1 删除右边的项目'SystemTray' =

'Systray.exe' 保存Regedit，重新启动Windows 版本1.0删除c:\windows\system32.exe 版本2.0-3.1

删除c:\windows\system\systray.exe OK

23. Delta Source v0.5 - 0.7 清除木马的步骤： 打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的项目：DS

admin tool = C:\TEMPSERVER.exe 保存Regedit，重新启动Windows 查找到C:\TEMPSERVER.exe，并删除它。 OK

24. Der Spaeher v3 清除木马的步骤： 打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的项目：explore

= "c:\windows\system\dkbdll.exe " 保存Regedit，重新启动Windows

删除c:\windows\system\dkbdll.exe木马文件。 OK --

25. Doly v1.1 - v1.7 (SE) 清除木马V1.1-V1.5版本：

这几个木马版本的木马程序放在三处，增加二个注册项目，还增加到Win.ini项目。

首先，进入MS-DOS方式，删除三个木马程序，但V1.35版本多一个木马文件mdm.exe。 把下列各项全部删除：

C:\WINDOWS\SYSTEM\tesk.sys C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe

c:\Program Files\MStesk.exe c:\Program Files\Mdm.exe 重新启动Windows。 接着，打开win.ini文件

--------

4 100种木马的手工清除方法

找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目，删除路径，改变为load= 保存win.ini文件。

最后，修改注册表Regedit 找到以下两个项目并删除它们

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Ms tesk =

"C:\Program Files\MStesk.exe" 和

HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run Ms tesk =

"C:\Program Files\MStesk.exe"

再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss

这个组是木马的全部参数选择和设置的服务器，删除这个ss组的全部项目。 关闭保存Regedit。 还有打开C:\AUTOEXEC.BAT文件，删除 @echo

off copy c:\sys.lon c:\windows\StartMenu\Startup Items\ del c:\win.reg

关闭保存autoexec.bat。 OK

清除木马V1.6版本： 该木马运行时，将不能通过98的正常操作关闭，只能RESET键。彻底清除步骤如下： 1．打开控制面板——添加删除程序——删除memory

manager 3.0，这就是木马程序，但 是它并不会把木马的EXE文件删除掉。

2．用98或DOS启动盘启动（用RESET键）后，转入C:\，编辑AUTOEXEC。BAT，把如下内容 删除： @echo off copy

c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe del c:\win.reg

保存AUTOEXEC。BAT文件并返回DOS后，在C：\根目录下删除木马文件： del sys.lon del

windows\startm~1\programs\startup\mdm.exe del progra~1\mdm.exe

3．抽出软盘重新启动，进入98后，把c:\program files\目录下的memory manager 目录 删除。 清除木马V1.7版本：

首先，打开C:\AUTOEXEC.BAT文件，删除 @echo off copy c:\sys.lon

c:\windows\startm~1\programs\startup\mdm.exe del c:\win.reg 关闭保存autoexec.bat

然后打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

找到c:\windows\system\mdm.exe路径并删除这个项目 点击目录至：

HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/

找到"C:\windows\system\kernal32.exe"路径并删除这个项目 关闭保存Regedit。重新启动Windows。

最后，删除以下木马程序： c:\sys.lon c:\iecookie.exe c:\windows\start

menu\programs\startup\mdm.exe c:\program files\mdm.exe c:\windows\system\mdm.exe

c:\windows\system\kernal32.exe 注意：kernal32是A OK

75. Revenger v1.0 - 1.5 清除木马的步骤： 打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目：AppName ="C:\...\server.exe" 关闭保存Regedit，重新启动Windows

在c:\windows查找相应的木马程序server.exe，并删除 OK

76. Ripper 清除木马的步骤： 打开system.ini文件 将shell=explorer.exe sysrunt.exe 改为shell=

explorer.exe 关闭保存system.ini，重新启动Windows 在c:\windows查找相应的木马程序sysrunt.exe，并删除 OK

77. Satans Back Door v1.0 清除木马的步骤： 打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\

删除右边的项目：sysprot protection ="C:\windows\sysprot.exe" 关闭保存Regedit，重新启动Windows

删除C:\windows\sysprot.exe OK

78. Schwindler v1.82 清除木马的步骤： 打开注册表Regedit 点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目：User.exe = "C:\WINDOWS\User.exe" 关闭保存Regedit，重新启动Windows

删除C:\WINDOWS\User.exe OK

79. Setup Trojan (Sshare) +Mod Small Share 这个共享隐藏C盘的木马 清除木马的步骤： 打开注册表Regedit

也可以用杀毒软件杀除