|
旧版天天导航
|
加入收藏夹
|
设为首页
|
天天导航
-
在线杀毒
木马查杀
_彻底查杀木马病毒的方法
彻底查杀木马病毒的方法
来源:www.tturl.com
天天导航
发布时间:2008-4-7 内容大小:
大
中
小
关闭本页
收藏
我来谈谈“
木马
”是怎样自动加载的。在
Win.ini
文件
中,在
WINDOWS
下,“
run=
”和“
load=
”是可能加载“
木马
”
程序
的途径,必须仔细留心它们。大家都来学习一下吧
一般情况下,它们的等号后面应该什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中“
木马
”了。当然你也得看清楚,因为好多“
木马
”,如“
AOLTrojan
木马
”,它把自身伪装成
command.exe(
真正的
系统
文件为
command.com)
文件,如果不注意可能不会发现它不是真正的
系统
启动文件
(
特别是在
Windows
窗口下
)
。
在
System.ini
文件中,在
BOOT
下面有个“
shell=
文件名”。正确的文件名应该是“
explorer.exe
”,如果不是“
explorer.exe
”,而是“
shell=explorer.exe
程序名”,那么后面跟着的那个程序就是“
木马
”程序,就是说你已经中“
木马
”了。注册表中的情况最复杂,通过
regedit
命令打开注册表编辑器,在点击至:“
H
KEY
-LOCAL-MACHINESoftware
Microsoft
WindowsCurrentVersionRun
”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为
EXE
,这里切记:有的“
木马
”程序生成的文件很像
系统
自身文件,想通过伪装蒙混过关,如“
AcidBatteryv1.0
木马
”,它将注册表“
HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
”下的
Explorer
键值改为
Explorer=
“
C:WINDOWSexpiorer.exe
”,“
木马
”程序与真正的
Explorer
之间只有“
i
”与“
l
”的差别。当然在注册表中还有很多地方都可以隐藏“
木马
”程序,如:“
HKEY-CURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun
”、“
HKEY-USERS....SoftwareMicrosoftWindowsCurrentVersionRun
”的目录下都有可能,最好的办法就是在“
HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun
”下找到“
木马
”程序的文件名,再在整个注册表中搜索即可。
=======================
知道了“
木马
”的工作原理,查杀“
木马
”就变得很容易,如果发现有“
木马
”存在,最有效的方法就是马上将计算机与
网络
断开,防止黑客通过
网络
对你进行攻击。然后编辑
win.ini
文件,将
WINDOWS
下面,“
run=
“
木马
”程序”或“
load=
“
木马
”程序”更改为“
run=
”和“
load=
”;编辑
system.ini
文件,将
BOOT
下面的“
shell=
‘
木马
’文件”,更改为:“
shell=explorer.exe
”;在注册表中,用
regedit
对注册表进行编辑,先在“
HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun
”下找到“
木马
”程序的文件名,再在整个注册表中搜索并替换掉“
木马
”程序,有时候还需注意的是:有的“
木马
”程序并不是直接将“
HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun
”下的“
木马
”键值删除就行了,因为有的“
木马
”如:
BladeRunner
“
木马
”,如果你删除它,“
木马
”会立即自动加上,你需要的是记下“
木马
”的名字与目录,然后退回到
MS-DOS
下,找到此“
木马
”文件并删除掉。重新启动计算机,然后再到注册表中将所有“
木马
”文件的键值删除。至此,我们就大功告成了。
发现
病毒
,无法清除怎么办
Q
:发现
病毒
,但是无论在
安全
模式还是
Windows
下都无法清除怎么办?
A:
由于某些目录和文件的特殊性,没有办法直接清楚,包括安全模式下
杀毒
等一些方式
杀毒
,而需要某些特殊手段清楚的带毒文件。以下所说的目录均包含其下面的子目录。
1
、带毒文件在
\TemporaryInternetFiles
目录下。
由于这个目录下的文件,
Windows
会对此有一定的保护作用(未经证实)。所以对这个目录下的带毒文件即使在安全模式下也不能进行清除,对于这种情况,请先关闭其他一些程序
软件
,然后打开
IE
,选择
IE
工具栏中的
"
工具
"\"Internet
选项
"
,选择
"
删除文件
"
删除即可,如果有提示
"
删除所有脱机内容
"
,也请选上一并删除。
2
、带毒文件在
\_Restore
目录下,或者
SystemVolumeInformation
目录下。
这是
系统
还原存放还原文件的目录,只有在装了
WindowsMe/XP
操作
系统
上才会有这个目录,由于
系统
对这个目录有保护作用。对于这种情况需要先取消
"
系统
还原
"
功能,然后将带毒文件删除,甚至将整个目录删除也是可以的。关闭
系统
还原方法。
WindowsMe
的话,禁用
系统
还原,
DOS
下删除。
XP
关闭
系统
还原的方法:右键单击“我的
电脑
”,选“属性”
--
“
系统
还原”
--
在“在所有驱动器上关闭
系统
还原”前面打勾
--
按“确定”退出。
3
、带毒文件在
.rar
、
.zip
、
.cab
等压缩文件中。
现今能支持直接查杀压缩文件中带毒文件的反
病毒
软件
还很少,即使有也只能支持常用的一些压缩格式;所以,对于绝大多数的反
病毒
软件
来说,最多只能检查出压缩文件中的带毒文件,而不能直接清除。而且有些加密了的压缩文件就更不可能直接清除了。
要清除压缩文件中的
病毒
,
建议
解压缩后清除,或者借助压缩工具
软件
的外挂
杀毒
程序的功能,对带毒的压缩文件进行
杀毒
。
4
、
病毒
在引导区或者
SUHDLOG.DAT
或
SUHDLOG.BAK
文件中。
这种
病毒
一般是引导区
病毒
,报告的
病毒
名称一般带有
boot
、
wyx
等字样。如果
病毒
只是存在于移动存储设备,如软盘、闪存盘、
移动
硬盘
上,就可以借助本地
硬盘
上的反
病毒
软件
直接进行查杀;如果这种
病毒
是在
硬盘
上,则需要用干净的可引导盘启动进行查杀。
对于这类
病毒
建议用干净软盘启动进行查杀,不过在查杀之前一定要备份原来的引导区,特别是原来装有别的操作
系统
的情况,如日文
Windows
、
Linux
等。
如果没有干净的可引导盘,则可使用下面的方法进行应急
杀毒
:
(1)
在别的计算机上做一张干净的可引导盘,此引导盘可以在
Windows95/98/ME
系统
上通过
"
添加/删除程序
"
进行制作,但要注意的是,制作软盘的操作
系统
须和自己所使用的操作
系统
相同;
(2)
用这张软盘引导启动带毒的计算机,然后运行以下命令:
A:\>fdisk/mbr
A:\>sysa:c:
如果带毒的文件是在
SUHDLOG.DAT
或
SUHDLOG.BAK
文件中,那么直接删除即可。这是
系统
在安装的时候对硬盘引导区做的一个备份文件,一般作用不大,
病毒
在其中已经不起作用了。
5
、带毒文件的后缀名是
.vir
、
.kav
、
.kbk
等。
这些文件一般是一些防毒
软件
对原来带毒的文件做的备份文件,一般情况下,如果确认这些文件已经无用了,那就将这些文件删除即可。
6
、带毒文件在一些邮件文件中,如
dbx
、
eml
、
box
等。
有些防毒
软件
可以直接检查这些邮件文件中的文件是否带毒,但往往不能对这些带毒的文件直接的进行操作,对于一些邮箱中的带毒的信件,可以根据防毒
软件
提供的信息找到那带毒的信件,删除信件中的附件或者删除该信件;如果是
eml
、
nws
一些信件文件带毒,可以用相关的邮件
软件
打开,确认该信件及其附件,然后删除相关内容。一般有大量的
eml
、
nws
的带毒文件的话,都是
病毒
自动生成的文件,建议都直接删除。
7
、文件中有
病毒
的残留代码。
这种情况比较多见的就是带有
CIH
、
Funlove
、宏
病毒
,包括
Word
、
Excel
、
Powerpoint
和
Wordpro
等文档中的宏
病毒
和个别网页
病毒
的残留代码,通常防毒
软件
对这些带有
病毒
残留代码的文件报告的
病毒
名称后缀通常是
int
、
app
等结尾,而且并不常见,如
W32/FunLove.app
、
W32.Funlove.int
。一般情况下,这些残留的代码不会影响正常程序的运行,也不会传染,如果需要彻底清除的话,要根据各个
病毒
的实际情况进行清除。
8
、文件错误。
这种情况出现的并不多,通常是某些防毒
软件
将原来带毒的文件并没有很干净地清除
病毒
,也没有很好的修复文件,造成文件无法正常使用,同时造成别的防毒
软件
的误报。这些文件可以直接删除。
9
、加密的文件或目录。
对于一些加密了的文件或目录,请在解密后再进行
病毒
查杀。
10
、共享目录。
这里包括两种情况:本地共享目录和
网络
中远程共享目录(其中也包括映射盘)。遇到本地共享的目录中的带毒文件不能清除的情况,通常是局域网中别的用户在读写这些文件,
杀毒
的时候表现为无法直接清除这些带毒文件中的
病毒
,如果是有
病毒
在对这些目录在写
病毒
操作,表现为对共享目录进行清除
病毒
操作后,还是不断有文件被感染或者不断生成
病毒
文件。以上这两种情况,都建议取消共享,然后针对共享目录进行彻底查杀,恢复共享的时候,注意不要开放太高的权限,并对共享目录加设密码。对远程的共享目录(包括映射盘)查杀
病毒
的时候,首先要保证本地计算机的操作
系统
是干净的,同时对共享目录也有最高的读写权限。如果是远程计算机感染
病毒
的话,建议还是直接在远程计算机进行查杀
病毒
。特别的,如果在清除别的
病毒
的时侯都建议取消所有的本地共享,再进行
杀毒
操作。在平时的使用中,也应注意共享目录的安全性,加设密码,同时,非必要的情况下,不要直接读取远程共享目录中的文件,建议拷贝到本地检查过
病毒
后再进行操作。
==========================
补充一个:
建议您按照下面操作试一试:首先
鼠标
右键点击我的电脑
-
属性
-
系统
还原
-
把在所有驱动器上关闭
系统
还原前面的格子勾上。
然后进入到安全模式(
重启
过程中按
F8
键)把
C:\WINDOWS\Temp
C:\DocumentsandSettings\
用户名
\LocalSettings\Temp
C:\DocumentsandSettings\
用户名
\LocalSettings\TemporaryInternetFiles
3
个
文件夹
里的文件全部清空。
最后再
杀毒
(安全模式下)试一试。
两个文件夹里面的“用户名”是您登陆
系统
的时的登陆名,如果您没有做过修改的话。用户名是:
Administrator
上一篇:
“灰鸽子”网页木马从原理、制作到防范
下一篇:
《瞭望》文章:网络公害有多黑
在线杀毒类别
病毒快讯
漏洞新闻
杀毒技巧
木马查杀
流氓软件
病毒知识
系统安全
网络安全
杀毒软件
专杀工具
在线杀毒
关于Tturl
|
帮助中心
|
广告服务
|
网站提交
|
留言薄
|
友情链接
Tturl.com 版权所有 Copyright©2003-2008
京ICP备06030898
