萬能木馬查殺方法

1、木馬”程序會想盡一切辦法隱藏自己，主要途徑有：在任務(wù)欄中隱藏自己，這是最基本的辦 法。只要把Form的Visible屬性設(shè)為False，ShowInTaskBar設(shè)為False，程序運行時就不會出現(xiàn) 在任務(wù)欄中了。在任務(wù)管理器中隱形：將程序設(shè)為系統(tǒng)服務(wù)可以很輕松地偽裝自己。當然它也 會悄無聲息地啟動，黑客當然不會指望用戶每次啟動后點擊木馬圖標來運行服務(wù)端，木馬會 在每次用戶啟動時自動裝載。Windows系統(tǒng)啟動時自動加載應(yīng)用程序的方法，木馬都會用上， 如：啟動組、Win.ini、System.ini、注冊表等都是木馬藏身的好地方。下面具體談?wù)勀抉R是怎樣自動加載的。在Win.ini文件中，在WI

2、NDOWS下面，run= 和load=是可能加載木馬程序的途徑，必須仔細留心它們。一般情況下，它們的等號后面應(yīng) 該什么都沒有，如果發(fā)現(xiàn)后面跟有路徑與文件名不是你熟悉的啟動文件，你的計算機就可能中木 馬了。當然你也得看清楚，因為好多木馬”，如%01 Trojan木馬”，它把自身偽裝成 command.exe（真正的系統(tǒng)文件為）文件，如果不注意可能不會發(fā)現(xiàn)它不是真正的 系統(tǒng)啟動文件（特別是在Windows窗口下）。在System.ini文件中，在BOOT下面有個shell=文件名。正確的文件名應(yīng)該是 explorer.exe，如果不是explorer.exe，而是shell= explorer.e

3、xe 程序名，那么后面跟著的那 個程序就是木馬程序，就是說你已經(jīng)中木馬了。注冊表中的情況最復(fù)雜，通過regedit命令 打 開 注 冊 表 編 輯 器， 在 點 擊 至： HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun目錄下，查看鍵值中有 沒有自己不熟悉的自動啟動文件，擴展名為EXE，這里切記：有的木馬程序生成的文件很像系 統(tǒng)自身文件，想通過偽裝蒙混過關(guān)，如Acid Battery v1.0木馬，它將注冊表 HKEY-LOCAL-MACHINESO FTWAREMicrosoftWindowsCurrentVersionR

4、unT的 Explorer 鍵值改 為Explorer= CWINDOWSexpiorer.exe，木馬程序與真正的Explorer之間只有丫與l的差別。 當然在注冊表中還有很多地方都可以隱藏 木馬程序，如： HKEY-CURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun、HKEY-USERS*SoftwareMicrosoftWindowsCurrentVersionRun”的目錄下都有可能，最好的辦 法就是在HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun下找到木馬程序

5、的文件 名，再在整個注冊表中搜索即可。知道了木馬的工作原理，查殺木馬就變得很容易，如果發(fā)現(xiàn)有木馬存在，最有效的方 法就是馬上將計算機與網(wǎng)絡(luò)斷開，防止黑客通過網(wǎng)絡(luò)對你進行攻擊。然后編輯win.ini文件，將 WINDOWS下面，run=木馬”程序”或load=木馬”程序”更改為run=和load=；編輯 system.ini 文件，將BOOT下面的shell=木馬文件，更改為：shell=explorer.exe；在注冊表 中， 用 regedit 對 注 冊 表 進 行 編 輯， 先 在 HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVers

6、ionRun下找到木馬程序的文 件名，再在整個注冊表中搜索并替換掉木馬程序，有時候還需注意的是：有的木馬程序并不 是直接 將HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun下的木馬鍵 值刪除就行了，因為有的木馬如：BladeRunner木馬，如果你刪除它，木馬會立即自動加上， 你需要的是記下木馬的名字與目錄，然后退回到MS-DOS下，找到此木馬文件并刪除掉。重 新啟動計算機，然后再到注冊表中將所有木馬文件的鍵值刪除。至此，我們就大功告成了。發(fā)現(xiàn)病毒，無法清除怎么辦?Q：發(fā)現(xiàn)病毒，但是無論在安全模式還是Windows下都無法清

7、除怎么辦？A：由于某些目錄和文件的特殊性，無法直接清除（包括安全模式下殺毒等一些方式殺毒）， 而需要某些特殊手段清除的帶毒文件。以下所說的目錄均包含其下面的子目錄。1、帶毒文件在Temporary Internet Files 目 錄下。由于這個目錄下的文件，Windows會對此有一定的保護作用（未經(jīng)證實）。所以對這個目錄 下的帶毒文件即使在安全模式下也不能進行清除，對于這種情況，請先關(guān)閉其他一些程序軟件， 然后打開IE，選擇IE工具欄中的工具Internet選項，選擇刪除文件刪除即可，如果有提 示刪除所有脫機內(nèi)容，也請選上一并刪除。2、帶毒文件在_Restore目錄下，或者System Vo

8、lume Information目錄下。這是系統(tǒng)還原存放還原文件的目錄，只有在裝了 Windows Me/XP操作系統(tǒng)上才會有這個目 錄，由于系統(tǒng)對這個目錄有保護作用。對于這種情況需要先取消”系統(tǒng)還原”功能，然后將帶毒文 件刪除，甚至將整個目錄刪除也是可以的。關(guān)閉系統(tǒng)還原方法。WindowsMe的話，禁用系統(tǒng)還 原，DOS下刪除。XP關(guān)閉系統(tǒng)還原的方法：右鍵單擊我的電腦”，選屬性”一系統(tǒng)還原”一一 在在所有驅(qū)動器上關(guān)閉系統(tǒng)還原”前面打勾一一按確定退出。3、帶毒文件在.rar、.zip、.cab等壓縮文件中。現(xiàn)今能支持直接查殺壓縮文件中帶毒文件的反病毒軟件還很少，即使有也只能支持常用的一 些壓縮

9、格式；所以，對于絕大多數(shù)的反病毒軟件來說，最多只能檢查出壓縮文件中的帶毒文件， 而不能直接清除。而且有些加密了的壓縮文件就更不可能直接清除了。要清除壓縮文件中的病毒，建議解壓縮后清除，或者借助壓縮工具軟件的外掛殺毒程序的功 能，對帶毒的壓縮文件進行殺毒。4、病毒在引導(dǎo)區(qū)或者SUHDLOG.DAT或SUHDLOG.BAK文件中。這種病毒一般是引導(dǎo)區(qū)病毒，報告的病毒名稱一般帶有boot、wyx等字樣。如果病毒只是 存在于移動存儲設(shè)備（如軟盤、閃存盤、移動硬盤）上，就可以借助本地硬盤上的反病毒軟件直 接進行查殺；如果這種病毒是在硬盤上，則需要用干凈的可引導(dǎo)盤啟動進行查殺。對于這類病毒建議用干凈軟盤啟

10、動進行查殺，不過在查殺之前一定要備份原來的引導(dǎo)區(qū)，特 別是原來裝有別的操作系統(tǒng)的情況，如日文Windows、Linux等。如果沒有干凈的可引導(dǎo)盤，則可使用下面的方法進行應(yīng)急殺毒：（1）在別的計算機上做一張干凈的可引導(dǎo)盤，此引導(dǎo)盤可以在Windows 95/98/ME系統(tǒng)上通 過”添加/刪除程序”進行制作，但要注意的是，制作軟盤的操作系統(tǒng)須和自己所使用的操作系統(tǒng)相同；（2）用這張軟盤引導(dǎo)啟動帶毒的計算機，然后運行以下命令：A:fdisk/mbrA:sys a: c:如果帶毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中，那么直接刪除即可。這是 系統(tǒng)在安裝的時候?qū)τ脖P引導(dǎo)區(qū)做的一個

11、備份文件，一般作用不大，病毒在其中已經(jīng)不起作用了。5、帶毒文件的后綴名是.vir、.kav、.kbk等。這些文件一般是一些防毒軟件對原來帶毒的文件做的備份文件，一般情況下，如果確認這些 文件已經(jīng)無用了，那就將這些文件刪除即可。6、帶毒文件在一些郵件文件中，如dbx、eml、box等。有些防毒軟件可以直接檢查這些郵件文件中的文件是否帶毒，但往往不能對這些帶毒的文件 直接的進行操作，對于一些郵箱中的帶毒的信件，可以根據(jù)防毒軟件提供的信息找到那帶毒的信 件，刪除信件中的附件或者刪除該信件；如果是eml、nws一些信件文件帶毒，可以用相關(guān)的郵 件軟件打開，確認該信件及其附件，然后刪除相關(guān)內(nèi)容。一般有大

12、量的eml、nws的帶毒文件的 話，都是病毒自動生成的文件，建議都直接刪除。7、文件中有病毒的殘留代碼。這種情況比較多見的就是帶有CIH、Funlove、宏病毒（包括Word、Excel、Powerpoint和 Wordpro等文檔中的宏病毒）和個別網(wǎng)頁病毒的殘留代碼，通常防毒軟件對這些帶有病毒殘留代 碼的文件報告的病毒名稱后綴通常是int、app等結(jié)尾，而且并不常見，如W32/FunLove.app、 W32.F。一般情況下，這些殘留的代碼不會影響正常程序的運行，也不會傳染，如果 需要徹底清除的話，要根據(jù)各個病毒的實際情況進行清除。8、文件錯誤。這種情況出現(xiàn)的并不多，通常是某些防毒軟件將原來

13、帶毒的文件并沒有很干凈地清除病毒， 也沒有很好的修復(fù)文件，造成文件無法正常使用，同時造成別的防毒軟件的誤報。這些文件可以 直接刪除。9、加密的文件或目錄。對于一些加密了的文件或目錄，請在解密后再進行病毒查殺。10、共享目錄。這里包括兩種情況：本地共享目錄和網(wǎng)絡(luò)中遠程共享目錄（其中也包括映射盤）。遇到本地 共享的目錄中的帶毒文件不能清除的情況，通常是局域網(wǎng)中別的用戶在讀寫這些文件，殺毒的時 候表現(xiàn)為無法直接清除這些帶毒文件中的病毒，如果是有病毒在對這些目錄在寫病毒操作，表現(xiàn) 為對共享目錄進行清除病毒操作后，還是不斷有文件被感染或者不斷生成病毒文件。以上這兩種 情況，都建議取消共享，然后針對共享目錄進行徹底查殺，恢復(fù)共享的時候，注意不要開放太高 的權(quán)限，并對共享目錄加設(shè)密碼。對遠程的共享目錄（包括映射盤）查殺病毒的時候，首先要保 證本地計算機的操作系統(tǒng)是干凈的，同時對共享目錄也有最高的讀寫權(quán)限。如果是遠程計算機感 染病毒的話，建議還是直接在