电脑病毒木马或恶意程序遗留的系统服务如何删除？

　　你好，你若发现木马或恶意程序在系统服务中有残留，你可以在“控制面板”/“管理工具”/“服务”中找到相关服务名称并双击，在服务名称中你就能看到该残留项的服务短名称了。

　　接下去你运行REGEDIT，启动注册表编辑器，依次展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项下找到你在服务里面所看到的服务短名称对应子项，右击选择删除命令即可。

　　如果你还有其它电脑问题，欢迎你在电脑管家企业平台提出，我们将尽力为你解答。

100种木马手工清除方法

有很多新手对安全问题了解比较不多，计算机种了特洛伊木马不知道怎么样来清除。虽 然现在有很多的清除特洛伊木马的软件，可以自动清除木马。但你不知道木马是怎样在 计算机中运行的，如果你看了这篇文章之后，你就会明白一些木马的原理。 虽然收集了很多木马的资料，但我也不能保证全部正确。

1 冰河v11 v22 这是国产最好的木马 作者：黄鑫

清除木马v11 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 查找以下的两个路径，并删除 " C:\windows\system\ kernel32exe" " C:\windows\system\ sysexplrexe" 关闭Regedit 重新启动到MSDOS方式 删除C:\windows\system\ kernel32exe和C:\windows\system\ sysexplrexe木马程序 重新启动。OK

清除木马v22 服务器程序、路径用户是可以随意定义，写入注册表的键名也可以自己定义。 因此，不能明确说明。 你可以察看注册表，把可疑的文件路径删除。 重新启动到MSDOS方式 删除于注册表相对应的木马程序 重新启动Windows。OK

2 Acid Battery v10 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer ="C:\WINDOWS\expiorerexe" 关闭Regedit 重新启动到MSDOS方式 删除c:\windows\expiorerexe木马程序 注意：不要删除正确的ExpLorerexe程序，它们之间只有i与L的差别。 重新启动。OK

3 Acid Shiver v10 + 10Mod + lmacid 清除木马的步骤： 重新启动到MSDOS方式 删除C:\windows\MSGSVR16EXE 然后回到Windows系统 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Explorer = "C:\WINDOWS\MSGSVR16EXE" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 删除右边的Explorer = "C:\WINDOWS\MSGSVR16EXE" 关闭Regedit 重新启动。OK 重新启动到MSDOS方式 删除C:\windows\wintourexe然后回到Windows系统 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Wintour = "C:\WINDOWS\WINTOUREXE" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 删除右边的Wintour = "C:\WINDOWS\WINTOUREXE" 关闭Regedit 重新启动。OK

4 Ambush 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 删除右边的zka = "zcn32exe" 关闭Regedit 重新启动到MSDOS方式 删除C:\Windows\ zcn32exe 重新启动。OK

5 AOL Trojan 清除木马的步骤： 启动到MSDOS方式 删除C:\ commandexe（删除前取消文件的隐含属性） 注意：不要删除真的commandcom文件。 删除C:\ americ~10\buddyl~1exe（删除前取消文件的隐含属性） 删除C:\ windows\system\norton~1\regist~1exe（删除前取消文件的隐含属性） 打开WININI文件 在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径，必须清除它们： run= load= 保存WININI 还要改正注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的WinProfile = c:\commandexe 关闭Regedit，重新启动Windows。OK

6 Asylum v01, 011, 012, 013 + Mini 10, 11 清除木马的步骤： 注意：木马程序默认文件名是wincmp32exe，然而程序可以随意改变文件名。 我们可以根据木马修改的systemini和winini两个文件来清除木马。 打开systemini文件 在[BOOT]下面有个"shell=文件名"。正确的文件名是explorerexe 如果不是"explorerexe"，那么那个文件就是木马程序，把它查找出来，删除。 保存退出systemini 打开winini文件 在[WINDOWS]下面有个run= 如果你看到=后面有路径文件名，必须把它删除。 正确的应该是run=后面什么也没有。 =后面的路径文件名就是木马，把它查找出来，删除。 保存退出winini。 OK

7 AttackFTP 清除木马的步骤： 打开winini文件 在[WINDOWS]下面有load=wscanexe 删除wscanexe ，正确是load= 保存退出winini。 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Reminder="wscanexe /s" 关闭Regedit，重新启动到MSDOS系统中 删除C:\windows\system\ wscanexe OK

8 Back Construction 10 - 25 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的"C:\WINDOWS\Cmctl32exe" 关闭Regedit，重新启动到MSDOS系统中 删除C:\WINDOWS\Cmctl32exe OK

9 BackDoor v200 - v203 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的'c:\windows\notpaexe /o=yes' 关闭Regedit，重新启动到MSDOS系统中 删除c:\windows\notpaexe 注意：不要删除真正的notepadexe笔记本程序 OK

10 BF Evolution v5312 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的(Default)=" " 关闭Regedit，再次重新启动计算机。 将C:\windows\system\ exe（空格exe文件） OK

11 BioNet v084 - 092 + 221 08X版本是运行在Win95/98 09X以上版本有运行在Win95/98 和WinNT上两个软件 客户－服务器协议是一样的，因而NT客户能黑95/98被感染的机器，和Win95/98客户能黑 NT被感染的系统完全一样。 清除木马的步骤： 首先准备一张98的启动盘，用它启动后，进入c:\windows目录下，用attrib libupd~1 exe -h 命令让木马程序可见，然后删除它。 抽出软盘后重新启动，进入98下，在注册表里找到： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 的子键WinLibUpdate = "c:\windows\libupdateexe -hide" 将此子键删除。

12 Bla v10 - 503 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Systemdoor = "C:\WINDOWS\System\mprdllexe" 关闭Regedit，重新启动计算机。 查找到C:\WINDOWS\System\mprdllexe和 C:\WINDOWS\system\rundllexe 注意：不要删除C:\WINDOWS\RUNDLLEXE正确文件。 并删除两个文件。 OK

13 BladeRunner 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 可以找到System-Tray = "c:\something\somethingexe" 右边的路径可能是任何东西，这时你不需要删除它，因为木马会立即自动加上，你需要 的是记下木马的名字与目录，然后退回到MS-DOS下，找到此木马文件并删除掉。 重新启动计算机，然后重复第一步，在注册表中找到木马文件并删除此键。

14 Bobo v10 - 20 清除木马v10 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的DirrectLibrarySupport ="C:\WINDOWS\SYSTEM\Dllclientexe" 关闭Regedit，重新启动计算机。 DEL C:\Windows\System\Dllclientexe OK 清除木马v20 打开注册表Regedit 点击目录至： HKEY_USER/Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/ ICQ Accel是一个“假象“的主键，选中ICQ Accel主键并把它删除。 重新启动计算机。OK

15 BrainSpy vBeta 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 右边有 = "C:\WINDOWS\system\BRAINSPY exe" 标签选是随意改变的。 关闭Regedit，重新启动计算机 查找删除C:\WINDOWS\system\BRAINSPY exe OK

16 Cain and Abel v150 - 151 这是一个口令木马 进入MS-DOS方式 查找到C:\windows\msabel32exe 并删除它。OK

17 Canasson 清除木马的步骤： 打开WININI文件 查找c:\msie5exe，删除全部主键 保存winini 重新启动计算机 删除c:\msie5exe木马文件 OK

18 Chupachbra 清除木马的步骤： 打开WININI文件 [Windows]的下面有两个行 run=winprotexe load=winprotexe 删除winprotexe run= load= 保存Winini，再打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的'System Protect' = winprotexe 重新启动Windows 查找到C:\windows\system\ winprotexe，并删除。 OK

19 Coma v109 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的'RunTime' = C:\windows\msgsrv36exe 重新启动Windows 查找到C:\windows\ msgsrv36exe，并删除。 OK

20 Control 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的Load MSchv Drv = C:\windows\system\MSchvexe 保存Regedit，重新启动Windows 查找到C:\windows\system\MSchvexe，并删除。 OK

21 Dark Shadow 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\RunServices 删除右边的winfunctions="winfunctionsexe" 保存Regedit，重新启动Windows 查找到C:\windows\system\ winfunctionsexe，并删除。 OK

22 DeepThroat v10 - 31 + Mod (Foreplay) 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 版本10 删除右边的项目'System32'=c:\windows\system32exe 版本20-31 删除右边的项目'SystemTray' = 'Systrayexe' 保存Regedit，重新启动Windows 版本10删除c:\windows\system32exe 版本20-31 删除c:\windows\system\systrayexe OK

23 Delta Source v05 - 07 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的项目：DS admin tool = C:\TEMPSERVERexe 保存Regedit，重新启动Windows 查找到C:\TEMPSERVERexe，并删除它。 OK

24 Der Spaeher v3 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的项目：explore = "c:\windows\system\dkbdllexe " 保存Regedit，重新启动Windows 删除c:\windows\system\dkbdllexe木马文件。 OK

--

25 Doly v11 - v17 (SE) 清除木马V11-V15版本： 这几个木马版本的木马程序放在三处，增加二个注册项目，还增加到Winini项目。 首先，进入MS-DOS方式，删除三个木马程序，但V135版本多一个木马文件mdmexe。 把下列各项全部删除： C:\WINDOWS\SYSTEM\tesksys C:\WINDOWS\Start Menu\Programs\Startup\msteskexe c:\Program Files\MSteskexe c:\Program Files\Mdmexe 重新启动Windows。 接着，打开winini文件 找到[WINDOWS]下面load=c:\windows\system\teskexe项目，删除路径，改变为load= 保存winini文件。 最后，修改注册表Regedit 找到以下两个项目并删除它们 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Ms tesk = "C:\Program Files\MSteskexe" 和 HKEY_USER\Default\Software\Microsoft\Windows\CurrentVersion\Run Ms tesk = "C:\Program Files\MSteskexe" 再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss 这个组是木马的全部参数选择和设置的服务器，删除这个ss组的全部项目。 关闭保存Regedit。 还有打开C:\AUTOEXECBAT文件，删除 @echo off copy c:\syslon c:\windows\StartMenu\Startup Items\ del c:\winreg 关闭保存autoexecbat。 OK 清除木马V16版本： 该木马运行时，将不能通过98的正常操作关闭，只能RESET键。彻底清除步骤如下： 1．打开控制面板——添加删除程序——删除memory manager 30，这就是木马程序，但 是它并不会把木马的EXE文件删除掉。 2．用98或DOS启动盘启动（用RESET键）后，转入C:\，编辑AUTOEXEC。BAT，把如下内容 删除： @echo off copy c:\syslon c:\windows\startm~1\programs\startup\mdmexe del c:\winreg 保存AUTOEXEC。BAT文件并返回DOS后，在C：\根目录下删除木马文件： del syslon del windows\startm~1\programs\startup\mdmexe del progra~1\mdmexe 3．抽出软盘重新启动，进入98后，把c:\program files\目录下的memory manager 目录 删除。 清除木马V17版本： 首先，打开C:\AUTOEXECBAT文件，删除 @echo off copy c:\syslon c:\windows\startm~1\programs\startup\mdmexe del c:\winreg 关闭保存autoexecbat 然后打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 找到c:\windows\system\mdmexe路径并删除这个项目 点击目录至： HKEY_USER/Default/Software/Marabilis/ICQ/Agent/Apps/ 找到"C:\windows\system\kernal32exe"路径并删除这个项目 关闭保存Regedit。重新启动Windows。 最后，删除以下木马程序： c:\syslon c:\iecookieexe c:\windows\start menu\programs\startup\mdmexe c:\program files\mdmexe c:\windows\system\mdmexe c:\windows\system\kernal32exe 注意：kernal32是A OK

75 Revenger v10 - 15 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 删除右边的项目：AppName ="C:\\serverexe" 关闭保存Regedit，重新启动Windows 在c:\windows查找相应的木马程序serverexe，并删除 OK

76 Ripper 清除木马的步骤： 打开systemini文件 将shell=explorerexe sysruntexe 改为shell= explorerexe 关闭保存systemini，重新启动Windows 在c:\windows查找相应的木马程序sysruntexe，并删除 OK

77 Satans Back Door v10 清除木马的步骤： 打开注册表Regedit 点击目录至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ 删除右边的项目：sysprot protection ="C:\windows\sysprotexe" 关闭保存Regedit，重新启动Windows 删除C:\windows\sysprotexe OK

这是一种典型的挂马，黑客将你的服务器攻陷后(有时甚至不用攻陷），通过修改你网站代码，来达到抓肉鸡，赚取点击量或者其他什么目的。

首先，第一次出现的代码是比较原始的窗口弹出（就是将"http://iisa1eyesirnet:7777/gethostjsphp"中的广告以窗口方式弹出）而第二次的代码是经过修改的（实际上也是达到同样的目的，但通过修改代码，用等价代码替换，可以绕过杀软的查杀,但庆幸的是最后还是被查杀了）

要做到这个其实不难，这个黑客最有可能是通过注入，得到网站后台密码，再上传木马，得到webshell，在通过webshell来上传修改过的网站源码。另外，跨站方式也是有可能的，如果你的服务器有多个网站，黑客就可以通过别的网站来控制服务器，进而修改你的网站。还有其他方式比如弱口令等，但概率不大。

我推荐你一个黑客工具：啊D，你到网上搜一下，下载下来，可以用它来检测你的网站是否有注入漏洞。

最后提醒你一句：自从出现了黑客，网站都没有绝对安全。既然黑客已经入侵了你的服务器，说明你的网站绝对有漏洞，要尽快修补。还有，按照惯例，黑客入侵后一般会在服务器中留后门或是木马（而且很有可能经过免杀，杀软查不出来），你即使将刚才几个东西删除了，黑客还有可能卷土重来。最后，即将广告代码删了，保不齐黑客还会在服务器中留其他挂马语句（而且被修改的更变态，杀软无法查出,或是这句挂马语句不是用来弹窗的，而是用来植入木马的，这种挂马如果做得好根本没有任何外在表现）

祝你好运。

（纯手工答复）

 手动删除肯定是不行，你关闭了端口，木马分分钟就又打开了，它是免杀的也无所谓的，

你可以访问腾讯电脑管家官网，下载安装一个电脑管家

使用电脑管家工具箱中的顽固木马克星来查杀一下，电脑管家的顽固木马克星专门为

普通杀软无法清除或者根本检测不到的恶意威胁而设计，采用了非常强力的查杀引

擎，所以可以清除各种顽固的木马病毒