怎样手动去除木马？

应该提高警惕了。一般说来，GOP木马在这里显示的版本为“不能用”。现在运行regedit，进入到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键，记住刚才那个身份不明的运行项目，找到后删除该键值。然后关闭计算机，稍候一下启动计算机。还记得刚才查看到的项目路径吧？那就是木马的程序的藏身之处！接下来的任务是删除木马程序本身。

八、Nethief(网络神偷)

　　反弹端口型木马。大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机连出的连接却疏于防范（当然也有的防火墙两方面都很严格）。于是，与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，当要建立连接时，由客户端通过FTP主页空间告诉服务端：“现在开始连接我吧！”，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP服务端的 IP地址:1026　客户端的IP地址:80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为，大概没有哪个防火墙会不给用户向外连接80端口吧。

　　清除方法：

　　1.网络神偷会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立键值“internet”，其值为"internet.exe /s"，将键值删除；

　　2.删除其自启动程序C:\WINDOWS\SYSTEM\INTERNET.EXE。

九、广外女生

　　广外女生是广东外语外贸大学“广外女生”网络小组的处女作，是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后，会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！该木马程序运行后，将会在系统的 SYSTEM目录下生成一份自己的拷贝，名称为DIAGCFG.EXE，并关联.EXE文件的打开方式，如果贸然删掉了该文件，将会导致系统所有.EXE 文件无法打开的问题。

　　清除方法：

　　1.由于该木马程序运行时无法删除该文件，因此启动到纯DOS模式下，找到System目录下的DIAGFG.EXE，删除；

　　2.由于DIAGCFG.EXE文件已经被删除了，因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”；

　　3.回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改名的文件）；

　　4.找到HKEY_CLASSES_ROOT\exefile\shell\open\command，将其默认键值改成"%1" %*；

　　5.找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices，删除其中名称为“Diagnostic Configuration”的键值；

　　6.关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe”。

十、SubSeven

　　最新版为2.2(默认连接端口27374)，服务端只有54.5k！很容易被捆绑到其它软件而不被发现！最新版的金山毒霸等杀毒软件查不到它。服务器端程序server.exe，客户端程序subseven.exe。SubSeven服务端被执行后，变化多端，每次启动的进程名都会发生变化，因此查之很难。

　　清除方法：

　　1.运行Regedit，点击至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run和RunService下，如果有加载文件，就删除右边的项目：加载器="c:\windows \system\***"。(注：加载器和文件名是随意改变的)

　　2.打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之。

　　3.打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有将它删除。

　　4.重新启动Windows，删除相对应的木马程序，一般在c:\windows\system下，例如vqpbk.exe。

十一、WAY2.4(火凤凰、无赖小子)

　　国产木马程序，默认连接端口是8011。众多木马高手在介绍这个木马时都对其强大的注册表*控功能赞不绝口，也正因为如此它对我们的威胁就更大了。从试验情况来看，WAY2.4的注册表*作的确有特色，对受控端注册表的读写，就和本地注册表读写一样方便！WAY2.4在注册表*控方面可以说是木马老大。

　　WAY2.4服务端被运行后在C:\windows\system下生成msgsvc.exe文件，图标是文本文件的图标，很隐蔽，文件大小 235,008字节，文件修改时间1998年5月30日，看来它想冒充系统文件msgsvc32.exe。同时，WAY2.4在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下建立串值 Msgtask，其键值为C:\WINDOWS\SYSTEM\msgsvc.exe。此时如果用进程管理工具查看，你会发现进程C:\windows\ system\msgsvc.exe赫然在列！

　　清除方法：

　　要清除WAY，只要删除它在注册表中的键值，再删除C:\ windows\system下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的，此时你可以用进程管理工具终止它的进程，然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了！在删除前请做好备份。

十二、聪明基因

　　国产木马，默认连接端口7511。服务端文件genueserver.exe，用的是HTM文件图标，如果你的系统设置为不显示文件扩展名，那么你就会以为这是个HTM文件，很容易上当哦。客户端文件genueclient.exe 。如果不小心运行了服务端文件genueserver.exe，它会装模作样的启动IE，让你进一步以为这是一个HTM文件，并且还在运行之后生成 GENUESERVER.htm文件，还是用来迷惑你的！聪明基因是文件关联木马，服务端运行后会生成三个文件，分别是：C:\WINDOWS\ MBBManager.exe