《电脑技术_手动清除木马的一般方法》由会员分享,可在线阅读,更多相关《电脑技术_手动清除木马的一般方法(3页珍藏版)》请在金锄头文库上搜索。
1、手动清除木马的一般方法首先你要具备一些电脑的常识,比如查看自己的电脑有哪些自启动程序;然后你要对自己的电脑比较熟悉,为什么?晕。 。 。 。 。每个人的电脑都不一样,只有你自己知道自己装了哪些硬件软件。最后要说句,不要怕,做好ghost,系统还原等备份工作。就算系统被你搞崩溃了,你也学到东西了。 首先,你有中了木马的迹象,你应该先看看你的启动组有哪些东西是自动加载的,木马肯定是在这里面的。发现陌生的的程序了?还不止一个?没关系,一个一个来,记下名字。 然后找个进程查看工具(为什么要看进程?木马从来都是没窗体的或隐藏的,但却逃不出进程查看器) ,xp/2000 有自带的工具,ctrl+shift
2、+esc 呼出,98/me 用 windows 优化大师的进程查看器。 找到进程后,先结束他的进程(不然程序在使用中怎么删得到?) ,然后再把自启动项删除(因为高级点的木马有保护功能,如多线裎木马) 。再隔离该可疑程序。最后重起计算机。这步要一个一个的来,不然你怎么知道哪个是木马?但是如果你对自己的电脑很熟悉的话,一般一眼就能看出来哪些不是自己装的程序。 如果还是有中木马的迹象,重复上面的步骤。 如果已经知道木马程序的位置,那么先结束进程,然后删除启动项目,删除木马程序。重起。 看完后,你是不是觉得很简单,就那么几步? :) # windows9x/me 下的一些自启动方法# 1. Autos
3、tart 文件 C:windowsstart menuprogramsstartup chinese/english 在注册表中的位置: HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders Startup=C:windowsstart menuprogramsstartup 所以它将很容易被程序更改 2. Win.ini windows load=file.exe run=file.exe 3. System.ini boot Shell=Explorer.exe file.exe 4. c
4、:windowswinstart.bat 看似平常,但每次都重新启动 5. Registry 键 HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRunServices HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRunServicesOnce HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurre
5、ntVersionRunOnce HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRunServices 6. c:windowswininit.ini 一旦运行就被 windows 删除,安装的 setup 程序常用 Example: (content of wininit.ini)
6、Rename NUL=c:windowspicture.exe 例子:将 c:windowspicture.exe 设置为 NUL, 表示删除它,完全隐蔽的执行!7. Autoexec.bat 在 DOS 下每次自启动 8. Registry Shell Spawning (使用过 Subseven 吗?看看吧)这个方法比较黑的说。-老妖注. HKEY_CLASSES_ROOT exefileshellopencommand =%1 %* HKEY_CLASSES_ROOT comfileshellopencommand =%1 %* HKEY_CLASSES_ROOT batfileshel
7、lopencommand =%1 %* HKEY_CLASSES_ROOT htafileShellOpenCommand =%1 %* HKEY_CLASSES_ROOT piffileshellopencommand =%1 %* HKEY_LOCAL_MACHINE SoftwareCLASSESbatfileshellopencommand =%1 %* HKEY_LOCAL_MACHINE SoftwareCLASSEScomfileshellopencommand =%1 %* HKEY_LOCAL_MACHINE SoftwareCLASSESexefileshellopenco
8、mmand =%1 %* HKEY_LOCAL_MACHINE SoftwareCLASSEShtafileShellOpenCommand =%1 %* HKEY_LOCAL_MACHINE SoftwareCLASSESpiffileshellopencommand =%1 %* 这些%1 %*需要被赋值, 如果将其改为 server.exe %1 %*, server.exe 将在每次启动时被执行,这些 exe/pif/com/bat/hta 等文件都可被执行 9. Icq Inet HKEY_CURRENT_USERSoftwareMirabilisICQAgentAppstest P
9、ath=test.exe Startup=c:test Parameters= Enable=Yes HKEY_CURRENT_USERSoftwareMirabilisICQAgentApps 当 icq 发现网络连接时,将被执行(我使用的 icq2000b 的键值有所不同,但您可以自行查找) 您发现 OICQ 有这方面的问题吗?_. 9. 杂项说明 找找以下的键值: HKEY_LOCAL_MACHINE SoftwareCLASSESShellScrap =Scrap object NeverShowExt= NeverShowExt 键 可以隐藏 SHS 文件的扩展名.shs 如果你将一个文件改名为:abc.jpg.shs 它只显示abc.jpg 如果你的注册表里有很多 NeverShowExt 键值,删除他们。 注意: 这些方法不能全部适应 Win2K,但您可以自行检测。
