手动清除木马的一般方法

　　首先你要具备一些电脑的常识，比如查看自己的电脑有哪些自启动程序；然后你要对自己的电脑比较熟悉，为什么？晕。。。。。每个人的电脑都不一样，只有你自己知道自己装了哪些硬件软件。最后要说句，不要怕，做好ghost，系统还原等备份工作。就算系统被你搞崩溃了，你也学到东西了。

　　首先，你有中了木马的迹象，你应该先看看你的启动组有哪些东西是自动加载的，木马肯定是在这里面的。发现陌生的的程序了？还不止一个？没关系，一个一个来，记下名字。

　　然后找个进程查看工具（为什么要看进程？木马从来都是没窗体的或隐藏的，但却逃不出进程查看器），xp/2000有自带的工具，ctrl shift esc呼出，98/me用windows优化大师的进程查看器。

　　找到进程后，先结束他的进程（不然程序在使用中怎么删得到？），然后再把自启动项删除（因为高级点的木马有保护功能，如多线裎木马）。再隔离该可疑程序。最后重起计算机。这步要一个一个的来，不然你怎么知道哪个是木马？但是如果你对自己的电脑很熟悉的话，一般一眼就能看出来哪些不是自己装的程序。

　　如果还是有中木马的迹象，重复上面的步骤。

　　如果已经知道木马程序的位置，那么先结束进程，然后删除启动项目，删除木马程序。重起。

　　看完后，你是不是觉得很简单，就那么几步？ ：）

　　############### windows9x/me 下的一些自启动方法#########

　　1. Autostart 文件

　　C:\windows\start menu\programs\startup {chinese/english}

　　在注册表中的位置： HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Explorer\Shell

　　Folders Startup="C:\windows\start menu\programs\startup"

　　所以它将很容易被程序更改

　　2. Win.ini

　　[windows]
　　load=file.exe
　　run=file.exe

　　3. System.ini [boot]

　　Shell=Explorer.exe file.exe

　　4. c:\windows\winstart.bat

　　看似平常，但每次都重新启动

　　

　　5. Registry键

　　[HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\RunServices]
　　[HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
　　[HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\Run]
　　[HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\RunOnce]
　　[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run]
　　[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunOnce]
　　[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunServices]

　　

　　6. c:\windows\wininit.ini

　　一旦运行就被windows删除，安装的setup程序常用

　　Example: (content of wininit.ini)
　　[Rename]
　　NUL=c:\windows\picture.exe

　　例子：将c:\windows\picture.exe设置为NUL, 表示删除它，完全隐蔽的执行！


　　7. Autoexec.bat

　　在DOS下每次自启动

　　

　　8. Registry Shell Spawning （使用过Subseven吗？看看吧）这个方法比较黑的说。----老妖注.

　　[HKEY_CLASSES_ROOT \exefile\shell\open\command] @="\"%1\" %*"
　　[HKEY_CLASSES_ROOT \comfile\shell\open\command] @="\"%1\" %*"
　　[HKEY_CLASSES_ROOT \batfile\shell\open\command] @="\"%1\" %*"
　　[HKEY_CLASSES_ROOT \htafile\Shell\Open\Command] @="\"%1\" %*"
　　[HKEY_CLASSES_ROOT \piffile\shell\open\command] @="\"%1\" %*"
　　[HKEY_LOCAL_MACHINE \Software\CLASSES\batfile\shell\open\command] @="\"%1\" %*"
　　[HKEY_LOCAL_MACHINE \Software\CLASSES\comfile\shell\open\command] @="\"%1\" %*"
　　[HKEY_LOCAL_MACHINE \Software\CLASSES\exefile\shell\open\command] @="\"%1\" %*"
　　[HKEY_LOCAL_MACHINE \Software\CLASSES\htafile\Shell\Open\Command] @="\"%1\" %*"
　　[HKEY_LOCAL_MACHINE \Software\CLASSES\piffile\shell\open\command] @="\"%1\" %*"

　　这些"%1 %*"需要被赋值, 如果将其改为 "server.exe %1 %*",

　　server.exe将在每次启动时被执行，这些exe/pif/com/bat/hta等文件都可被执行

　　

　　9. Icq Inet

　　[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]
　　"Path"="test.exe"
　　"Startup"="c:\\test"
　　"Parameters"=""
　　"Enable"="Yes"

　　[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\

　　当icq发现网络连接时，将被执行（我使用的icq2000b的键值有所不同，但您可以自行查找）

　　您发现OICQ有这方面的问题吗？^_^...

　　

　　9. 杂项说明

　　找找以下的键值：

　　[HKEY_LOCAL_MACHINE \Software\CLASSES\ShellScrap]
　　@="Scrap object" "NeverShowExt"=""

　　

　　NeverShowExt 键 可以隐藏SHS文件的扩展名.shs

　　如果你将一个文件改名为："abc.jpg.shs" 它只显示"abc.jpg"

　　如果你的注册表里有很多NeverShowExt键值，删除他们。

　　注意： 这些方法不能全部适应Win2K,但您可以自行检测。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有