11種流行的木馬清除方法

今天在網上閑逛，發現一篇文章對於查殺木馬病毒很有協助，對於象我這樣經常受木馬病毒感染的使用者帶來了極大的協助，現整理下來：

一、木馬ShareQQ
這是一款QQ密碼竊取軟體。清除方法如下：
1、刪除檔案。
用進程管理軟體終止spolsv.exe這個進程（或到純DOS下），然後到windows/system檔案夾下將spolsv.exe檔案刪除，順便刪除的還有debug.dll、MSIME5f594f58.dll兩個檔案，再到Windows目錄下刪除winin.exe檔案。
2、檢查註冊表。
在“開始”菜單的“運行”中輸入regedit檢查註冊表，到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下，刪除名為“netconfig”的字串。
再到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce下，刪除“winin”字串即可。
3、重新啟動電腦。

二、木馬BladeRunner
首先展開註冊表到：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下，你會看到字串值System-Tray，其索引值為c:/something/something.exe，事實上c:/something/something.exe是可以任意變化的，就看給您下木馬的人怎麼設定了，所以你看到的可能與我說的不同，但這不影響我們查殺它。
根據木馬在註冊表中建立的的索引值記下木馬的名字與所在檔案夾，然後退回到純DOS下，找到此木馬檔案並刪除掉。重新啟動電腦，然後到註冊表中找到我們前面提到的木馬檔案所建立的字串值及其索引值，刪除之即可。

三、木馬廣外女生
廣外女生是廣東外語外貿大學“廣外女生”網路小組的處女作，它的準系統有：檔案管理方面有上傳，下載，刪除，改名，設定屬性，建立檔案夾和運行指定檔案等功能；註冊表操作方面：全面類比Windows的登錄編輯程式，讓遠端登錄編輯工作有如在本機上操作一樣方便；螢幕控制方面：可以自訂圖片的品質來減少傳輸的時間，在區域網路或高網速的地方還可以全屏操作被控方的滑鼠（包括單擊，雙擊，右鍵，拖動等）；其他功能還有遠程任務管理、郵件IP通知、郵件服務等。廣外女生與其他同類軟體相比，其主要特點是：服務端程式體積小，大家熟悉的“冰河”是260多KB，而廣外女生只有96KB！服務端佔用系統資源少，最多時只佔用3M的記憶體，不會影響服務端電腦的速度。隱蔽性好，不容易被發現。同時還自動檢查進程中是否含有“金山毒霸”、“防火牆”、“iparmor”、“tcmonitor”、“即時監控”、“lockdown”、“kill”、“天網”等字樣，如果發現就將該進程終止，也就是說它會使防火牆完全失去保護作用！
廣外女生的清除方法
該木馬程式運行後，將會在系統的SYSTEM目錄下產生一個木馬檔案名稱為DIAGCFG.EXE，並關聯EXE檔案的開啟檔案，如果直接刪除該檔案，將會導致系統中所有的EXE檔案無法開啟。
1、到純DOS模式下，找到System目錄下的DIAGFG.EXE，刪除它；
2、由於DIAGCFG.EXE檔案已經被刪除了，因此在Windows環境下所有exe檔案都將無法運行。找到Windows目錄中的登錄編輯程式Regedit.exe，將它改名為“Regedit.com”；
3、回到Windows模式下，運行Windows目錄下的Regedit.com程式；
4、找到HKEY_CLASSES_ROOT/exefile/shell/open/command，將其預設索引值改成"%1" %*；
5、找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices，刪除其中名稱為“Diagnostic Configuration”的索引值；
6、關掉登錄編輯程式，回到Windows目錄，將“Regedit.com”改回“Regedit.exe”。
7、重新啟動電腦。

四、木馬BrainSpy
1、檢查註冊表。
展開註冊表到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下，你會在右邊的視窗中看到有字串值***="C:/WINDOWS/system/BRAINSPY.exe"，其中“***”是隨意改變，但其索引值不變恒為“C:/WINDOWS/system/BRAINSPY.exe”，刪除此字串值和索引值。
2、刪除檔案。
用進程管理軟體終止“BRAINSPY.exe”這個進程（或重新啟動電腦到純DOS下），然後到C:/WINDOWS/system檔案夾下刪除BRAINSPY.exe檔案即可清除木馬BrainSpy。

五、木馬FunnyFlash
FunnyFlash的表徵圖為FLASH表徵圖，很容易使人上當受騙，千萬不要以為它是個FLASH檔案而運行。
清除方法：
1、檢查註冊表。
到註冊表HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices下，刪除串值“723”及其索引值“c:/`.exe”。
2、刪除木馬檔案。
分別到C盤根目錄、C:/WINDOWS和C:/WINDOWS/SYSTEM檔案夾下找到“`.exe”檔案，刪除之，再到C:/WINDOWS/TEMP下刪除“FunnyFlash.exe”檔案即可清除木馬。

六、QQ密碼偵探特別版
這也是一款QQ密碼竊取密碼，木馬檔案名稱為QQSPYSP.EXE，檔案大小379,904byte。它的清除方法：
重啟電腦到純DOS狀態下，然後將C:/WINDOWS/SYSTEM檔案夾中的Internat.exe檔案刪除，再將該檔案夾下的smaxinte.exe檔案重新命名Internat.exe，最後刪除Windows檔案夾下的Internat.exe和uttnskf.ini檔案，重新啟動電腦即可清除該木馬。

七、木馬IEthief
IEthief的表徵圖與瀏覽器IE的表徵圖很是相似，不同之處其表徵圖在右端的“e”字開口處添加了一排“牙齒”，這是識別它與正常的IE檔案的好方法。
清除方法：
1、刪除C:/WINDOWS/SYSTEM檔案夾下的木馬檔案和相關的資訊記錄檔案：IEthief.exe、firstrunIE.dat、IEcfg，這一步可以在純DOS下進行。
2、更改註冊表：
到註冊表HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下，刪除串值“ierun”及其索引值“C:/WINDOWS/SYSTEM/IEthief.exe”即可。

八、木馬QEyes潛伏者
QEyes潛伏者是個QQ密碼竊取木馬，它的清除方法如下：
1、在“開始”菜單中的“運行”中輸入msconfig，找到Win.ini標籤，刪除“[windows]”欄位下的“run=”下的字串“c:/windows/thereadmsg.exe”。
2、檢查註冊表
在“開始”菜單的“運行”中輸入regedit，到註冊表HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下，刪除字串值netservice及其索引值c:/windows/nesmsg.exe；再刪除字串值system及其索引值c:/windows/system/kerne132.exe；最後再刪除字串值boot及其索引值c:/windows/system/kerne116.exe。
3、清除檔案
到Windows所在安裝目錄下刪除nesmsg.exe、thereadmsg.exe、wininet.ini、raddr.txt和addr.txt檔案，再到Windows/system檔案夾下刪除kerne116.exe、kerne132.exe檔案，最後到C盤根目錄下刪除process.dll檔案即可清除該木馬。

九、木馬藍色火焰
藍色火焰是一款沒有用戶端的木馬，你的電腦中幾乎任何和網路相關的程式都可以用來控制它，如Telnet、sterm、cterm、Zmud、Ftp、IE、Netscape、Opera、Flashget、Cuteftp……由於沒有用戶端，甚至可以跨平台來操控服務端，如在Unix、linux系統下……
藍色火焰用戶端與服務端連通訊通過19191連接埠進行；如果是微型版藍色火焰（這是只有10K大小的微型版藍色火焰），則使用9191連接埠串連。所以，也可以通過這個方法來發現“藍色火焰”，方法是在MS-DOS視窗下（在Win2000下稱作命令提示字元下）運行netstat －a命令即可，如果發現有19191或9191連接埠開放，就表示你中木馬了（這部分介紹參考了筆友的文章）。
清除方法：
1、刪除木馬在註冊表中建立的索引值。
在“開始”菜單的“運行”中輸入Regedit，到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下，刪除串值Network Services及其索引值C:/WINDOWS/SYSTEM/tasksvc.exe。
2、恢複檔案關聯：
到註冊表HKEY_CLASSES_ROOT/txtfile/shell/open/command和HKEY_LOCAL_MACHINE/Software/CLASSES/txtfile/shell/open/command之下，將C:/WINDOWS/SYSTEM/sysexpl.exe %1更改為：NOTEPAD.exe %1
3、刪除檔案。
到C:/WINDOWS/SYSTEM下，將tasksvc.exe、sysexpl.exe、bfhook.dll這三個檔案刪除即可清除木馬藍色火焰。

十、木馬Back Construction清除方法
到註冊表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下，刪除右邊視窗中的“C:/WINDOWS/Cmctl32.exe”。
刪除木馬檔案。
重新啟動到純DOS下，或用進程管理軟體終止進程“Cmctl32.exe”，然後到C:/WINDOWS檔案夾下刪除木馬檔案Cmctl32.exe即可。

十一、手工清除冰河木馬
也許您中了冰河，苦於想把它弄掉。這裡給你介紹一種方法，手工清除
環境：win9x
1、運行regedit進入註冊表
2、開啟HKEY_CLASSES_ROOT/txtfile/shell/open/command"
3、將“預設”的資料記下（例如：c:/windows/c_server.exe)
4、將“預設”的資料改為"c:/windows/notepad.exe %1"
5、重新啟動電腦，進入dos模式。
6、把"c:/windows/c_server.exe"刪除。
7、重新啟動電腦。