手工查杀木马病毒的一般详细步骤

手工清理病毒原来可以如此简单今天我们以今年泛滥比较严重的病毒之一的“AV终结者”的手工清理方法来像大家讲述如何手工清理这类非感染exe文件类型的病毒（本次讲述的办法在清理完病毒源头以后借助专杀工具依然可以适用于清理感染exe类病毒）。

第一步：知己知彼，百战百胜要战胜AV终结者，我们先要了解自己的处境和它的特性还有弱点。

首先我们来了解下AV终结者的执行以后的特征：1.在多个文件夹内生成随机文件名的文件旧版本的AV终结者在任务管理器里可以查看2个随机名的进程，新的变种文件名格式发生变化，目前我遇到过2种。

一种是随机8个字母+数字.exe和随机8个字母+数字.dll；另一种是6个随机字母组成的exe文件和inf文件。

不管变种多少它们保存的路径大概都是如下几个：C:\windowsC:\windows\helpC:\Windows\TempC:\windows\system32C:\Windows\System32\driversC:\Program Files\C:\Program Files\Common Files\microsoft shared\C:\Program Files\Common Files\microsoft shared\MSInfoC:\Program Files\Internet Explorer以及IE缓存等这个是我个人总结出来的，随着病毒的变种。

获取还有其他的。

我这里只提供参考。

2.感染磁盘及U盘当你的系统中了AV终结者，你会发现你的磁盘右键打开时将出现一个”Auto”也就是自动运行的意思，此时你的电脑已经中毒了，而且如果你这个时候企图插入移动硬盘、U盘，或者刻录光盘以保存重要资料，都将被感染。

这也就为什么许多用户重装完系统甚至格式化磁盘以后病毒依然的原因。

当你重装完系统，必定会有双击打开硬盘寻找软件或者驱动的时候，这个时候寄生在你磁盘根目录内的Autorun.inf文件就起到让病毒起死回生的功能了。

实验网络木马手工查杀（一）【实验目的】掌握dos或安全模式下的查杀木马病毒的方法【实验原理】注：请在虚拟机中做杀毒实训。

3．实验步骤：一、把老师给你的木马程序，放入操作系统中。

注：双击病毒之前，请用netstat /ano查看一下端口二、双击其中一个csgame.exe程序。

三、查找生成的程序在电脑的哪些地方，并查看其开放的端口；Netstat /ano 看异常端口，再看对应的进程号（记得进行比校）Tasklist 根据上面的进程号，找到这个进程名四、利用已学的方法，在安全模式下手工查杀该病毒程序请杀死该进程ntsd /c q /p 进程号或者用taskkill /im 进程名；五、在所有盘上查找那个进程名，然后删除之，并记住它的生成日期时间，再到所有盘上查找同一日期时间生成的文件，那些就一定是病毒的副本或“尾巴”，再将其删除。

六、再到注册表中，查找所有的病毒母体文件和副本，并删除之；若是附在正常的注册表键值路径下，只要删除病毒文件。

进注册表的方法：“运行”中输入regedit,即可进入。

七、最后再进入“启动”项，在“运行”中输入msconfig,即可进入。

在“启动“项中，查找一下，是否有病毒文件，若有的话，请将左的的勾去掉。

八、最后检测该病毒是否已查杀干净，若干净重启机器，其端口就不见了。

若刚才的病毒在正常模式或者安全模式下，不能删除，请住病毒在那些盘中及它的路径，再到纯DOS下，用DOS删除之。

一般要用到的DOS命令如下：DirCdRdDelDeleteAttribXcopyCopy注：以上操作步骤，须详细的操作步骤和文字说明并截图。

如何处理计算机中的木马病计算机病毒是计算机系统中的常见问题。

木马病毒是一种在计算机系统中具有恶意行为的程序。

木马病毒通过欺骗用户来获取系统权限并同时偷窃用户的敏感信息。

本文将阐述如何处理计算机中的木马病毒。

注：以下操作仅供参考，具体操作以电脑硬件及软件、网络环境等因素而异。

1. 安装杀毒软件安装杀毒软件是防止计算机感染病毒的关键。

用户应经常更新自己的杀毒程序，以确保其始终能够检测到最新的病毒。

2. 运行杀毒软件进行全盘扫描使用杀毒软件运行全盘扫描，以检测和清除任何木马病毒。

全盘扫描需要花费较长时间，但可以确保系统中没有任何病毒。

3. 手动删除木马病毒如果杀毒软件无法清除木马病毒，可以尝试手动删除病毒。

手动删除病毒的步骤因病毒类型而异。

通常，用户需要在系统中找到病毒并手动删除或移动。

4. 重置密码如果用户使用的是在计算机上存储密码的应用程序，则应在木马病毒感染后重置密码。

这是因为木马病毒可能会记录用户的密码并将其发送给攻击者。

5. 升级操作系统木马病毒可能通过利用操作系统中的漏洞来感染系统。

用户应定期升级其操作系统，以确保其保持最新状态。

6. 避免下载未知软件截止目前，很多木马病毒都是通过下载未知软件而感染计算机的。

因此，用户应警惕不明来源或虚假的软件，以降低感染木马病毒的风险。

7. 避免在公用电脑上输入敏感信息在公共场所（例如互联网咖啡店）使用公用电脑时，应避免输入敏感信息，例如银行账号和密码。

这是因为公共电脑更容易受到木马病毒等攻击。

总结木马病毒是计算机系统中的严重问题，可能会导致用户信息被盗，系统崩溃等情况。

为了防止木马病毒的感染，用户应使用杀毒软件，进行全盘扫描，定期更新操作系统等，降低感染病毒的风险。

如果已经感染了木马病毒，用户可以手动删除或升级操作系统，以消除病毒。

没有杀毒软件如何徒手消灭电脑中的病毒想要消灭电脑中的病毒，但是没有杀毒软件你知道怎么徒手消灭电脑中的病毒吗?那么没有杀毒软件如何徒手消灭电脑中的病毒的呢?下面是店铺收集整理的没有杀毒软件如何徒手消灭电脑中的病毒，希望对大家有帮助~~没有杀毒软件徒手消灭电脑中的病毒的方法一、杀除自启动病毒自动启动文件夹的病毒打开位于“C:\Users\Administrator\AppData\Roaming\Microsoft\Window s\Start Menu\Programs\Startup”(XP系统：C:\document and setting\all users\开始菜单\程序\启动)的文件夹，一般情况下这个文件夹下什么东西也没有。

而有些病毒喜欢把执行文件拷贝到这个文件下。

组策略设置中的病毒步骤："开始"-“运行”- 输入gpedit.msc - 打开左侧“用户配置”- “管理模板”- “系统”- “登陆” - “在用户登陆时运行这些程序”- 查看是否已启用 -如果已启用，点击显示可查看启动的程序。

找出注册表启动项中的病毒步骤："开始"-“运行”- 输入regedit -在注册表run和runonce 分支下查看是否有陌生的键值找出服务列表中的病毒步骤："开始"-“运行”- 输入services.msc - 找出陌生服务，并停止 -在常规标签中找到可执行文件的路径并删除找出系统配置程序中的病毒步骤："开始"-“运行”- 输入msconfig-在启动项中查看陌生程序(一般陌生程序的可执行路径为system32,很可能它就是病毒) 用以上5中手工方法找出病毒后一般可以找到病毒的可执行文件的路径，删除它就可以杀掉病毒。

二、杀除dll病毒查找可以进程步骤：运行- cmd - 输入netstat -ano -tasklist /m列出进程详细信息- 把信息全部保存在记事本a1.txt中找出可疑模块在正常的电脑上上导出进程信息a2.txt，然后再cmd窗口中输入fc a1.txt a2.txt，缩小查找范围-最终找出木马病毒。

如何手动查杀电脑病毒我的电脑中了许多病毒!想要手动查杀下病毒!用什么方法最好呢?下面由店铺给你做出详细的手动查杀电脑病毒方法介绍!希望对你有帮助!手动查杀电脑病毒方法一：要想手动杀毒,首先你得晓得病毒所在的位置,当你能确认那个文件就是你所说的病毒,那么就可以将它点右键删除(DELETE)或是(SHIFT+DELETE),假若无法将其删除就点右键看看它的属性,若在存档那前面已经被打上了勾的话,就把勾给去掉,然后再重复开始的那个动作... ...假若仍然无法将其删除就重起计算机按F8键进入安全模式下将其删除对它仍然无效的话还可以进入DOS下输入命令将其删除以上的办法都没能将它删除的话,就只有在运行里输入"REGEDIT"进入注册表里修改那文件的键值后将其删除手动查杀电脑病毒方法二：自己手动查杀病毒和木马时下，病毒、木马可谓越来越多，而且经常造访我们的“爱机”，给工作带到来极大的不便!如此之多的病毒、木马，若要都用杀毒软件来杀的话，并非确保全盘杀掉，况且有的病毒出现快杀毒软件还未来得及更新病毒库就已侵袭了我们的电脑，在这种情况下，如何是好呢?是否一筹莫展呢?非也，您不妨按照如下步骤自已动手进行删除。

1、检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地址，再将可疑的删除。

2、删除上述可疑键在硬盘中的执行文件。

3、一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat文件，有则删除之。

4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main中的几项(如Local Page)，如果被修改了，改回来就可以。

5、检查HKEY_CLASSES_ROOT\inifile\shell\open\command 和 HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。

木马病毒是什么怎么手工清除木马病毒电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作都会导致病毒入侵。

木马病毒(木马程序)是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

下面一起看看清除方法!手工清除木马病毒具体方法如下：提示：以下修改注册表等相关操作具备风险，请慎重操作。

1.清除每次开机时自动弹出的网页其实清除每次开机时自动弹出的网页方法并不难，只要你记住地址栏里出现的网址，然后打开注册表编辑器(方法是在点击“开始”菜单，之后点击“运行”，在运行框中输入regedit命令进入注册表编辑器)，分别定位到：HKEY_CURRENT_USER/Software/Microsoft/Windows/Curre ntVersion/Run和HKEY_CURRENT_USER/Software/Microsoft/Windows/Curre ntVersion/Runonce下，看看在该子项下是否有一个以这个网址为值的值项，如果有的话，就将其删除，之后重新启动计算机。

这样在下一次开机的时候就不再会有网页弹出来了。

不过网页恶意代码的编写者有时也是非常的狡猾，他会在注册表的不同键值中多处设有这个值项，这样上面提的方法也未必能完全解决问题。

遇到这种情况，你可以在注册表编辑器的选项菜单里选择“编辑”→“查找”，在“查找”对话框内输入开机时自动打开的网址，然后点击“查找下一个”，将查找到的值项删除。

2.IE标题栏被修改具体说来受到更改的注册表项目为：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/Main/Window TitleHKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Window Title解决办法：①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键;②展开注册表到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下，在右半部分窗口中找到串值“Window Title” ，将该串值删除即可，或将Window Title的键值改为“IE浏览器”等个人喜欢的名字;③同理，展开注册表到HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main然后按②中所述方法处理。

手工杀毒之三十六计””手工杀毒之““三十六计计算机病毒已经越来越多的严重的威胁用户的信息安全，不论您是个人还是企业用户，掌握如何去清楚木马病毒，显得十分迫切。

本文将介绍几种清楚病毒的常用方法……电脑用户与病毒、木马的斗争不亚于一场战争，而且旷日持久!战争中，杀毒软件或存妇人之仁，不能除恶务尽，或悄无声息地倒下了。

伟大的孙子兵法，不仅被应用于人类社会的战争，而且适用于这场战争。

在与病毒、木马的赤膊大战中灵活运用孙子兵法，你就会取得最后的胜利。

下面看我手工杀毒之“三十六计”......一、声东击西说明：在平常的操作中，一些病毒因为正被调用而无法删除，我们常常要到DOS环境下查杀。

根据病毒、木马运行的机制，我们可以采用忽东忽西，即打即离的战术，制造假象，引诱它们作出错误判断，然后乘机歼灭它们。

实例：我遭遇一个无法删除的病毒“C：\Program Files\CommonFiles\PCSuite\rasdf.exe”，同时也无法复制这个文件，如何清除它?工具：Windows自带的备份程序操作：第一步：单击“开始→所有程序→附件→系统工具→备份”，打开备份或还原向导窗口，备份项目选择“让我选择要备份的内容”，定位到“C:\Program Files\CommonFiles\PCSuite”。

第二步：继续执行备份向导操作，将备份文件保存为“g:\virus.bkf”，备份选项勾选“使用卷阴影复制”，剩余操作按默认设置完成备份。

第三步：双击“g:\virus.bak”，打开备份或还原向导，把备份还原到“g:\virus”。

接着打开“g:\virus”，使用记事本打开病毒文件“rasdf.exe”，然后随便删除其中几行代码并保存，这样病毒就被我们使用记事本破坏了(它再也无法运行)。

第四步：操作同上，重新制作“k:\virus”的备份为“k:\virus1.bkf”。

然后启动还原向导，还原位置选择“C：\Program Files\Common Files\PCSuite\”，还原选项选择“替换现有文件”。

手工排查病毒木马小弟总结的手工排查的方法，方法如下：很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，我怎么知道是什么病毒啊？其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。

世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。

虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。

一般格式为：<病毒前缀>.<病毒名>.<病毒后缀> 。

病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。

不同的种类的病毒，其前缀也是不同的。

比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。

病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。

病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。

一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。

如果该病毒变种非常多（也表明该病毒生命力顽强^_^），可以采用数字与字母混合表示变种标识。

综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。

通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。

而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。

病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。

手工查杀木马病毒4七、自启动自启动项的检查与清除，毫无疑问是查杀木马的关键手段与方法。

而且，清掉木马的自启动项，让其自然而亡，是最优雅的杀马方法，不那么暴力也就轻易不会遇到反击。

对驱动级的或注入型的木马，这种手段更显其优越性。

而自启动项的选择与设置，更是一种创意的体现，一些非技术型的木马通常可在此看到其作者非同一般的创造性思维。

自启动，顾名思义，就是无须用户干预而自行启动的程序，按启动方式又分为两种，一种是开机自运行的程序；一种是触发式启动的程序。

下面我们将分别来解剖之，但在此之前，我们先要学习一些基础的知识：1、注册表基础由于大多数的自启动位置都在注册表中，所以，首先，我们需要了解“注册表”是什么。

注册表从功能上说，它是一个存储各种设置信息的数据仓库，系统的全部设置几乎都存在那里，比如：你用的是什么墙纸、什么屏保、IE的首页、IE窗口的大小等等。

当然了，开机时需要加载的驱动、开启的服务、运行的程序等等也都存储在这里。

而从实质上来说呢，注册表其实是由一些记录配置信息的文件组成的，这些文件中的大部分存在“\Windows\System32\Config\”目录下，还有一部分存在用户配置文件夹中，也就是下面将要讲到的03-24图中的用户文件夹中。

这些文件有一个很难听的名字叫做储巢，也就是朋友可能听过的HIVE文件。

由于注册表对系统实在是太重要的了，任何损坏都有可能造成系统彻底的崩溃，所以，系统对注册表的保护也是很严密的，正常情况下，你无法对注册表HIVE文件进行任何的直接操作。

你不仅无法打开、修改，你甚至无法进行拷贝操作。

而系统保护注册表的手段，就是由系统以独占的方式打开注册表文件，这样你的任何针对此文件的操作，都将被拒绝。

打开狙剑，选择“进程管理”，在进程列表中选中“system”进程，再选择“查看打开的文件”，就可以看到系统打开的所有文件，看上图中蓝条选中的那一项，是不是就是我们无法进行操作的“\Windows\System32\Config\system”文件呢？注意：狙剑提供了关闭其它进程打开的文件的功能，关闭后，本来无法操作的文件就可以进行正常的操作了。

教你如何手动查杀电脑中的木马首先要知道木马的种类，木马是属于病毒的一种，他起的作用其实就是类似于间谍的功能。

木马从诞生到现在已经有很多的种类，而且到现在的木马往往不会是单一的功能。

但想去查杀一个木马首先必须知道木马的种类。

1、破坏删除型这类的木马的功能就是删除计算机里的文件：如 DLL、EXE、INI类型的文件。

它就像一个定时炸弹，只要黑客一激活，那么他就开始肆意的破坏，而且一点不比病毒差。

2、远程控制型这类木马就是在你计算机内注入一个客户端程序，可以让服务端的人完全控制他人机器，监视屏幕动作，查看计算机磁盘内任何文件，可以进行任何操作，包括关机、重起。

这类木马是数量最多，危害最大的。

冰河、广外女生、灰鸽子都是国内知名的远程控制木马3、密码发送型前段时间在我们论坛官员飞火身上发生的盗号事件，我看来就是这类木马在捣鬼。

这类木马只要一开始运行，就开始自动搜索内存、Cache文件以及各类文件，一旦搜索到有用的密码，就自动将密码发送到预先指定好的QQ邮箱中去。

4、键盘记录型在传奇这一大网络游戏盛行的前两年，也是键盘记录木马盛行的几年。

不过这类木马是非常简单的，顾名思义他们只进行记录受害者的键盘敲击并且在LOG文件里查找密码。

只要你在键盘上输入什么一木马都能记录下来，像QQ阿拉大盗、传奇木马都是属于这一类型的。

5、DOS攻击型DOS木马不是用来破坏被注入的机子，而是借用这台被注入的机子去攻击另外的机子有点类似于传销，不停的给自己发展“下线”。

给网络造成堵塞。

6、代理型木马为了隐藏自己，就给被注入的机子种上代理木马，让他成为攻击的跳板去间接的攻击别人。

7、FTP型这类的木马和网页木马一样，打开着21端口，等待着别人来连接。

只要一连接上FTP服务器或者一打开网页，木马就自动注入机子运行。

这就是所谓的守株待兔。

8、程序杀手型前几种木马再如何隐蔽也会被杀毒软件给查杀，而这种吗就是关闭机子上运行的杀毒软件、防火墙，类似于工兵、探路先锋的角色。

新人上手指南电脑木马查杀大全一、手工方法：1、检查网络连接情况由于不少木马会主动侦听端口，或者会连接特定的IP和端口，所以我们可以在没有正常程序连接网络的情况下，通过检查网络连情情况来发现木马的存在。

具体的步骤是点击“开始”->“运行”->“cmd”，然后输入netstat -an 这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口，它包含四个部分――proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。

通过这个命令的详细信息，我们就可以完全监控电脑的网络连接情况。

2、查看目前运行的服务服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。

我们可以通过点击“开始”->“运行”->“cmd”，然后输入“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们可以进入“服务”管理工具中的“服务”，找到相应的服务，停止并禁用它。

3、检查系统启动项由于注册表对于普通用户来说比较复杂，木马常常喜欢隐藏在这里。

检查注册表启动项的方法如下：点击“开始”->“运行”->“regedit”，然后检查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值；HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值。

Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。

打开这个文件看看，在该文件的[boot]字段中，是不是有 shell=Explorer.exe file.exe 这样的内容，如有这样的内容，那这里的file.exe就是木马程序了！4、检查系统帐户恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。

系统安全:剿清删不掉的DLL木马DLL注入木马是目前网络上十分流行的木马形式，它就像是一个寄生虫，木马以DLL文件的形式，寄宿在某个重要的系统进程中，通过宿主来调用DLL文件，实现远程控制的功能。

这样的木马嵌入到系统进程中可以穿越防火墙，更让人头疼的是，用杀毒软件进行查杀，杀软即使报警提示发现病毒，但是也无法杀掉木马病毒文件，因为木马DLL文件正被宿主调用而无法删除。

下面我们把杀软放到一边，通过专用工具及其手工的方法来清除DLL木马。

一、清除思路1、通过系统工具及其第三方工具找到木马的宿主进程，然后定位到木马DLL文件。

2、结束被木马注入的进程。

3、删除木马文件。

4、注册表相关项的清除。

二、清除方法1、普通进程DLL注入木马的清除有许多DLL木马是注入到“iexplore.exe”和“explorer.exe”这两个进程中的，对于注入这类普通进程的DLL木马是很好清除掉的。

如果DLL文件是注入到“iexplore.exe”进程中，此进程就是IE浏览进程，那么可以关掉所有IE窗口和相关程序，然后直接找到DLL文件进行删除就可以了。

如果是注入到“explorer.exe”进程中，那么就略显麻烦一些，因为此进程是用于显示桌面和资源管理器的。

当通过任务管理器结束掉“explorer.exe”进程时，桌面无法看到，此时桌面上所有图标消失掉，“我的电脑”、“网上邻居”等所有图标都不见了，也无法打开资源管理器找到木马文件进行删除了。

怎么办呢?这时候可以在任务管理器中点击菜单“文件”→“新任务运行”，打开创建新任务对话框，点击“浏览”挖通过浏览对话框就可以打开DLL文件所在的路径。

然后选择“文件类型”为“所有文件”，即可显示并删除DLL了。

(图1)提示：如果你熟悉命令行(cmd.exe)的话，可以直接通过命令来清除，如：taskkill /f /im explorer.exedel C:\Windows\System32\test.dllstart explorer.exe第一行是结束explorer.exe，第二回是删除木马文件test.dll，第三行是重启explorer.exe。

网络常见木马的手工清除方法木马的出现对我们的系统造成了很大的危害，但是由于木马通常植入得非常隐蔽，很难完全删除，因此，这里我们介绍一些常见木马的清除方法。

1. 网络公牛（Netbull）网络公牛是国产木马，默认连接端口23444。

服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:\WINDOWS\SYSTEM下，下次开机checkdll.exe将自动运行，因此很隐蔽、危害很大。

同时，服务端运行后会自动捆绑以下文件:win2000下：notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe。

服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上，在注册表中网络公牛也悄悄地扎下了根。

网络公牛采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难。

这样做也有个缺点：容易暴露自己！只要是稍微有经验的用户，就会发现文件长度发生了变化，从而怀疑自己中了木马。

清除方法：1.删除网络公牛的自启动程序C:\WINDOWS\SYSTEM\CheckDll.exe。

2.把网络公牛在注册表中所建立的键值全部删除：3.检查上面列出的文件，如果发现文件长度发生变化（大约增加了40K左右，可以通过与其它机子上的正常文件比较而知），就删除它们！然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件(E)”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可。

如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了，那就得把这些文件删除，再重新安装。

2. Netspy（网络精灵）Netspy又名网络精灵，是国产木马，最新版本为3.0，默认连接端口为7306。

（木马）的手动杀除方法木马清除 1、查获木马机器中木马那是经常的事了，可怎样才能进行清除哪？在这里教大家，几种简单的木马清除方法。

那么？怎样才能知道自己的机器，中了木马哪？如果出现以下几种现象： (1)、电脑有时死机，或莫名其妙的重启； (2)、在没有执行任何操作时，计算机却拼命的读写硬盘，或者某个程序占用内存明显超过其他程序，或者某些程序占用网络，网速极具下降。

(3)、系统莫名其妙的运行光驱进行搜索； (4)、学会看“任务管理器”很多的木马都逃脱不过“任务管理器”或借助一些其他的软件查看隐藏的进程。

发现陌生的程序名称，或有多个名字相同的程序在运行，而且可能会随时间的增加而增多。

注意：在我们看到陌生的进程时，可以到baidu上搜一下也许有自己想要的，但是进程名称是可以伪装的，这可要注意，不要被木马迷惑。

上面所说的几点，就是最初级的木马查获方法，对于技术一般的木马程序已经是绰绰有余了。

2、清除木马一般中木马程序最简单的办法就是用杀毒软件清除，如金山毒霸卡巴斯基等。

如果对系统熟悉的也可以手动清除。

在这里给大家介绍一些通用的木马清除方法，这些方法都很简单实用，学会这些方法将可以有效地清除一些常见的木马所带来的威胁。

（1）、清除木马的启动项原理：这是绝大多数木马都会设计到的功能，此类，木马会随系统启动而启动，从而使用户在不知不觉中将系统打开一扇“门”但由于这类木马的踪迹较容易被发现，所以其只算为初级木马吧。

方法在运行中输入：msconfig 命令，在点击“启动”选项中查看有无不熟悉的启动项，并将其清除，在将其文件删除就可以了。

（2）、清除system.ini 文件中的木马原理：system.ini 是系统启动时要加载的系统服务程序，木马将其隐藏于此，可以看出木马其居心之险恶！此类木马有于发现较困难，所以除非是很了解的情况下进行手工删除或禁用，否则建议使用专杀工具进行清除。

在系统配置实用程序中看到 system.ini 在这里将来路不名的名称禁用和将文件删除就可以了。