win10特洛伊木马严重吗

win10如何清理特洛伊木马

1.win10系统中了特洛伊木马,杀不掉怎么办

1、在win10系统桌面上，单击开始菜单，右键，运行。

2、接下来需要输入gpedit.msc，确定。 3、在本地组策略编辑器，依次打开本地计算机策略→计算机配置→管理模板→系统→系统还原。

在右侧找到“关闭系统还原”。 4、返回本地组策略编辑器，依次打开本地计算机策略→计算机配置→管理模板→Windows组件→Windows Installer。

在右侧找到“关闭创建系统还原检查点”。 5、单击已启用。

再应用，确定。 6、接下来需要输入CMD，确定。

7、输入 cacls “c:\System Volume Information” /g everyone:f （可以复制到CMD中右键粘贴），并回车。输入Y再回车。

即可删除病毒文件。 。

2.怎么彻底清除特洛伊木马病毒

其实这样的问题很简单也很容易解决，但是需要一点病毒的基础知识，在下不才，提示一些注意的方面，旨在给新手一些提醒，并希望达到抛砖引玉的效果，请各位DX以及老前辈们不吝赐教。

现在，请各位听我慢慢道来。 早在win95盛行的年代，流行在机器上的病毒，也不过就是一些文件型病毒和引导区型病毒，最大的破坏效果也就是导致系统运行变慢、文件不能运行，遇到BT一点的，还会删除或者格式化硬盘和破坏硬盘分区表。

那时的网络没有现在这样普及，个人上网还是一件“奢侈”的事情。NTFS分区也没有应用到个人家庭的PC中（仅仅在NT操作系统中应用）。

所以那个时候病毒也没有现在这样厉害，在传播性和杀伤程度上都不如现在，也没有很多的木马病毒，最多也就是“冰河木马”和“ BO ”。但是由于他们的病毒机制和语言编写方面的原因，导致他们的客户端隐蔽性不好，可以在按下“ctrl+alt+del”键的时候，被用户发现运行在内存中。

对于注册表的修改，也仅仅限于修改启动项目，使自己可以开机加载。在那个年代，我们防范病毒的意识也仅仅停留在D版软件和软盘的使用方面。

到现在我还清楚的记得，当时学校机房的老师不允许使用自己的软盘时的情景――脸拉的老长，在每个人身边渡来渡去的，要是被发现谁偷偷使用，轻者遭到横眉冷对，重者会被“驱逐出境”。而且在不了解内情的情况下，还会遭到“千夫指”――众多同学认为你是害群之马，抛以鄙夷的眼光。

（其实是老师生气，不许玩那时经典的、盼望以久的、打发时间的好游戏-“玛力兄弟”） 在那个时候杀毒也显得是那么简单（技术方面）的事情，插入张D版的K***的软盘（那时玩电脑的人手一张，代替计算机系学生证了），启动机器，一阵硬盘配合小喇叭（那时没有音箱）“滴、滴..”的声音响过，和满屏幕的“found xxxx virus ,killed！！不停的闪过，病毒就解决完了。 但是现在的病毒远远没有那么简单，不论是传播方法还是杀伤力，都更胜一筹。

由于操作系统的不断升级（98-->98se-->me-->2000-->xp），病毒也在不断的升级。过去DOS下的引导区病毒已经不是病毒世界的中心（有消息说最近引导型病毒有回升的趋势），开始发展到以木马病毒为主的局面。

由于现在网络的飞速发展和普及，几乎每个人都可以上网，所以给病毒带来了传播的“温床”。以哲学角度看问题，这些都是不可避免的（事物个有利弊么），唯有加紧防范。

而现在的木马病毒远非最初的“冰河”和“BO”那么简单。开后门、监听端口、自我隐藏、复制、偷取游戏密码、银行、股票账号及机器上其他重要信息、恶意删除文件、甚至是偷偷干掉正在运行的各种实时杀毒监控程序……等等，让我们感到防不胜防。

最初的木马不过是通过文件合并器合并成其他类型的文件引诱用户运行或者D版软件盘上本身携带，通过邮件传播的都很少。但是现在的网络安全随着我们网络更加平民化显得更加脆弱。

多少年前，我们从没有想到过浏览一个网站，就会使机器中毒的事情，现在层出不穷、笔笔皆是。（很多网友莫名其妙的中毒也是由于此类恶意网站所至）如何防范网络安全，如何使自己免受病毒困扰，成了现在每个人关心的话题。

毕竟病毒带给我们的损失太大了。当年CIH病毒肆虐的时候导致主板报废的消息，震惊了多少业界人士。

在这里我提醒大家注意的一点就是：“千万不要以为杀毒软件是万能的，有了正版杀毒软件和最新病毒库就‘无敌'了！”这是极其错误的概念。毕竟病毒数据库都是在出现新病毒之后，分析出病毒代码填充的，才可以查杀。

万一哪天“横走江湖”的你正好“倒霉”，遇见“新品种”，偏偏又是一个“狠角”%#……^#￥^#%#…… 恐怕到时候预哭无泪啊！杀毒软件永远是跑在病毒后面的“追捕”，而不是预知灾难和未来的“先知”。先有鸡和先有蛋的问题也许我们永远也弄不清楚，但是病毒和杀毒软件两者，永远是病毒在先！请大家时刻注意自我安全防范。

谨记！！ 病毒的简单发展和危害，我想给大家介绍的差不多了，接着就是要回答大家提出的为什么有些病毒“杀不掉”或者“再次回来”这个问题。其实这两个问题涉及的完全是同一个方面，就是是如何杀毒？别笑，杀毒不是每个人都会的。

有人认为“不就是简单的WIN操作么？在windows下运行瑞星就可以了，我常常那么杀，也没有什么问题啊？”实际非也。我只能说那是你老兄运气好，运气不好的可是大多数。

绝对不要在带毒环境下杀毒，那样做几乎是零效果。 现在拥有电脑的朋友们，很多没有经历过DOS时代（绝非以老卖老），仅仅是在图形桌面和鼠标点击下成长的，所以对于引导区、病毒的传染、复制方面不是很了解，有的甚至跟本就不了解。

甚至是谈“毒”色变，把机器一切不正常现象都归于-“是有病毒了吧？”非也，告诉大家病毒很简单，人做的程序而已，别怕。其实病毒机理无非就是“感染-》优先运行-》自我复制-》隐藏、破坏-》传播”几个步骤。

熟悉了这些，我们就可以知道，杀毒到底要从什么方面入手。先就简单的说说病毒的感染和传播方法。

1、引导区型病毒 感染启动扇区（包括软盘），在每次开机时读区引导。

3.怎磨删除特洛伊木马病毒

下面是我前几天中木马病毒后搜集的一点资料，我按照上面的方法清除了病毒。

你看一下。 一、请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下（如果系统已经做了此设置可以跳过这一步）： 打开“我的电脑”； 依次打开菜单“工具/文件夹选项”； 然后在弹出的“文件夹选项”对话框中切换到“查看”页； 去掉“隐藏受保护的操作系统文件（推荐）”前面的对钩，让它变为不选状态； 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项； 去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态； 最后点击“确定”。

二、按“Ctrl+Alt+Del”键弹出任务管理器，找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步，只所以要迅速是因为如果动作慢的话，木马可能会自动恢复而再次运行起来，这样就无法删除掉其他木马文件了（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）； 在这里注意可疑的木马程序有以下几类：（如果有下面的一种或几种，应注意在注册表里删除对应的项） C:\WINDOWS\system32\expiorer.exe C:\WINDOWS\system32\iexp1ore.exe C:\WINDOWS\system32\iexpl0re.exe C:\WINDOWS\system32\wsvbs.dll C:\DOCUME~1\HP\LOCALS~1\Temp\LgSym.dll C:\DOCUME~1\HP\LOCALS~1\Temp\LgSyzr.dll C:\WINDOWS\system32\windhcp.ocx C:\WINDOWS\system32\userspi.dll C:\WINDOWS\system32\xpdhcp.dll C:\DOCUME~1\HP\LOCALS~1\Temp\LgSyz.dll 三、打开资源管理器进入到 “系统目录\\Winnt\\System32”下（如果您的win2000/nt/xp安装在C盘则就是 C:\\Winnt\\System32）。

找到EXPL0RER.EXE文件（注意第5个字母是数字0不是字母O）、SysModule32.dll文件，然后直接删除它们。如果这时报告“文件正在使用无法删除”的类似提示则说明木马已经再次恢复了，需要从第二步开始重复做，并且从第二步到第三步一定要迅速，这里建议可以先打开资源管理器选中这几个待删除的文件，在做第二步即刚结束掉EXPL0RER.EXE进程后马上转过来删除这2个文件，这样一般就可以成功了； 四、同样在 “系统目录\\Winnt\\System32”目录下找到 SysModule64.dll 文件，尝试删除它，不过如果这时报告“此文件正在使用中无法删除”等类似提示也没有关系，稍后在第七步将介绍如何删除此文件； 五、打开资源管理器进入到 “系统目录\\Winnt”下，找到一个 MFCD3O.DLL 文件，手工删除它； 六、打开“开始/运行”，输入“regedit”后“确定”以打开注册表编辑器，找到“HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}”键，把整个“{081FE200-A103-11D7-A46D-C770E4459F2F}”键全部删除。

七、注销当前用户或重新登录或重启电脑。之后再按第四步的方法删除掉 SysModule64.dll 文件，如果一切正常此时应该可以删除掉它了。

至此，如果一切顺利木马就应该完全从您系统中清除干净了。

4.如何手动清除特洛伊木马

首先我查看启动项，发现启动项多了Servere,c0nime,crasos,rundl132,winlog0n,servicer，这些启动项对应的可执行文件都在C:\Documents and Settings\Administrator\Local Settings\Temp目录下；我先清除这些启动项，然后转到C:\Documents and Settings\Administrator\Local Settings\Temp目录下，将该目录所有文件都删除，最后还剩下下面几个文件（Gjzo0.dll,LgSy0.dll,Msxo0.dll,Qqzo0.dll,Rav20.dll,Rav30.dll,Wmzo0.dll）删除不掉这些应该就是该木马所用到的一些动态链接库文件了。

下一步就应该分析木马所在的进程了，打开进程管理器（注：我用的是Window优化大师里面带的进程管理器），查看进程列表，没有发现可疑进程，估计嵌入到系统进程了；一般病毒和木马都喜欢寄生在这些系统进程里面，如EXPLORER.EXE,IEXPLORE.EXE,SVCHOST.EXE等，而是我开始仔细分析这些进程所用到的模块列表，果然在EXPLORER.EXE进程里面发现了Gjzo0.dll,LgSy0.dll,Msxo0.dll,Qqzo0.dll,Rav20.dll,Rav30.dll,Wmzo0.dll这些模块

清除病毒

既然已经找到了木马的藏身之地，那么要查杀就很简单了，我先打开Window任务管理器，找到EXPLORER.EXE进程将其结束掉（这时桌面和任务栏会消失，不要最小化任务管理器），然后将Temp目录下的Gjzo0.dll,LgSy0.dll,Msxo0.dll,Qqzo0.dll,Rav20.dll,Rav30.dll,Wmzo0.dll都删除，因为这时桌面和任务栏都已经消失了，可能删除起来比较麻烦，不过只要找到一个可以打开文件对话框的应用程序就行了，所以前面我说明了不要最小化任务管理器，我们可以利用任务管理器的新建任务菜单弹出的文件浏览对话框里找到Temp文件加，将这几个文件逐一删除（注意：在文件浏览对话框下面的文件类型下拉框里要选择所有文件，默认只显示可执行文件），最后在任务管理器-〉文件-〉新建任务-〉在系统Windows(WIN2000,NT为WINNT)文件夹下面找到EXPLORER.EXE文件，点确定就好了，这样木马就被彻底清除了。

5.如何手动清除特洛伊木马

特洛伊木马的名字取自古希腊神话的特洛伊木马记，是一种基于远程控制的黑客工具，对普通用户来说，它的隐藏性和危害性是相当的大。

为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己，加载运行的目的。这里，我们简要的介绍一下木马通用的激活方式，它们的藏身地，并通过一些实例来让您体会一下手动清除木马的方法。

木马藏身地及通用排查技术 ●在Win.ini中启动木马： 在Win.ini的[Windows]小节中有启动命令“load=”和“run=”，在一般的情况下“=”后面是空的，如果后面跟有程序，比如： run=C:Windows ile.exe load=C:Windows ile.exe 则这个file.exe很有可能就是木马程序。 ●在Windows XP注册表中修改文件关联： 修改注册表中的文件关联是木马常用的手段，如何修改的方法已在本系列的前几文中有过阐述。

举个例子，在正常情况下txt文件的打开方式为Notepad.exe（记事本），但一旦感染了文件关联木马，则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”，就是将注册表HKEY_CLASSES_ROOT 子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”，这样，当你双击一个txt文件时，原本应该用记事本打开的文件，现在就成了启动木马程序了。

当然，不仅是txt 文件，其它类型的文件，如htm、exe、zip、com等文件也都是木马程序的目标，要小心。 对这类木马程序，只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支，查看其值是否正常。

●在Windows XP系统中捆绑木马文件： 实现这种触发条件首先要控制端和服务端已通过木马建立连接，控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原有文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被重新安装了。如果捆绑在系统文件上，则每次Windows XP启动都会启动木马。

●在System.ini中启动木马： System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所，木马通常的做法是将该语句变为这样： Shell=Explorer.exe file.exe 这里的file.exe就是木马服务端程序。 另外，在[386enh]小节，要注意检查在此小节的“driver=path程序名”，因为也有可能被木马利用。

[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的，所以也是添加木马的理想场所。 ●利用Windows XP注册表加载运行： 注册表中的以下位置是木马偏爱的藏身之所： HKEY_CURRENT_子键分支下所有以“run”开头的键值项数据。

HKEY_LOCAL_子键分支下所有以“run”开头的键值项数据。 HKEY_USERS.子键分支下所有以“run”开头的键值项数据。

●在Autoexec.bat和Config.sys中加载运行木马： 要建立控制端与服务端的连接，将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽，所以这种方式并不多见，但也不能掉以轻心。

●在Winstart.bat中启动木马： Winstart.bat也是一个能自动被Windows XP加载运行的文件，多数时由应用程序及Windows自动生成，在执行了Win.com或者Kernel386.exe，并加载了多数驱动程序之后开始执行（这可以通过在启动时按F8选择逐步跟踪启动过程的启动方式得知）。由于Autoexec.bat的功能可以由 Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行。

木马病毒的通用排查技术 现在，我们已经知道了木马的藏身之处，查杀木马自然就容易了。如果您发现计算机已经中了木马，最安全最有效的方法就是马上与网络段开，防止计算机骇客通过网络对您进行攻击，执行如下步骤： l 编辑Win.ini文件，将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”,“load=”。

l 编辑System.ini文件，将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。 l 在Windows XP注册表中进行修改：先在HKEY_LOCAL_子键分支下找到木马程序的文件名删除，并在整个注册表中查找木马程序，将其删除或替换。

但可恶的是，并不是所有的木马程序都只要删除就能万事大吉的，有的木马程序被删除后会立即自动添上，这时，您需要记下木马的位置，即它的路径和文件名，然后退到DOS系统下，找到这个文件并删除。重启计算机，再次回到注册表中，将所有的木马文件的键值项删除。

6.特洛伊木马怎么彻底删除

特洛伊木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在你并不知情的的状态下控制你或者监视你的电脑。

下面就讲讲木马经常藏身的地方和清除方法。 首先查看自己的电脑中是否有木马 1、集成到程序中 其实木马也是一个服务器-客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。 2、隐藏在配置文件中 木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。

而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心哦。

3、潜伏在Win.ini中 木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。

大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果有后跟程序，比方说是这个样子：run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了，这个file.exe很可能是木马哦。 4、伪装在普通文件中 这个方法出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。

具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标， 再把文件名改为*.jpg.exe， 由于Win98默认设置是"不显示已知的文件后缀名"，文件将会显示为*.jpg， 不注意的人一点这个图标就中木马了（如果你在程序中嵌一张图片就更完美了）。 5、内置到注册表中 上面的方法让木马着实舒服了一阵，既没有人能找到它，又能自动运行，真是快哉！然而好景不长，人类很快就把它的马脚揪了出来，并对它进行了严厉的惩罚！但是它还心有不甘，总结了失败教训后，认为上面的藏身之处很容易找，现在必须躲在不容易被人发现的地方，于是它想到了注册表！的确注册表由于比较复杂，木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁大眼睛仔细看了，别放过木马哦：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。

6、在System.ini中藏身 木马真是无处不在呀！什么地方有空子，它就往哪里钻！这不，Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorer.exe file.exe，如果确实有这样的内容，那你就不幸了，因为这里的file.exe就是木马服务端程序！另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径\程序名”，这里也有可能被木马所利用。

再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。 7、隐形于启动组中 有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶跑（哎，这木马脸皮也真是太厚），因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。

动组对应的文件夹为：C:\windows\start menu\programs\startup，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦！ 8、隐蔽在Winstart.bat中 按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。

这不，Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

9、捆绑在启动文件中 即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作。

7.特洛伊木马怎么清除

100种木马手工清除方法 有很多新手对安全问题了解比较不多，计算机种了特洛伊木马不知道怎么样来清除。

虽 然现在有很多的清除特洛伊木马的软件，可以自动清除木马。但你不知道木马是怎样在 计算机中运行的，如果你看了这篇文章之后，你就会明白一些木马的原理。

虽然收集了很多木马的资料，但我也不能保证全部正确。 1. 冰河v1.1 v2.2 这是国产最好的木马 作者：黄鑫 清除木马v1.1 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 查找以下的两个路径，并删除 " C:\windows\system\ kernel32.exe" " C:\windows\system\ sysexplr.exe" 关闭Regedit 重新启动到MSDOS方式 删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序 重新启动。

OK 清除木马v2.2 服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。 因此，不能明确说明。

你可以察看注册表，把可疑的文件路径删除。 重新启动到MSDOS方式 删除于注册表相对应的木马程序 重新启动Windows。

OK 2. Acid Battery v1.0 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer ="C:\WINDOWS\expiorer.exe" 关闭Regedit 重新启动到MSDOS方式 删除c:\windows\expiorer.exe木马程序 注意：不要删除正确的ExpLorer.exe程序，它们之间只有i与L的差别。 重新启动。

OK 3. Acid Shiver v1.0 + 1.0Mod + lmacid 清除木马的步骤： 重新启动到MSDOS方式 删除C:\windows\MSGSVR16.EXE 然后回到Windows系统 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE" 关闭Regedit 重新启动。OK 重新启动到MSDOS方式 删除C:\windows\wintour.exe然后回到Windows系统 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE" 关闭Regedit 重新启动。

OK 4. Ambush 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 删除右边的zka = "zcn32.exe" 关闭Regedit 重新启动到MSDOS方式 删除C:\Windows\ zcn32.exe 重新启动。OK 5. AOL Trojan 清除木马的步骤： 启动到MSDOS方式 删除C:\ command.exe（删除前取消文件的隐含属性） 注意：不要删除真的command.com文件。

删除C:\ americ~1.0\buddyl~1.exe（删除前取消文件的隐含属性） 删除C:\ windows\system\norton~1\regist~1.exe（删除前取消文件的隐含属性） 打开WIN.INI文件 在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径，必须清除它们： run= load= 保存WIN.INI 还要改正注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的WinProfile = c:\command.exe 关闭Regedit，重新启动Windows。OK 6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1 清除木马的步骤： 注意：木马程序默认文件名是wincmp32.exe，然而程序可以随意改变文件名。

我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。 打开system.ini文件 在[BOOT]下面有个"shell=文件名"。

正确的文件名是explorer.exe 如果不是"explorer.exe"，那么那个文件就是木马程序，把它查找出来，删除。 保存退出system.ini 打开win.ini文件 在[WINDOWS]下面有个run= 如果你看到=后面有路径文件名，必须把它删除。

正确的应该是run=后面什么也没有。 =后面的路径文件名就是木马，把它查找出来，删除。

保存退出win.ini。 OK 7. AttackFTP 清除木马的步骤： 打开win.ini文件 在[WINDOWS]下面有load=wscan.exe 删除wscan.exe ，正确是load= 保存退出win.ini。

打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Reminder="wscan.exe /s" 关闭Regedit，重新启动到MSDOS系统中 删除C:\windows\system\ wscan.exe OK 8. Back Construction 1.0 - 2.5 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的"C:\WINDOWS\Cmctl32.exe" 关闭Regedit，重新启动到MSDOS系统中 删除C:\WINDOWS\Cmctl32.exe OK 9. BackDoor v2.00 - v2.03 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\。

转载请注明出处windows之家 » win10特洛伊木马严重吗