手动清除木马的一般方法

2008-04-09 04:37:06来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

  首先你要具备一些电脑的常识,比如查看自己的电脑有哪些自启动程序;然后你要对自己的电脑比较熟悉,为什么?晕。。。。。每个人的电脑都不一样,只有你自己知道自己装了哪些硬件软件。最后要说句,不要怕,做好ghost,系统还原等备份工作。就算系统被你搞崩溃了,你也学到东西了。

  首先,你有中了木马的迹象,你应该先看看你的启动组有哪些东西是自动加载的,木马肯定是在这里面的。发现陌生的的程序了?还不止一个?没关系,一个一个来,记下名字。

  然后找个进程查看工具(为什么要看进程?木马从来都是没窗体的或隐藏的,但却逃不出进程查看器),xp/2000有自带的工具,ctrl shift esc呼出,98/me用windows优化大师的进程查看器。

  找到进程后,先结束他的进程(不然程序在使用中怎么删得到?),然后再把自启动项删除(因为高级点的木马有保护功能,如多线裎木马)。再隔离该可疑程序。最后重起计算机。这步要一个一个的来,不然你怎么知道哪个是木马?但是如果你对自己的电脑很熟悉的话,一般一眼就能看出来哪些不是自己装的程序。

  如果还是有中木马的迹象,重复上面的步骤。

  如果已经知道木马程序的位置,那么先结束进程,然后删除启动项目,删除木马程序。重起。

  看完后,你是不是觉得很简单,就那么几步? :)

  ############### windows9x/me 下的一些自启动方法#########

  1. Autostart 文件

  C:\windows\start menu\programs\startup {chinese/english}

  在注册表中的位置: HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Explorer\Shell

  Folders Startup="C:\windows\start menu\programs\startup"

  所以它将很容易被程序更改

  2. Win.ini

  [windows]
  load=file.exe
  run=file.exe

  3. System.ini [boot]

  Shell=Explorer.exe file.exe

  4. c:\windows\winstart.bat

  看似平常,但每次都重新启动

  

  5. Registry键

  [HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\RunServices]
  [HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
  [HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\Run]
  [HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\RunOnce]
  [HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run]
  [HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunOnce]
  [HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunServices]

  

  6. c:\windows\wininit.ini

  一旦运行就被windows删除,安装的setup程序常用

  Example: (content of wininit.ini)
  [Rename]
  NUL=c:\windows\picture.exe

  例子:将c:\windows\picture.exe设置为NUL, 表示删除它,完全隐蔽的执行!


  7. Autoexec.bat

  在DOS下每次自启动

  

  8. Registry Shell Spawning (使用过Subseven吗?看看吧)这个方法比较黑的说。----老妖注.

  [HKEY_CLASSES_ROOT \exefile\shell\open\command] @="\"%1\" %*"
  [HKEY_CLASSES_ROOT \comfile\shell\open\command] @="\"%1\" %*"
  [HKEY_CLASSES_ROOT \batfile\shell\open\command] @="\"%1\" %*"
  [HKEY_CLASSES_ROOT \htafile\Shell\Open\Command] @="\"%1\" %*"
  [HKEY_CLASSES_ROOT \piffile\shell\open\command] @="\"%1\" %*"
  [HKEY_LOCAL_MACHINE \Software\CLASSES\batfile\shell\open\command] @="\"%1\" %*"
  [HKEY_LOCAL_MACHINE \Software\CLASSES\comfile\shell\open\command] @="\"%1\" %*"
  [HKEY_LOCAL_MACHINE \Software\CLASSES\exefile\shell\open\command] @="\"%1\" %*"
  [HKEY_LOCAL_MACHINE \Software\CLASSES\htafile\Shell\Open\Command] @="\"%1\" %*"
  [HKEY_LOCAL_MACHINE \Software\CLASSES\piffile\shell\open\command] @="\"%1\" %*"

  这些"%1 %*"需要被赋值, 如果将其改为 "server.exe %1 %*",

  server.exe将在每次启动时被执行,这些exe/pif/com/bat/hta等文件都可被执行

  

  9. Icq Inet

  [HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]
  "Path"="test.exe"
  "Startup"="c:\\test"
  "Parameters"=""
  "Enable"="Yes"

  [HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\

  当icq发现网络连接时,将被执行(我使用的icq2000b的键值有所不同,但您可以自行查找)

  您发现OICQ有这方面的问题吗?^_^...

  

  9. 杂项说明

  找找以下的键值:

  [HKEY_LOCAL_MACHINE \Software\CLASSES\ShellScrap]
  @="Scrap object" "NeverShowExt"=""

  

  NeverShowExt 键 可以隐藏SHS文件的扩展名.shs

  如果你将一个文件改名为:"abc.jpg.shs" 它只显示"abc.jpg"

  如果你的注册表里有很多NeverShowExt键值,删除他们。

  注意: 这些方法不能全部适应Win2K,但您可以自行检测。


标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:微软发布新补丁仅一天首个攻击代码现身

下一篇:木马病毒变种借优盘传播