● 十款流行木马清除方法一览 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: xhjx (好好爱你，永远！), 信区: Virus
标  题: 十款流行木马清除方法一览
发信站: 荔园晨风BBS站 (Mon Jan 28 11:52:32 2002), 站内信件

　　一、木马ShareQQ

　　这是一款QQ密码窃取软件。清除方法如下：

　　1、删除文件。

　　用进程管理软件终止spolsv.exe这个进程（或到纯DOS下），然后到
windows\system文件夹下将spolsv.exe文件删除，顺便删除的还有debug.dll、
MSIME5f594f58.dll两个文件，再到Windows目录下删除winin.exe文件。

　　2、检查注册表。

　　在“开始”菜单的“运行”中输入regedit检查注册表，到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下，删除
名为“netconfig”的字符串。

　　再到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce下，
删除“winin”字符串即可。

　　3、重新启动电脑一切OK！

　　二、木马BladeRunner

　　首先展开注册表到：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下，你会
看到字符串值System-Tray，其键值为c:\something\something.exe，事实上c:
\something\something.exe是可以任意变化的，就看给您下木马的人怎么设定了，
所以你看到的可能与我说的不同，但这不影响我们查杀它。

　　根据木马在注册表中建立的的键值记下木马的名字与所在文件夹，然后退回到
纯DOS下，找到此木马文件并删除掉。重新启动计算机，然后到注册表中找到我们
前面提到的木马文件所建立的字符串值及其键值，删除之即可。

　　三、木马广外女生

　　广外女生是广东外语外贸大学“广外女生”网络小组的处女作，它的基本功能
有：文件管理方面有上传，下载，删除，改名，设置属性，建立文件夹和运行指定
文件等功能；注册表操作方面：全面模拟Windows的注册表编辑器，让远程注册表
编辑工作有如在本机上操作一样方便；屏幕控制方面：可以自定义图片的质量来减
少传输的时间，在局域网或高网速的地方还可以全屏操作被控方的鼠标（包括单击
，双击，右键，拖动等）；其他功能还有远程任务管理、邮件IP通知、邮件服务等
。广外女生与其他同类软件相比，其主要特点是：服务端程序体积小，大家熟悉的
“冰河”是260多KB，而广外女生只有96KB！服务端占用系统资源少，最多时只占
用3M的内存，不会影响服务端计算机的速度。隐蔽性好，不容易被发现。同时还自
动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”
、“实时监控”、“lockdown”、“kill”、“天网”等字样，如果发现就将该进
程终止，也就是说它会使防火墙完全失去保护作用！

　　广外女生的清除方法

　　该木马程序运行后，将会在系统的SYSTEM目录下生成一个木马文件名为
DIAGCFG.EXE，并关联EXE文件的打开方式，如果直接删除该文件，将会导致系统中
所有的EXE文件无法打开。

　　1、到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除它；

　　2、由于DIAGCFG.EXE文件已经被删除了，因此在Windows环境下所有exe文件都
将无法运行。找到Windows目录中的注册表编辑器Regedit.exe，将它改名为“
Regedit.com”；

　　3、回到Windows模式下，运行Windows目录下的Regedit.com程序；

　　4、找到HKEY_CLASSES_ROOT\exefile\shell\open\command，将其默认键值改
成"%1" %*；

　　5、找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
，删除其中名称为“Diagnostic Configuration”的键值；

　　6、关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“
Regedit.exe”。

　　7、重新启动电脑，就OK了。

　　四、木马BrainSpy

　　1、检查注册表。

　　展开注册表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下，你会
在右边的窗口中看到有字符串值***="C:\WINDOWS\system\BRAINSPY.exe"，其中“
***”是随意改变，但其键值不变恒为“C:\WINDOWS\system\BRAINSPY.exe”，删
除此字符串值和键值。

　　2、删除文件。

　　用进程管理软件终止“BRAINSPY.exe”这个进程（或重新启动电脑到纯DOS下
），然后到C:\WINDOWS\system文件夹下删除BRAINSPY.exe文件即可清除木马
BrainSpy。

　　五、木马FunnyFlash

　　FunnyFlash的图标为FLASH图标，很容易使人上当受骗，千万不要以为它是个
FLASH文件而运行。

　　清除方法：

　　 1、检查注册表。

　　到注册表HKEY_LOCAL_MACHINESoftware\Microsoft\Windows

　　\CurrentVersion\RunServices下，删除串值“723”及其键值“c:\`.exe”。

　　2、删除木马文件。

　　分别到C盘根目录、C:\WINDOWS和C:\WINDOWS\SYSTEM文件夹下找到“`.exe”
文件，删除之，再到C:\WINDOWS\TEMP下删除“FunnyFlash.exe”文件即可清除木
马。

　　六、QQ密码侦探特别版

　　这也是一款QQ密码窃取密码，木马文件名为QQSPYSP.EXE，文件大小379,
904byte。它的清除方法：

　　重启电脑到纯DOS状态下，然后将C:\WINDOWS\SYSTEM文件夹中的Internat.
exe文件删除，再将该文件夹下的smaxinte.exe文件重命名Internat.exe，最后删
除Windows文件夹下的Internat.exe和uttnskf.ini文件，重新启动电脑即可清除该
木马。

　　七、木马IEthief

　　IEthief的图标与浏览器IE的图标很是相似，不同之处其图标在右端的“e”字
开口处添加了一排“牙齿”，这是识别它与正常的IE文件的好方法。

　　清除方法：

　　1、删除C:\WINDOWS\SYSTEM文件夹下的木马文件和相关的信息记录文件：
IEthief.exe、firstrunIE.dat、IEcfg，这一步可以在纯DOS下进行。

　　2、更改注册表：

　　到注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下，删除
串值“ierun”及其键值“C:\WINDOWS\SYSTEM\IEthief.exe”即可。

　　八、木马QEyes潜伏者

　　QEyes潜伏者是个QQ密码窃取木马，它的清除方法如下：

　　1、在“开始”菜单中的“运行”中输入msconfig，找到Win.ini标签，删除“
[windows]”字段下的“run=”下的字符串“c:\windows\thereadmsg.exe”。

　　2、检查注册表

　　在“开始”菜单的“运行”中输入regedit，到注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下，删除
字符串值netservice及其键值c:\windows\nesmsg.exe；再删除字符串值system及
其键值c:\windows\system\kerne132.exe；最后再删除字符串值boot及其键值c:
\windows\system\kerne116.exe。

　　3、清除文件

　　到Windows所在安装目录下删除nesmsg.exe、thereadmsg.exe、wininet.ini、
raddr.txt和addr.txt文件，再到Windows\system文件夹下删除kerne116.exe、
kerne132.exe文件，最后到C盘根目录下删除process.dll文件即可清除该木马。

　　九、木马蓝色火焰

　　蓝色火焰是一款没有客户端的木马，你的电脑中几乎任何和网络相关的程序都
可以用来控制它，如Telnet、sterm、cterm、Zmud、Ftp、IE、Netscape、Opera、
Flashget、Cuteftp……由于没有客户端，甚至可以跨平台来操控服务端，如在
Unix、linux系统下……

　　蓝色火焰客户端与服务端连通讯通过19191端口进行；如果是微型版蓝色火焰
（这是只有10K大小的微型版蓝色火焰），则使用9191端口连接。所以，也可以通
过这个方法来发现“蓝色火焰”，方法是在MS-DOS窗口下（在Win2000下称作命令
提示符下）运行netstat －a命令即可，如果发现有19191或9191端口开放，就表示
你中木马了（这部分介绍参考了笔友的文章）。

　　清除方法：

　　1、删除木马在注册表中建立的键值。

　　在“开始”菜单的“运行”中输入Regedit，到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下，删除
串值Network Services及其键值C:\WINDOWS\SYSTEM\tasksvc.exe。

　　2、恢复文件关联：

　　到注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command和
HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command之下，将
C:\WINDOWS\SYSTEM\sysexpl.exe %1更改为：NOTEPAD.exe %1

　　3、删除文件。

　　到C:\WINDOWS\SYSTEM下，将tasksvc.exe、sysexpl.exe、bfhook.dll这三个
文件删除即可清除木马蓝色火焰。

　　十、木马Back Construction清除方法

　　1、检查注册表。

　　到注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下，删除
右边窗口中的“C:\WINDOWS\Cmctl32.exe”。

　　2、删除木马文件。

　　重新启动到纯DOS下，或用进程管理软件终止进程“Cmctl32.exe”，然后到
C:\WINDOWS文件夹下删除木马文件Cmctl32.exe即可。

--
      ∵                       ∵
      ●  ◆ ★  ▼   ★   ●  ◆
      ╂  ╢ ┃  ┢   ┨   ║  ╋
      █  █ █  █ ███ █●█
        █   █●█   █    /█\
      █  █ █  █ ██   █  █

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店