手工清除木马的几种方法

20种恶意插件手工清除方法如今，恶意软件及插件已经成为一种新的网络问题，恶意插件及软件的整体表现为清除困难，强制安装，甚至干拢安全软件的运行。

下面的文章中就给大家讲一部份恶意插件的手工清除方法，恶意插件实在太多，无法做到一一讲解，希望下面的这些方法能为中了恶意插件的网友提供一定的帮助。

1、恶意插件Safobj相关介绍：捆绑安装,系统速度变慢,没有卸载项/无法卸载,强制安装,干扰其它软件正常运行,清除方法：重新注册IE项，修复IE注册。

从开始->运行输入命令 regsvr32 actxprxy.dll 确定输入命令 regsvr32 shdocvw.dll 确定重新启动，下载反间谍专家查有没有ADWARE，spyware，木马等并用其IE修复功能修复IE和注册表，用流氓软件杀手或微软恶意软件清除工具清除一些难卸载的网站插件。

到下载KillBox.exe。

在C:\Program Files\Internet Explorer\目录下，把LIB 目录或Supdate.log删除。

跳窗网页可能保留在HOSTS，一经上网就先触发该网址为默认，就会自动打开，检查HOSTS：用记事本在C:\WINDOWS\system32\drivers\etc\目录下打开HOSTS在里面检查有没有网址，有则删除。

或在前面加127.0.0.1保存后屏蔽掉。

如果是弹出的信使：从开始->运行，输入命令：net stop msgnet stop alert即终止信使服务。

2、恶意插件MMSAssist相关介绍：这其实是一款非常简便易用的彩信发送工具，但它却属于流氓软件!并采用了类似于木马的Hook(钩子)技术，常规的方法也很难删除它，而且很占用系统的资源。

清除方法：方法一：它安装目录里第一个文件夹有个.ini文件，它自动从/updmms/mmsass.cab下载插件包，包里有albus.dll文件，UPX 0.80 - 1.24的壳，脱掉用16位进制软件打开发现这个垃圾插件利用HOOK技术插入到explorer和iexplore中，开机就在后台自动运行。

⽊马的出现对我们的系统造成了很⼤的危害，但是由于⽊马通常植⼊得⾮常隐蔽，很难完全删除，因此，这⾥我们介绍⼀些常见⽊马的清除⽅法。

1. 络公⽜（Netbull） 络公⽜是国产⽊马，默认连接端⼝23444。

服务端程序newserver.exe运⾏后，会⾃动脱壳成checkdll.exe，位于C:\WINDOWS\SYSTEM下，下次开机checkdll.exe将⾃动运⾏，因此很隐蔽、危害很⼤。

同时，服务端运⾏后会⾃动捆绑以下⽂件: win2000下：notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe。

服务端运⾏后还会捆绑在开机时⾃动运⾏的第三⽅软件(如:realplay.exe、QQ、ICQ等)上，在注册表中络公⽜也悄悄地扎下了根。

络公⽜采⽤的是⽂件捆绑功能，和上⾯所列出的⽂件捆绑在⼀块，要清除⾮常困难。

这样做也有个缺点：容易暴露⾃⼰！只要是稍微有经验的⽤户，就会发现⽂件长度发⽣了变化，从⽽怀疑⾃⼰中了⽊马。

清除⽅法： 1.删除络公⽜的⾃启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。

2.把络公⽜在注册表中所建⽴的键值全部删除： 3.检查上⾯列出的⽂件，如果发现⽂件长度发⽣变化（⼤约增加了40K左右，可以通过与其它机⼦上的正常⽂件⽐较⽽知），就删除它们！然后点击“开始→附件→系统⼯具→系统信息→⼯具→系统⽂件检查器”，在弹出的对话框中选中“从安装软盘提取⼀个⽂件(E)”，在框中填⼊要提取的⽂件(前⾯你删除的⽂件)，点“确定”按钮，然后按屏幕提⽰将这些⽂件恢复即可。

如果是开机时⾃动运⾏的第三⽅软件如:realplay.exe、QQ、ICQ等被捆绑上了，那就得把这些⽂件删除，再重新安装。

2. Netspy（络精灵） Netspy⼜名络精灵，是国产⽊马，最新版本为3.0，默认连接端⼝为7306。

在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不⽤NetMonitor，通过IE或Navigate就可以进⾏远程监控了。

不用杀毒软件怎么清除木马
不用杀毒软件也可以清除木马，你信吗?这些都有可能做到的!下面由店铺给你做出详细的不用杀毒软件清除木马方法介绍!希望对你有帮助!
不用杀毒软件清除木马方法介绍:
木马代码如下：
CODE: [Copy to clipboard]
是hta自动弹出的木马,
我查看他的木马页面里windows.htm里
代码内容加了一些空格,基本可以躲避过杀毒软件的查杀
对于没有对付木马经验的人,机器已经中标了...
在这里小编介绍了一个简单的方法彻底禁止木马在你机器运行
不用杀毒软件清除木马方法：
看这个：C:\WINDOWS\system32\mshta.exe
这个是运行*.hta文件的exe文件
1是删除这个exe文件
或者进入注册表
搜索.hta 然后把相对应的注册表导出
然后删除他
也就删除了*.hta扩展名文件与mshta.exe的注册表关联
所以当打开挂马页面,也只会下载个*.hta文件并不会运行
也就不会中木马了..
其他格式的木马也差不多例如*.wmf的也用同样方法。

实验网络木马手工查杀（一）【实验目的】掌握dos或安全模式下的查杀木马病毒的方法【实验原理】注：请在虚拟机中做杀毒实训。

3．实验步骤：一、把老师给你的木马程序，放入操作系统中。

注：双击病毒之前，请用netstat /ano查看一下端口二、双击其中一个csgame.exe程序。

三、查找生成的程序在电脑的哪些地方，并查看其开放的端口；Netstat /ano 看异常端口，再看对应的进程号（记得进行比校）Tasklist 根据上面的进程号，找到这个进程名四、利用已学的方法，在安全模式下手工查杀该病毒程序请杀死该进程ntsd /c q /p 进程号或者用taskkill /im 进程名；五、在所有盘上查找那个进程名，然后删除之，并记住它的生成日期时间，再到所有盘上查找同一日期时间生成的文件，那些就一定是病毒的副本或“尾巴”，再将其删除。

六、再到注册表中，查找所有的病毒母体文件和副本，并删除之；若是附在正常的注册表键值路径下，只要删除病毒文件。

进注册表的方法：“运行”中输入regedit,即可进入。

七、最后再进入“启动”项，在“运行”中输入msconfig,即可进入。

在“启动“项中，查找一下，是否有病毒文件，若有的话，请将左的的勾去掉。

八、最后检测该病毒是否已查杀干净，若干净重启机器，其端口就不见了。

若刚才的病毒在正常模式或者安全模式下，不能删除，请住病毒在那些盘中及它的路径，再到纯DOS下，用DOS删除之。

一般要用到的DOS命令如下：DirCdRdDelDeleteAttribXcopyCopy注：以上操作步骤，须详细的操作步骤和文字说明并截图。

如何彻底删除木马小技巧1、由木马的客户端程序由先前在win.ini、system.ini和注册表中查找到的可疑文件名判断木马的名字和版本。

比如“netbus”、“netspy”等，很显然对应的木马就是NETBUS 和NETSPY。

从网上找到其相应的客户端程序，下载并运行该程序，在客户程序对应位置填入本地计算机地址： 127.0.0.1和端口号，就可以与木马程序建立连接。

再由客户端的卸除木马服务器的功能来卸除木马。

端口号可由“netstat -a”命令查出来。

这是最容易，相对来说也比较彻底载除木马的方法。

不过也存在一些弊端，如果木马文件名给另外改了名字，就无法通过这些特征来判断到底是什么木马。

如果木马被设置了密码，既使客户端程序可以连接的上，没有密码也登陆不进本地计算机。

当然要是你知道该木马的通用密码，那就另当别论了。

还有，要是该木马的客户端程序没有提供卸载木马的功能，那么该方法就没什么用了。

当然，现在多数木马客户端程序都是有这个功能的。

2、手工删除木马不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、......，那我们就手工慢慢来删除这该死的木马吧。

用msconfig打开系统配置实用程序，对win.ini、system.ini和启动项目进行编辑。

屏蔽掉非法启动项。

如在win.ini 文件中，将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”；编辑system.ini文件，将 [BOOT]下面的“shell=xxx”，更改为：“shell=Explorer.exe”。

用regedit打开注册表编辑器，对注册表进行编辑。

先由上面的方法找到木马的程序名，再在整个注册表中搜索，并删除所有木马项目。

由查找到的木马程序注册项，分析木马文件在硬盘中的位置（多在C:\WINDOWS和C:\WINDOWS\COMMAND目录下）。

启动到纯MS-DOS状态（而不是在Windows环境中开个MS-DOS窗口），用del命令将木马文件删除。

一·手工查杀病毒木马你的电脑安全吗？你的电脑可以防黑吗？在平时一不小心中病毒或木马的时候，对于高手来说，都采用手动查杀的方式，因为一方面，对于互联网上新出现的病毒或其变种，大多数的杀毒厂商往往都是被动的，这样就给那些病毒木马提供了时间上的有利条件；另一方面，用杀毒软件查杀的话，是很浪费宝贵的时间的。

现在的杀毒软件那么多啊，为什么我们还要学习用手动来杀毒呢？你想想病毒的产生肯定是比你的杀毒软件的升级快很多的，既然是那个样子的话，我们学习手动杀毒就对我们很有帮助，也可以让我们更加熟悉计算机的进程以及对我们将来学习更多的计算机技术打下很好的基础。

首先，对于自己的计算机要有洞悉力，说得通俗点就是如果发现什么不对的就要考虑下是什么原因了。

因为是讲手工杀毒那就先讲中毒的几个特别征兆，例如：你的电脑在上网的时候自己会打开不知名的网站（恶意代码也是会这样的啊，我们也把它暂时当病毒吧）；你的电脑的速度变得很慢很慢，特别是开机的时候要很久；你的电脑文件有的开不了；有时候点一个陌生的文件突然一闪而过；有时候总跳出非法操作……可以说你觉得很可疑的时候，都可能是中了病毒。

那么我们就要找到病毒。

这时我们的第一步就是打开任务管理器，仔细查看有没有哪些异常或自己尚不清楚的进程，发现后，先不要急着结束它，先用纸和笔记录下来，这时我们可以在网上查下该进程的相关资料(比如*.exe)，这时如果上网不方便的话，可以在资源管理器中按F3打开“搜索”，首先确保将系统中的所有文件全部显示出来，包括重要的系统文件，并在“所有文件和文件夹”搜索，看看它到底藏在了哪里，也许有时候你会发现，这个你不熟悉的进程名正是系统中正常的一个程序的进程。

如果从网上找到的资料里，发现这个确是病毒或木马的话，则毫无疑问的进行下一步骤。

如果是在“搜索”中找到的，则右击查看它的属性，看看它是具体什么时间被建立的，如果与实际不符而相违背的，或明显带有迷惑用户性质的话，则可以肯定它们对我们是不利的。

木马病毒是什么怎么手工清除木马病毒电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作都会导致病毒入侵。

木马病毒(木马程序)是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

下面一起看看清除方法!手工清除木马病毒具体方法如下：提示：以下修改注册表等相关操作具备风险，请慎重操作。

1.清除每次开机时自动弹出的网页其实清除每次开机时自动弹出的网页方法并不难，只要你记住地址栏里出现的网址，然后打开注册表编辑器(方法是在点击“开始”菜单，之后点击“运行”，在运行框中输入regedit命令进入注册表编辑器)，分别定位到：HKEY_CURRENT_USER/Software/Microsoft/Windows/Curre ntVersion/Run和HKEY_CURRENT_USER/Software/Microsoft/Windows/Curre ntVersion/Runonce下，看看在该子项下是否有一个以这个网址为值的值项，如果有的话，就将其删除，之后重新启动计算机。

这样在下一次开机的时候就不再会有网页弹出来了。

不过网页恶意代码的编写者有时也是非常的狡猾，他会在注册表的不同键值中多处设有这个值项，这样上面提的方法也未必能完全解决问题。

遇到这种情况，你可以在注册表编辑器的选项菜单里选择“编辑”→“查找”，在“查找”对话框内输入开机时自动打开的网址，然后点击“查找下一个”，将查找到的值项删除。

2.IE标题栏被修改具体说来受到更改的注册表项目为：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/Main/Window TitleHKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Window Title解决办法：①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键;②展开注册表到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下，在右半部分窗口中找到串值“Window Title” ，将该串值删除即可，或将Window Title的键值改为“IE浏览器”等个人喜欢的名字;③同理，展开注册表到HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main然后按②中所述方法处理。

怎么去手动清除特洛伊木马怎么去手动清除特洛伊木马特洛伊木马的名字取自古希腊神话的特洛伊木马记，是一种基于远程控制的黑客工具，对普通用户来说，它的隐藏性和危害性是相当的大。

为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己，加载运行的目的。

这里，我们简要的介绍一下木马通用的激活方式，它们的藏身地，并通过一些实例来让您体会一下手动清除木马的方法。

木马藏身地及通用排查技术●在Win.ini中启动木马：在Win.ini的[Windows]小节中有启动命令“load=”和“run=”，在一般的情况下“=”后面是空的，如果后面跟有程序，比如：run=C:Windows ile.exeload=C:Windows ile.exe则这个file.exe很有可能就是木马程序。

●在Windows XP注册表中修改文件关联：修改注册表中的文件关联是木马常用的手段，如何修改的方法已在本系列的前几文中有过阐述。

举个例子，在正常情况下txt文件的打开方式为Notepad.exe(记事本)，但一旦感染了文件关联木马，则txt 文件就变成条用木马程序打开了。

如著名的国产木马“冰河”，就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”，这样，当你双击一个txt文件时，原本应该用记事本打开的文件，现在就成了启动木马程序了。

当然，不仅是txt 文件，其它类型的文件，如htm、exe、zip、com等文件也都是木马程序的目标，要小心。

对这类木马程序，只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支，查看其值是否正常。

●在Windows XP系统中捆绑木马文件：实现这种触发条件首先要控制端和服务端已通过木马建立连接，控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原有文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被重新安装了。

手工排查病毒木马小弟总结的手工排查的方法，方法如下：很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，我怎么知道是什么病毒啊？其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。

世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。

虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。

一般格式为：<病毒前缀>.<病毒名>.<病毒后缀> 。

病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。

不同的种类的病毒，其前缀也是不同的。

比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。

病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。

病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。

一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。

如果该病毒变种非常多（也表明该病毒生命力顽强^_^），可以采用数字与字母混合表示变种标识。

综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。

通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。

而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。

病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。

手工查杀木马病毒4七、自启动自启动项的检查与清除，毫无疑问是查杀木马的关键手段与方法。

而且，清掉木马的自启动项，让其自然而亡，是最优雅的杀马方法，不那么暴力也就轻易不会遇到反击。

对驱动级的或注入型的木马，这种手段更显其优越性。

而自启动项的选择与设置，更是一种创意的体现，一些非技术型的木马通常可在此看到其作者非同一般的创造性思维。

自启动，顾名思义，就是无须用户干预而自行启动的程序，按启动方式又分为两种，一种是开机自运行的程序；一种是触发式启动的程序。

下面我们将分别来解剖之，但在此之前，我们先要学习一些基础的知识：1、注册表基础由于大多数的自启动位置都在注册表中，所以，首先，我们需要了解“注册表”是什么。

注册表从功能上说，它是一个存储各种设置信息的数据仓库，系统的全部设置几乎都存在那里，比如：你用的是什么墙纸、什么屏保、IE的首页、IE窗口的大小等等。

当然了，开机时需要加载的驱动、开启的服务、运行的程序等等也都存储在这里。

而从实质上来说呢，注册表其实是由一些记录配置信息的文件组成的，这些文件中的大部分存在“\Windows\System32\Config\”目录下，还有一部分存在用户配置文件夹中，也就是下面将要讲到的03-24图中的用户文件夹中。

这些文件有一个很难听的名字叫做储巢，也就是朋友可能听过的HIVE文件。

由于注册表对系统实在是太重要的了，任何损坏都有可能造成系统彻底的崩溃，所以，系统对注册表的保护也是很严密的，正常情况下，你无法对注册表HIVE文件进行任何的直接操作。

你不仅无法打开、修改，你甚至无法进行拷贝操作。

而系统保护注册表的手段，就是由系统以独占的方式打开注册表文件，这样你的任何针对此文件的操作，都将被拒绝。

打开狙剑，选择“进程管理”，在进程列表中选中“system”进程，再选择“查看打开的文件”，就可以看到系统打开的所有文件，看上图中蓝条选中的那一项，是不是就是我们无法进行操作的“\Windows\System32\Config\system”文件呢？注意：狙剑提供了关闭其它进程打开的文件的功能，关闭后，本来无法操作的文件就可以进行正常的操作了。

教你如何手动查杀电脑中的木马首先要知道木马的种类，木马是属于病毒的一种，他起的作用其实就是类似于间谍的功能。

木马从诞生到现在已经有很多的种类，而且到现在的木马往往不会是单一的功能。

但想去查杀一个木马首先必须知道木马的种类。

1、破坏删除型这类的木马的功能就是删除计算机里的文件：如 DLL、EXE、INI类型的文件。

它就像一个定时炸弹，只要黑客一激活，那么他就开始肆意的破坏，而且一点不比病毒差。

2、远程控制型这类木马就是在你计算机内注入一个客户端程序，可以让服务端的人完全控制他人机器，监视屏幕动作，查看计算机磁盘内任何文件，可以进行任何操作，包括关机、重起。

这类木马是数量最多，危害最大的。

冰河、广外女生、灰鸽子都是国内知名的远程控制木马3、密码发送型前段时间在我们论坛官员飞火身上发生的盗号事件，我看来就是这类木马在捣鬼。

这类木马只要一开始运行，就开始自动搜索内存、Cache文件以及各类文件，一旦搜索到有用的密码，就自动将密码发送到预先指定好的QQ邮箱中去。

4、键盘记录型在传奇这一大网络游戏盛行的前两年，也是键盘记录木马盛行的几年。

不过这类木马是非常简单的，顾名思义他们只进行记录受害者的键盘敲击并且在LOG文件里查找密码。

只要你在键盘上输入什么一木马都能记录下来，像QQ阿拉大盗、传奇木马都是属于这一类型的。

5、DOS攻击型DOS木马不是用来破坏被注入的机子，而是借用这台被注入的机子去攻击另外的机子有点类似于传销，不停的给自己发展“下线”。

给网络造成堵塞。

6、代理型木马为了隐藏自己，就给被注入的机子种上代理木马，让他成为攻击的跳板去间接的攻击别人。

7、FTP型这类的木马和网页木马一样，打开着21端口，等待着别人来连接。

只要一连接上FTP服务器或者一打开网页，木马就自动注入机子运行。

这就是所谓的守株待兔。

8、程序杀手型前几种木马再如何隐蔽也会被杀毒软件给查杀，而这种吗就是关闭机子上运行的杀毒软件、防火墙，类似于工兵、探路先锋的角色。

新人上手指南电脑木马查杀大全一、手工方法：1、检查网络连接情况由于不少木马会主动侦听端口，或者会连接特定的IP和端口，所以我们可以在没有正常程序连接网络的情况下，通过检查网络连情情况来发现木马的存在。

具体的步骤是点击“开始”->“运行”->“cmd”，然后输入netstat -an 这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口，它包含四个部分――proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。

通过这个命令的详细信息，我们就可以完全监控电脑的网络连接情况。

2、查看目前运行的服务服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。

我们可以通过点击“开始”->“运行”->“cmd”，然后输入“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们可以进入“服务”管理工具中的“服务”，找到相应的服务，停止并禁用它。

3、检查系统启动项由于注册表对于普通用户来说比较复杂，木马常常喜欢隐藏在这里。

检查注册表启动项的方法如下：点击“开始”->“运行”->“regedit”，然后检查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值；HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值。

Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。

打开这个文件看看，在该文件的[boot]字段中，是不是有 shell=Explorer.exe file.exe 这样的内容，如有这样的内容，那这里的file.exe就是木马程序了！4、检查系统帐户恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。

首先，你有中了木马的迹象，你应该先看看你的启动组有哪些东西是自动加载的，木马肯定是在这里面的。

发现陌生的的程序了？还不止一个？没关系，一个一个来，记下名字。

然后找个进程查看工具（为什么要看进程？木马从来都是没窗体的或隐藏的，但却逃不出进程查看器），xp/2000有自带的工具，ctrl+shift+esc呼出，98/me用windows优化大师的进程查看器。

找到进程后，先结束他的进程（不然程序在使用中怎么删得到？），然后再把自启动项删除（因为高级点的木马有保护功能，如多线裎木马）。

再隔离该可疑程序。

最后重起计算机。

这步要一个一个的来，不然你怎么知道哪个是木马？但是如果你对自己的电脑很熟悉的话，一般一眼就能看出来哪些不是自己装的程序。

如果还是有中木马的迹象，重复上面的步骤。

如果已经知道木马程序的位置，那么先结束进程，然后删除启动项目，删除木马程序。

重起。

看完后，你是不是觉得很简单，就那么几步？：）############### windows9x/me 下的一些自启动方法#########1. Autostart 文件C:\windows\start menu\programs\startup {chinese/english}在注册表中的位置： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"所以它将很容易被程序更改2. Win.ini[windows]load=file.exerun=file.exe3. System.ini [boot]Shell=Explorer.exe file.exe4. c:\windows\winstart.bat看似平常，但每次都重新启动5. Registry键[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce][HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]6. c:\windows\wininit.ini一旦运行就被windows删除，安装的setup程序常用Example: (content of wininit.ini)[Rename]NUL=c:\windows\picture.exe例子：将c:\windows\picture.exe设置为NUL, 表示删除它，完全隐蔽的执行！7. Autoexec.bat在DOS下每次自启动8. Registry Shell Spawning （使用过Subseven吗？看看吧）这个方法比较黑的说。

手工清除顽固木马、蠕虫病毒简易手册推荐文章•史玉柱经典语录集热度：•美容院员工手册（范例）热度：•锻炼右脑的简易方法热度：•怎样编写企业员工手册热度：•员工手册包括的内容热度：手工清除顽固木马、蠕虫病毒简易手册拨号上网后，FTP屡次报与联通失败。

经检查，电脑中安装的Norton个人版防病毒软件以及Norton防火墙已被停用。

下面是店铺跟大家分享的是手工清除顽固木马、蠕虫病毒简易手册，欢迎大家来阅读学习。

手工清除顽固木马、蠕虫病毒简易手册具体情况是这样的:拨号上网后，FTP屡次报与联通失败。

经检查，电脑中安装的Norton个人版防病毒软件以及Norton防火墙已被停用，尝试启用时报错，不能正常启用;打开任务管理器，发现非法进程5个，尝试停止，报“拒绝访问”;重启到安全模式后再尝试停止非法进程，报错依旧，不能停止;于是进入计算机本地服务列表，发现2个不明自动启动服务，尝试停止，报“停止服务失败”，无奈之下，修改该服务属性为“禁用”，再次重启到安全模式，不明服务终于没有自动启动。

于是依据之前发现的非法进程名搜索系统盘C盘，发现其在Winnt目录以及Winnt/system32/目录，手工删除之。

然后进入Winnt/system32/目录，发现大量的不明程序文件，其共同的特点为：文件属性为隐藏，文件名为类似“diALoGUe”的随机名称，图标为类似DOS程序图标，查属性无公司、版本等信息;由于我排毒时的习惯为首先设置【文件夹选项】使显示所有文件和显示所有受保护系统文件以便于查找文件，于是轻松发现此批大量不明可运行程序文件，抽查属性确认后全体收入回收站。

然后检查，删除run类不明自启动键值。

最后运行升级SP5，10余分钟后所有补丁打完，重启到正常模式下，win2000显示正常，启动Norton病毒、网络防火墙成功，拨号上网FTP成功。

由以上经历以及耳闻目染，风闻其势，得出此类病毒感染以及发作之可能经过:用户由于系统漏洞没有及时安装补丁，或者使用超级用户权限帐号浏览过恶意网站、运行了不明程序或文件，导致感染了病毒。

⏹木马冰河工作原理:服务器端（G_Server.exe 注：先不要运行）运行于被攻击主机，打开端口，监听来自客户端（攻击者主机运行G_Cilent.exe）的连接。

通常发现计算机有异常的话（经常自动重启动，密码丢失，桌面不正常时），就该考虑是否中了木马。

⏹查杀过程：1、在命令行（开始-运行-cmd.exe）下利用命令ipconfig/all可以查看主机TCP/IP协议的设置。

2、没有运行G_Server.exe前，在命令行下输入命令netstat -an查看本机的端口工作情况。

⏹3、运行G_Server.exe，再用上述命令查看端口情况（检查有哪个端口被G_Server.exe 打开），比较2次查看结果，发现端口7626处于listening 状态。

⏹4、利用命令netstat -anb发现该端口的宿主，也就是说开放的端口是由那些进程打开的。

通过查看，发现该端口是由进程Kernel32.exe打开。

该文件命名和系统文件Kernel32.dll 类似（木马通常命名类似系统文件）。

⏹5、该进程是否存在问题？⏹搜索找到该文件，发现该文件在目录中，查看属性，从版本信息中说明是Microsoft的系统文件，是否是合法？在开始-运行中输入sigverif 来检查该文件所在目录，是否能通过文件签名验证。

⏹6、通过检查，发现该文件不能通过完整性检查，未经过数字签名，存在问题，同时发现另一个和该文件修改时间相同的一个文件sysexplr.exe同样也是没有通过数字签名。

⏹7、上述2个文件正是冰河的两个可执行文件。

⏹8、删除，开始-运行中输入regedit打开注册表，打开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wndows\CurrentVersion\Run，发现目录中有一个默认的键值和上述的一个文件关联，删除。

9、打开子键目录HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wndows\CurrentVersion\Runservices , 也有一个默认的键值和上述的一个文件关联，删除⏹10、进入该文件所在目录，删除。

系统安全:剿清删不掉的DLL木马DLL注入木马是目前网络上十分流行的木马形式，它就像是一个寄生虫，木马以DLL文件的形式，寄宿在某个重要的系统进程中，通过宿主来调用DLL文件，实现远程控制的功能。

这样的木马嵌入到系统进程中可以穿越防火墙，更让人头疼的是，用杀毒软件进行查杀，杀软即使报警提示发现病毒，但是也无法杀掉木马病毒文件，因为木马DLL文件正被宿主调用而无法删除。

下面我们把杀软放到一边，通过专用工具及其手工的方法来清除DLL木马。

一、清除思路1、通过系统工具及其第三方工具找到木马的宿主进程，然后定位到木马DLL文件。

2、结束被木马注入的进程。

3、删除木马文件。

4、注册表相关项的清除。

二、清除方法1、普通进程DLL注入木马的清除有许多DLL木马是注入到“iexplore.exe”和“explorer.exe”这两个进程中的，对于注入这类普通进程的DLL木马是很好清除掉的。

如果DLL文件是注入到“iexplore.exe”进程中，此进程就是IE浏览进程，那么可以关掉所有IE窗口和相关程序，然后直接找到DLL文件进行删除就可以了。

如果是注入到“explorer.exe”进程中，那么就略显麻烦一些，因为此进程是用于显示桌面和资源管理器的。

当通过任务管理器结束掉“explorer.exe”进程时，桌面无法看到，此时桌面上所有图标消失掉，“我的电脑”、“网上邻居”等所有图标都不见了，也无法打开资源管理器找到木马文件进行删除了。

怎么办呢?这时候可以在任务管理器中点击菜单“文件”→“新任务运行”，打开创建新任务对话框，点击“浏览”挖通过浏览对话框就可以打开DLL文件所在的路径。

然后选择“文件类型”为“所有文件”，即可显示并删除DLL了。

(图1)提示：如果你熟悉命令行(cmd.exe)的话，可以直接通过命令来清除，如：taskkill /f /im explorer.exedel C:\Windows\System32\test.dllstart explorer.exe第一行是结束explorer.exe，第二回是删除木马文件test.dll，第三行是重启explorer.exe。

（木马）的手动杀除方法木马清除 1、查获木马机器中木马那是经常的事了，可怎样才能进行清除哪？在这里教大家，几种简单的木马清除方法。

那么？怎样才能知道自己的机器，中了木马哪？如果出现以下几种现象： (1)、电脑有时死机，或莫名其妙的重启； (2)、在没有执行任何操作时，计算机却拼命的读写硬盘，或者某个程序占用内存明显超过其他程序，或者某些程序占用网络，网速极具下降。

(3)、系统莫名其妙的运行光驱进行搜索； (4)、学会看“任务管理器”很多的木马都逃脱不过“任务管理器”或借助一些其他的软件查看隐藏的进程。

发现陌生的程序名称，或有多个名字相同的程序在运行，而且可能会随时间的增加而增多。

注意：在我们看到陌生的进程时，可以到baidu上搜一下也许有自己想要的，但是进程名称是可以伪装的，这可要注意，不要被木马迷惑。

上面所说的几点，就是最初级的木马查获方法，对于技术一般的木马程序已经是绰绰有余了。

2、清除木马一般中木马程序最简单的办法就是用杀毒软件清除，如金山毒霸卡巴斯基等。

如果对系统熟悉的也可以手动清除。

在这里给大家介绍一些通用的木马清除方法，这些方法都很简单实用，学会这些方法将可以有效地清除一些常见的木马所带来的威胁。

（1）、清除木马的启动项原理：这是绝大多数木马都会设计到的功能，此类，木马会随系统启动而启动，从而使用户在不知不觉中将系统打开一扇“门”但由于这类木马的踪迹较容易被发现，所以其只算为初级木马吧。

方法在运行中输入：msconfig 命令，在点击“启动”选项中查看有无不熟悉的启动项，并将其清除，在将其文件删除就可以了。

（2）、清除system.ini 文件中的木马原理：system.ini 是系统启动时要加载的系统服务程序，木马将其隐藏于此，可以看出木马其居心之险恶！此类木马有于发现较困难，所以除非是很了解的情况下进行手工删除或禁用，否则建议使用专杀工具进行清除。

在系统配置实用程序中看到 system.ini 在这里将来路不名的名称禁用和将文件删除就可以了。