文章大纲：

• 1、关于冰河木马病毒
• 2、冰河木马怎么使用啊？
• 3、电脑感染冰河木马病毒怎么处理
• 4、怎样清除冰河木马！！
• 5、冰河木马如何清除
• 6、Win10系统中了冰河木马病毒怎么解决

关于冰河木马病毒

“冰河”木马病毒是国人编写的一种黑客性质的病毒，感染该病毒之后，黑客就可以通过 *** 远程控制该电脑。

可以采用以下 *** 清除该病毒：

1. 在DOS或者Windows安全模式下打开\Windows\System目录，删除Kernel32.exe，Sysexplr.exe，Sendme.dll，Sendme.dl_和Sendme.cfg这几个病毒文件。

2. 打开注册表编辑器，搜索含有Kernel32.exe和Sysexplr.exe的键值，全部删除。

3. 重新启动电脑，将TXT文件的关联程序重新设置为Notepad.exe。

注意：“冰河”木马有很多种版本和变种，清除方式不完全一样，建议使用专门清理木马程序的工具进行清理

冰河木马怎么使用啊？

目前 *** 上“菜鸟”（初学者）很多，稍不留神就会中了“冰河”，冰河凭借其强大的功能、简单的操作而广泛流传，目前国内中此木马者最多，许多人想了解木马冰河，但又不知如何下手，所以小弟整理了一下资料，以供大家参阅，由于时间仓促，本书有很多不足之处，望各位高手指点。

首先下载冰河，点击冰河主程序（就是图标是小刀的那个文件，文件名G_Client.exe，大小454K），出现主界面： 首先，配置本地服务器程序，单击从右边数过来第三个图标（或在设置－配置服务器程序），弹出服务器设置。

在基本设置中：安装路径指服务器程序运行时，自动安装在哪个文件夹；文件名称指服务器安装后程序的名称，进程名称指按Alt+Ctrl+del三链在“关闭程序”显示的文件名；访问口令指如果您加了密码，访问中此木马的密码；敏感字符指你想要获取对方密码的关键词，比如输入password，冰河服务端将记录password的密码；提示信息指对方运行服务端出现的窗口，比如说此文件已损坏等骗人的话；监听端口指中冰河者打开的端口，您用冰河控制端通过这个端口访问；自动删除安装文件指对方运行服务端后，是否删除本身（就是运行后，程序不见了，而会在其它地方安装了）禁止自动拨号指运行服务端后，是否马上拨号上网连接。

在自我保护中：已经写的很清楚了，不再重复！

在邮件通知中：不再重复。注意 *** TP服务器指发送邮件服务器地址，通常申请邮箱时服务商会提供。

根据您的需要配置好服务端，把他发送给对方，更好用捆绑软件捆绑加密一下。

如果您想找现成的中了木马冰河的机器，就用冰河的搜索计算机功能（速度很慢）扫描，扫描后该知道干什么了吧！

注意：使用时，1、自己应当关闭防火墙，否则将失败！

2、小心“小猪快跑”等软件的反追踪！

3、填写密码时，按旁边的应用才会有效！

--------------------------------------------------------------------------------

冰河凭借着简单易用、功能强大，而且国内感染率更高，深受广大菜鸟的喜欢，万能密码05181977的出现更吸引了无数的崇拜者，而且前些时候冰河之一站()发布冰河有重大的漏洞（本站电脑安全文章也有此篇文章“不需要任何密码就能到达中了冰河的机器”），更一步使冰河广泛应用。

自从2000年3月17日原作者“黄鑫”发布冰河V2.2[DARKSUN专版]以后，作者就停止了开发，然而 *** 便有一些人开展了冰河的后续版本，如冰河V2.2改良版本、冰河V3.0[YZKZERO专版]、冰河V3.3[OICQBOY专版]、冰河V4.0[Hyne专版]等等等等。然而笔者容笑惊奇地发现，这些版本，作者都声称没有万能密码，但事实却摆在眼前，都给自己留了一条后路，把万能密码改了一下！见下图：

2.2版：Can you speak Chinese? （容笑试了没用，可能是另外一个版本）

2.2版：05181977

3.0版：yzkzero!

3.3版：******?*（*号代表空格）

4.0版：05181977

3.0版：yzkzero.51.net

3.0版：yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版：05181977

2.2杀手专版：dzq20000!

这只是一小部分，实际上只要通过一个最常用的工具，就能使它们的万能密码显出原形，而且操作非常方便，就算刚刚学会电脑的人也会操作，根本不用什么跟踪软件等等。

*** 如下：

准备两个版本冰河的服务端（就是木马，你自己不能点击的那个，文件名一般为G_server.exe，微软的图标，就是平时文件没有指定程序打开出现的图标，下载地址：反正下载地址多的是，哪方便、哪速度快就下载去吧！）和UltraEdit（一个文本编辑器，有下载，而且有汉化包）。

首先用ultraEdit打开两个服务端程序（注意：可不是双击它们的图标，否则自己中木马了，一定要用UltraEdit打开，切记！切记！）然后“文件→比较文件”，再跳出的窗口中，在“不同之处不同颜色、忽略空行和空格、只显示彼此不同的行”前面的对钩打上。

然后，按一下比较文件按钮。看到了没有，万能密码出来了！

阿酷注：此简单 *** 对于改动大的冰河改本比较麻烦，可能一时找不出万能密码，这是因为不同处太多，一时无法找到，但容笑相信肯定会显示出来的！

冰河出现到现在，使用得如此之广，影响如此之大。

却万万没有人想到冰河服务端竟然存在着如此严重的漏洞：“不需要任何密码就可以将本地文件在远程机器上打开!!!”

漏洞一：不需要密码远程运行本地文件漏洞。

具体操作：工具用相应的冰河客户端，2.2版以上服务端用2.2版客户端，1.2版服务端需要使用1.2版客户端控制。打开客户端程序G_Client，进入文件管理器，展开“我的电脑”选中任一个本地文件按右键弹出选择菜单，选择“远程打开”这时会报告口令错误，但是文件一样能上传并运行!!!

我们只要利用这个漏洞上传一个冰河服务端就可以轻松获得机器的生死权限了。(当然也可以上传任何一个木马程序的服务端实现)

漏洞二：不需要密码就能用发送信息命令发送信息，(不是用冰河信使，而是用控制类命令的发发送信息命令)。

这些漏洞都是本人在实际使用冰河时发现的，在此之前也是万万没想过冰河竟是 如此的不堪一击!

安全警告：大家不要用冰河作远程传送，管理程序用，就算是设密码，改端口，只要端口一露，就完完了。 有不少人到现在还在用冰河作远程管理程序用，千万不要迷信设有密码就能高枕无忧了，只要扫到了冰河打开的端口，就连通用的密码也省了，就能进入，进入后再把先前的那个服务端手工删除掉，这台机就是你一个人的了(当然是排除了中了几个木马的情况，就是中了几个木马你也可以手工删除，得以实现的)。

后话：冰河自从黄鑫出了DARKSUN2.2专版后，陆续有人以此版为蓝本修改冰河服务端，于是有了3.0，3.1，3.3，3.4，3.5，v9.9,4.0,4.1各种版本其中大部分都只是改了服务端的通用密码，并且每个修改者都说自己改的是无通用密码版，一当自己改版被破解又出个所谓的“无通用密码版”，现在的冰河服务端都会有通用密码，试问有那个修改者，在修改时不把通用密码换成自己的。更让人气的是有不少冰河版本只将通用密码改成自己的，然后在公布时大声宣称此版为“无通用密码版”，知道这些内幕后我们不必去追求这些自私自利人改的无密码版。何况，冰河存在着现在这样的一个严重漏洞!

附：冰河各版本的通用密码

2.2版：Can you speak Chinese?

2.2版：05181977

3.0版：yzkzero!

4.0版：05181977

3.0版：yzkzero.51.net

3.0版：yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版：05181977

2.2杀手专版：dzq20000!

冰河有许多版本，导致卸载冰河无一“绝对” *** 。

（1）清除冰河V1.1的 ***

找开注册表Regedit;

打开HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN,删除“C:\WINDOWS\SYSTEM\KERNEL32.EXE”和"C:\WINDOWS\SYSTEM\SYSEXPLR.EXE"两项。

如果有进程软件，就用进程软件把KERNEL32.EXE和SYSEXPLR.EXE终止；删除C:\WINDOWS\SYSTEM\KERNEL32.EXE和C:\WINDOWS\SYSTEM\SYSTEM\SYSEXPLR.EXE（因为程序正在运行，无法删除，所以先要终止）

如果没有进程软件，就重新启动到DOS窗口，删除（DEL）C:\WINDOWS\SYSTEM\KERNEL32.EXE和C:\WINDOWS\SYSTEM\SYSTEM\SYSEXPLR.EXE。

（2）清除冰河V2.2[DARKSUN专版] ***

因为冰河2.2以上版本服务端程序名称、文件存放路径、写入注册表的键名等等都可以随自己意愿改变，所以查杀难度复杂，以默认的配置为例，查看注册表HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN和HEKY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICE两项，把陌生的文件路径删除（要有一定的WINDOWS的基础才能删除），然后根据路径按照V1.1的 *** 删除文件。

（3）清除盗版冰河（就是改变万能密码的冰河版本）的 ***

盗版冰河与冰河[DARKSUN专版]仅是多了一个文件，原来冰河V2.2[DARKSUN专版]在HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN和HEKY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICE只启动一个程序，现在启动两个程序，另外多出的一个程序的功能就是恢复之一个程序（即服务端），所以清除的时候把另外多出的程序也删除。

上次介绍的 *** 只能在默认的 *** 下使用，所以很难奏效！下面介绍几种 *** 可以彻底查杀！

一、自杀行动！

就是下载相应的版本的冰河，利用控制端来卸载服务端。 *** 如下：启动控制端，在添加主机里添加127.0.0.1（就是脱机状态下的默认IP地址），按应用，如果链接成功，在命令控制台→控制类命令→系统控制→自动卸载冰河，把冰河成功卸载，如果状态栏显示口令错误，无法链接（这是因为在你电脑植入冰河木马的人加了密码，有密码才能链接），试试下面的万能密码：

2.2版：Can you speak Chinese?

2.2版：05181977

3.0版：yzkzero!

4.0版：05181977

3.0版：yzkzero.51.net

3.3版：******?*（*号代表空格）

3.0版：yzkzero!

3.1-netbug版密码: 123456!@

2.2杀手专版：05181977

2.2杀手专版：dzq20000!

如果成功了按上面的 *** ，卸载冰河！

二、杀毒软件

用杀毒软件把冰河服务端卸载掉，容笑推荐大家用金山毒霸把服务端卸载掉（因为据容笑测试，金山毒霸对各种版本的冰河查杀率更高），杀毒以后，可能文件文件或EXE（可执行文件）不能打开，所以杀毒前更好先检查一下冰河有没有把文本文件关联，如果关联了，先恢复，查看 *** 是在我的电脑的菜单栏“查看”→“文件夹选项”→“文件类型”，找到文本文件图标查看是否用C:\WINDOWS\Notepad.exe程序打开，如果不是，大概是冰河木马关联了文本文件！恢复 *** 是在打开方式中选择C:\WINDOWS\Notepad.exe程序打开即可或直接按住SHIFT，用鼠标右键单击文本文件，在右键上选择打开方式，选择C:\WINDOWS\Notepad.exe，而且在“始终使用该程序打开这种类型的文件”前面的钩打开，确定即可。如果感染了EXE文件，恢复的办法，最最简单的 *** 就是恢复注册表，如果感染冰河在5天以内，可在DOS状态下用scanreg/restore命令恢复，时间长一点，导入以前备份的注册表（备份注册表很重要，容笑建议经常备份注册表）。此 *** 对于屡屡升级的冰河，可能作用不大！

三、我想关键问题还是在于预防，备份重要数据和系统文件；不要随意打开邮件的附件（更好不要用OE5.0或5.5），因为它们有一个漏洞，就是可以自动执行附件；下载软件一定要到大的网站去下载，它们有专门人员负责杀毒，减低风险！笔者建议大家装三个软件，一、天网防火墙（即使您中了冰河木马，有天网保护，谁有进不了您的电脑）、Regrun II（一个实时监控制软件，只要木马在电脑的各项启动程序中添加，它就会报警，还有终止进程的功能）、Relive（一个比较前后文件的数量，它让你知道，您的电脑中多了什么不明程序[如木马程序])，有此三法宝在，您就很轻松地卸载冰河木马了，也可以是大部分木马！

上次本人和大家讲了用UltraEdit-32比较两个服务端程序而得到冰河的万能密码，其实冰河的各个版本都是原作者黄鑫冰河的“盗版”，而且 *** *** 很简单，不用几分钟，一个属于自己的“盗版冰河”就产生了！

*** 如下：

本次实验准备两个程序：UltraEdit、冰河远程控制软件（更好用正版[即黄鑫的冰河]）！

首先我们先改变冰河服务端的万能密码：用UltraEdit打开冰河的服务端，然后查找万能密码“05181977”（如果您用的冰河是其它版本，请先按上次的 *** ，得出万能密码，然后查找这个万能密码），然后替换成自己的万能密码，随便自己填！

服务端已经基本修改好了，接下来就是对控制端进行个性修改了，用UltraEdit打开冰河的控制端程序，然后根据上面的 *** 。

之一步，修改标题就是那个“冰河V2.2 [DARKSUN专版]”和启动画面文字，查找“v2.2”，看到了吗！把“V2.2”这几个字改成您的版本号就可以了，如“V9.9”，保存，然后在查找DARKSUN，其实就是V2.2旁边，把它改成自己的专版就可以了，如“WWWRONG”更好英文字母个数和原版一样，以免发生错误，然后保存，先看看自己的杰作，标题上显示就是冰河 V9.9 [WWWRONG专版]，启动画面的文字也变成[WWWRONG 专版]。

第二步，修改帮助菜单栏中“关于‘冰河’”画面的修改，主要是修改“作者：黄鑫、网址、软件完成日期”，作者仅以修改作者姓名为例：按照上面的 *** 查找“黄”，找到“黄”，一定要看到旁边有一个鑫字才可修改，否则改了其它代码，程序就不能运行了，好了替换成自己的大名就可以了。

第三步，如果您想要改其它的项目，按照上面简单的方面可以实现您的目的，但是要记住，一定要先备份一份，以免出现错误还可重新来过.

电脑感染冰河木马病毒怎么处理

首先不要轻易运行来历不明的软件，只要服务器端不被运行，冰河再厉害也是有力使不出，这一点非常重要。其次由于冰河的广泛流行，使得大多数杀毒软件可以查杀冰河，因此在运行一个新软件之前用杀毒软件查查是很必要的。

但由于该软件变种很多，杀毒软件如果不及时升级，难免会有遗漏，因此要保证你使用的杀毒软件病毒库保持最新。用查杀木马软件如木马克星之类的也可以。安装并运行防火墙，如此则能相对安全一些。

怎样清除冰河木马！！

木马病毒专杀工具,有中招的请下载

各种木马专杀点击浏览该文件

*** 尾巴病毒专杀点击浏览该文件

专业木马专杀软件绿色版点击浏览该文件

木马杀客最新版绿色点击浏览该文件

1. 冰河v1.1 v2.2

这是国产更好的木马

清除木马v1.1

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

查找以下的两个路径，并删除

" C:\windows\system\ kernel32.exe"

" C:\windows\system\ sysexplr.exe"

关闭Regedit

重新启动到MSDOS方式

删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序

重新启动。OK

清除木马v2.2

服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。

因此，不能明确说明。

你可以察看注册表，把可疑的文件路径删除。

重新启动到MSDOS方式

删除于注册表相对应的木马程序

重新启动Windows。OK

2. Acid Battery v1.0

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Explorer ="C:\WINDOWS\expiorer.exe"

关闭Regedit

重新启动到MSDOS方式

删除c:\windows\expiorer.exe木马程序

注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。

重新启动。OK

3. Acid Shiver v1.0 + 1.0Mod + lmacid

清除木马的步骤：

重新启动到MSDOS方式

删除C:\windows\MSGSVR16.EXE

然后回到Windows系统

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"

关闭Regedit

重新启动。OK

重新启动到MSDOS方式

删除C:\windows\wintour.exe然后回到Windows系统

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"

关闭Regedit

重新启动。OK

4. Ambush

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的zka

= "zcn32.exe"

关闭Regedit

重新启动到MSDOS方式

删除C:\Windows\ zcn32.exe

重新启动。OK

5. AOL Trojan

清除木马的步骤：

启动到MSDOS方式

删除C:\ command.exe（删除前取消文件的隐含属性）

注意：不要删除真的command.com文件。

删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性）

删除C:\ windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性）

打开WIN.INI文件

在[WINDOWS]下面“run=”和“load=”都加载者特洛伊木马程序的路径，必须清除它们

：

run=

load=

保存WIN.INI

还要改正注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的WinProfile = c:\command.exe

关闭Regedit，重新启动Windows。OK

6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1

清除木马的步骤：

注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。

我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。

打开system.ini文件

在[BOOT]下面有个”shell=文件名”。正确的文件名是explorer.exe

如果不是”explorer.exe”，那么那个文件就是木马程序，把它查找出来，删除。

保存退出system.ini

打开win.ini文件

在[WINDOWS]下面有个run=

如果你看到=后面有路径文件名，必须把它删除。

正确的应该是run=后面什么也没有。

=后面的路径文件名就是木马，把它查找出来，删除。

保存退出win.ini。

OK

7. AttackFTP

清除木马的步骤：

打开win.ini文件

在[WINDOWS]下面有load=wscan.exe

删除wscan.exe ，正确是load=

保存退出win.ini。

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Reminder="wscan.exe /s"

关闭Regedit，重新启动到MSDOS系统中

删除C:\windows\system\ wscan.exe

OK

8. Back Construction 1.0 - 2.5

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的"C:\WINDOWS\Cmctl32.exe"

关闭Regedit，重新启动到MSDOS系统中

删除C:\WINDOWS\Cmctl32.exe

OK

9. BackDoor v2.00 - v2.03

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的c:\windows\notpa.exe /o=yes

关闭Regedit，重新启动到MSDOS系统中

删除c:\windows\notpa.exe

注意：不要删除真正的notepad.exe笔记本程序

OK

10. BF Evolution v5.3.12

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的(Default)=" "

关闭Regedit，再次重新启动计算机。

将C:\windows\system\ .exe（空格exe文件）

11. BioNet v0.84 - 0.92 + 2.21

0.8X版本是运行在Win95/98

0.9X以上版本有运行在Win95/98 和WinNT上两个软件

客户－服务器协议是一样的，因而NT客户能黑95/98被感染的机器，和Win95/98客户能黑

NT被感染的系统完全一样。

清除木马的步骤：

首先准备一张98的启动盘，用它启动后，进入c:\windows目录下，用attrib

libupd~1.exe -h

命令让木马程序可见，然后删除它。

抽出软盘后重新启动，进入98下，在注册表里找到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run的子键WinLibU

pdate = "c:\windows\libupdate.exe -hide"

将此子键删除。

12. Bla v1.0 - 5.03

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Systemdoor = "C:\WINDOWS\System\mprdll.exe"

关闭Regedit，重新启动计算机。

查找到C:\WINDOWS\System\mprdll.exe和

C:\WINDOWS\system\rundll.exe

注意：不要删除C:\WINDOWS\RUNDLL.EXE正确文件。

并删除两个文件。

OK

13. BladeRunner

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

可以找到System-Tray = "c:\something\something.exe"

右边的路径可能是任何东西，这时你不需要删除它，因为木马会立即自动加上，你需要

的是记下木马的名字与目录，然后退回到MS-DOS下，找到此木马文件并删除掉。

重新启动计算机，然后重复之一步，在注册表中找到木马文件并删除此键。

14. Bobo v1.0 - 2.0

清除木马v1.0

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的DirrectLibrarySupport ="C:\WINDOWS\SYSTEM\Dllclient.exe"

关闭Regedit，重新启动计算机。

DEL C:\Windows\System\Dllclient.exe

OK

清除木马v2.0

打开注册表Regedit

点击目录至：

HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/

ICQ Accel是一个“假象“的主键，选中ICQ Accel主键并把它删除。

重新启动计算机。OK

15. BrainSpy vBeta

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

右边有 ??? = "C:\WINDOWS\system\BRAINSPY .exe"

???标签选是随意改变的。

关闭Regedit，重新启动计算机

查找删除C:\WINDOWS\system\BRAINSPY .exe

OK

16. Cain and Abel v1.50 - 1.51

这是一个口令木马

进入MS-DOS方式

查找到C:\windows\msabel32.exe

并删除它。OK

17. Canasson

清除木马的步骤：

打开WIN.INI文件

查找c:\msie5.exe，删除全部主键

保存win.ini

重新启动计算机

删除c:\msie5.exe木马文件

OK

18. Chupachbra

清除木马的步骤：

打开WIN.INI文件

[Windows]的下面有两个行

run=winprot.exe

load=winprot.exe

删除winprot.exe

run=

load=

保存Win.ini，再打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的System Protect = winprot.exe

重新启动Windows

查找到C:\windows\system\ winprot.exe，并删除。

OK

19. Coma v1.09

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的RunTime = C:\windows\msgsrv36.exe

重新启动Windows

查找到C:\windows\ msgsrv36.exe，并删除。

OK

20. Control

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的Load MSchv Drv = C:\windows\system\MSchv.exe

保存Regedit，重新启动Windows

查找到C:\windows\system\MSchv.exe，并删除。

21. Dark Shadow

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\RunServices

删除右边的winfunctions="winfunctions.exe"

保存Regedit，重新启动Windows

查找到C:\windows\system\ winfunctions.exe，并删除。

OK

22. DeepThroat v1.0 - 3.1 + Mod (Foreplay)

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

版本1.0

删除右边的项目System32=c:\windows\system32.exe

版本2.0-3.1

删除右边的项目SystemTray = Systray.exe

保存Regedit，重新启动Windows

版本1.0删除c:\windows\system32.exe

版本2.0-3.1

删除c:\windows\system\systray.exe

OK

23. Delta Source v0.5 - 0.7

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的项目：DS admin tool = C:\TEMPSERVER.exe

保存Regedit，重新启动Windows

查找到C:\TEMPSERVER.exe，并删除它。

OK

24. Der Spaeher v3

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的项目：explore = "c:\windows\system\dkbdll.exe "

保存Regedit，重新启动Windows

删除c:\windows\system\dkbdll.exe木马文件。

OK

25. Doly v1.1 - v1.7 (SE)

清除木马V1.1-V1.5版本：

这几个木马版本的木马程序放在三处，增加二个注册项目，还增加到Win.ini项目。

首先，进入MS-DOS方式，删除三个木马程序，但V1.35版本多一个木马文件mdm.exe。

把下列各项全部删除：

C:\WINDOWS\SYSTEM\tesk.sys

C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe

c:\Program Files\MStesk.exe

c:\Program Files\Mdm.exe

重新启动Windows。

接着，打开win.ini文件

找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目，删除路径，改变为load=

保存win.ini文件。

最后，修改注册表Regedit

找到以下两个项目并删除它们

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Ms tesk = "C:\Program Files\MStesk.exe"

和

HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run

Ms tesk = "C:\Program Files\MStesk.exe"

再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss

这个组是木马的全部参数选择和设置的服务器，删除这个ss组的全部项目。

关闭保存Regedit。

还有打开C:\AUTOEXEC.BAT文件，删除

@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Itemsdel c:\win.reg

关闭保存autoexec.bat。

OK

清除木马V1.6版本：

该木马运行时，将不能通过98的正常操作关闭，只能RESET键。彻底清除步骤如下：

1．打开控制面板——添加删除程序——删除memory manager 3.0，这就是木马程序，但

是它并不会把木马的EXE文件删除掉。

2．用98或DOS启动盘启动（用RESET键）后，转入C:\，编辑AUTOEXEC。BAT，把如下内容

删除：

@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe

del c:\win.reg

保存AUTOEXEC。BAT文件并返回DOS后，在C：\根目录下删除木马文件：

del sys.lon

del windows\startm~1\programs\startup\mdm.exe

del progra~1\mdm.exe

3．抽出软盘重新启动，进入98后，把c:\program files\目录下的memory manager 目录

删除。

清除木马V1.7版本：

首先，打开C:\AUTOEXEC.BAT文件，删除

@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe

del c:\win.reg

关闭保存autoexec.bat

然后打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

找到c:\windows\system\mdm.exe路径并删除这个项目

点击目录至：

HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/

找到"C:\windows\system\kernal32.exe"路径并删除这个项目

关闭保存Regedit。重新启动Windows。

最后，删除以下木马程序：

c:\sys.lon

c:\iecookie.exe

c:\windows\start menu\programs\startup\mdm.exe

c:\program files\mdm.exe

c:\windows\system\mdm.exe

c:\windows\system\kernal32.exe

注意：kernal32是A

OK

26. Donald Dick v1.52 - 1.55

清除木马V1.52-1.53版本：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\VxD\VMLDIR删除右边的项目

：StaticVxD = "vmldir.vxd"

关闭保存Regedit，重新启动Windows

删除C:\WINDOWS\System\vmldir.vxd

OK

清除木马V1.54-1.55版本：

这两个版本跟上面的版本只是默认文件名不同，其它都一样，

把vmldir.vxd改为intld.vdx即可。

27. Drat v1.0 - 3.0b

清除木马的步骤：

打开注册表Regedit

点击目录至：hkey_classes_root\exefile\shell\open\command

找到@=SHELL32 \"%1\" %*把它更改为@="%1" %*

关闭保存Regedit，重新启动Windows。

查找c:\windows\下shell32．＊文件，并删除它。

OK

28. Eclipse 2000

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：bybt = "c:\windows\system\eclipse2000.exe"

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices删除

右边的项目：cksys = "c:\windows\system\ could be anything .exe"

关闭保存Regedit，重新启动Windows

查找到eclipse2000.exe木马文件，并删除。

OK

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：Rnaapp ="C:\WINDOWS\SYSTEM\rmaapp.exe"

关闭保存Regedit，重新启动Windows

删除C:\WINDOWS\SYSTEM\rmaapp.exe

注意：不要删除Rnaapp.exe

OK

30. Executer v1

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run在右边的项目

查找到"C:\windows\sexec.exe"，并删除。

关闭保存Regedit，重新启动Windows

相应删除木马程序文件。

31. FakeFTP beta

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：Rundll32 = rundll3.tww /h

关闭保存Regedit，重新启动Windows

找到C:\windows\文件夹下的三个文件并删除它们

rundll3.bat - 9x.reg - nt.reg

OK

32. Forced Entry

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：MicrosoftRegistration32 = "C:\somepath \trojanhrs.exe"

关闭保存Regedit，重新启动Windows

由于路径容易改变，只要查找到trojanhrs.exe，并删除它。

33. GateCrasher v1.0 - 1.2

清除木马v1.0：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：Explore=c:\windows\explore.exe

关闭保存Regedit，重新启动Windows

然后，删除相应的木马程序。

OK

清除木马v1.1：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：Inet=EXPLORE.EXE

关闭保存Regedit，重新启动Windows

然后，找到相应的木马程序，并删除。

OK

清除木马v1.2：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：Command = c:\windows\system.exe

关闭保存Regedit，重新启动Windows

然后，找到相应的木马程序，并删除。

OK

34. Girlfriend v1.3x (Including Patch 1 and 2)

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：Windll.exe ="C:\windows\windll.exe"

Regedit里也保存着服务器的数据

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\General

删除General项目标题

关闭保存Regedit，重新启动Windows

然后，找到相应的木马程序，并删除。

35. Golden Retreiver v1.1b

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：Task Manager="c:\mstask.exe"

关闭保存Regedit，重新启动Windows

然后，找到相应的木马程序，并删除。

OK

36. Hack`a`Tack 1.0 – 2000

清除木马v1.0-1.2：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：Explorer32 ="C:\windows\Expl32.exe"

关闭保存Regedit，重新启动Windows

然后，找到相应的木马程序，并删除。

OK

清除木马v2000：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：Configuration Wizard = c:\windows\cfgwiz32.exe

关闭保存Regedit，重新启动Windows

删除c:\windows\cfgwiz32.exe

OK

37. Hack99 KeyLogger

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：HKeyLog = "C:\Windows\System\HKeyLog.exe"

关闭保存Regedit，重新启动Windows

删除C:\Windows\System\HKeyLog.exe

OK

38. HostControl v1.0

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：RegClean = "c:\windows\inf\regcle32.exe"

关闭保存Regedit，重新启动Windows

删除c:\windows\inf\regcle32.exe

OK

39. Hvl Rat v5.30

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：Explorer = "C:\WINDOWS\system\MSGSVR16.EXE"

关闭保存Regedit，重新启动Windows

删除C:\WINDOWS\system\MSGSVR16.EXE

OK

40. ik97 v1.2

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：ik = c:\progra~1\ik\ik.exe

关闭保存Regedit，重新启动Windows

删除C:\Program Files\ik\ik.exe

41. InCommand v1.0 - 1.5

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run找到右边的项

目：AdvancedSettings = *

注意：*表示就是木马的存放路径与文件名，记下后删除此键。

关闭保存Regedit，重新启动Windows

按照刚才记下的木马路径与文件名删除木马程序。

42. IndocTrination v0.1 - v0.11

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MA

CHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE

\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\Windows\CurrentVersion\RunServicesOnce每项标题都包括Msgsrv16

="Msgsrv16"项目

删除每个项目

关闭保存Regedit，重新启动Windows

删除C:\windows\system\msgserv16.exe

OK

43. inet v2.0 - 2.0n

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：Explorer = "C:\WINDOWS\system\inet.exe"

关闭保存Regedit，重新启动Windows

删除"C:\WINDOWS\system\inet.exe"

删除"C:\WINDOWS\system\inet.dll"

OK

44. Infector v1.0 - 1.42

清除木马的步骤：

打开system.ini文件

找到shell=explorer.exe c:\path\to\trojan.exe项目

改为：shell=explorer.exe

保存关闭system.ini文件，重新启动Windows

删除c:\path\to\trojan.exe

OK

45. iniKiller v1.2 - 3.2 Pro

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：Explore="C:\windows\bad.exe "

关闭保存Regedit，重新启动Windows

删除C:\windows\bad.exe

OK

46. Intruder

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：PPModule1 = ppmod1.sys

关闭保存Regedit，重新启动Windows

删除C:\windows\system\ ppmod1.sys

删除C:\windows\system\ ppmod2.sys

OK

47. IRC3

清除木马的步骤：

打开win.ini文件

找到load=closew项目，更改为：load=

保存关闭win.ini，重新启动Windows

查找这两个文件rundlls.exe 、closew.bat

并删除它们。

OK

48. Kaos v1.1 - 1.3

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：Sys="c:\windows\shell32.exe"

关闭保存Regedit，重新启动Windows

删除c:\windows\shell32.exe

OK

49. Khe Sanh v2.0

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：TBoot0001="c:\windows\system\trjp.exe"

关闭保存Regedit，重新启动Windows

删除c:\windows\system\trjp.exe

OK

50. Kuang logger

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：K2logas.task ="C:\WINDOWS\SYSTEM\K2logas.exe"

关闭保存Regedit，重新启动Windows

删除C:\WINDOWS\SYSTEM\K2logas.exe

51. Kuang Original - 0.34

清除木马v Original版本：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：Temp$1.task = "c:\windows\system\temp$1.exe"

清除木马v 0.20-0.21版本：

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：K2PS.task = "c:\windows\system\k2ps.exe"

清除木马v 0.30-0.34版本：

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的项

目：K2PS_full.task = "c:\windows\system\k2ps_full.exe"

关闭保存Regedit，重新启动Windows

查找相对应的木马程序，并删除。

OK

52. Logger

清除木马的步骤：

打开注册表Regedit

点击目录至：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删

冰河木马如何清除

冰河可以说是最有名的木马了。标准版冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626. 一旦运行G-server，那么该程序就会在C：\\Windows\\system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。 要清除冰河，首先要删除C：\\Windows\\system下的Kernel32.exe和Sysexplr.exe文件；冰河会在注册表的HKEY_LOCAL_MACHINE\\ software\\ microsoft\\ Windows\\CurrentVersion\\Run分支下扎根，键值为C：\\Windows\\system\\Kernel32. exe，删除它。在注册表的 HKEY_LOCAL_ MACHINE\\ software\\microsoft\\Windows\\Current Version\\Runservices 分支下，还有键值为C：\\Windows\\system\\ Kernel32.exe的，也要删除。 最后，恢复注册表中的TXT文件关联功能，只要将注册表的 HKEY_CLASSES_ROOT\\txtfile\\ shell\\open\\command 下的默认值，由中木马后的C：\\Windows\\system\\ Sysexplr.exe %1改为正常情况下的C：\\Windows\\ notepad.exe %1即可。

Win10系统中了冰河木马病毒怎么解决

请勿访问陌生网站，在陌生网站浏览下载很可能导致中毒。

若电脑中存在木马或者病毒程序，安装一款安全软件（例如：电脑管家等）。使用安全软件进行扫描全盘即可发现病毒并删除。

若手机中存在木马或者病毒程序，安装一款安全软件（例如：手机管家等）。以手机管家为例，打开手机管家，点击主界面上的一键体检即可自动检测手机中存在的病毒，点击一键清除即可删除。