怎麼手工查殺木馬
我們有些時候會中一些很頑強的木馬病毒,很難刪除,基本上防火牆直接不能用了,到底是什麼問題呢?那你知道嗎?下面是小編整理的一些關於的相關資料,供你參考。
手工查殺木馬一、關於木馬
木馬,其實質只是一個網路客戶/服務程式。網路客戶/服務模式的原理是一臺主機提供服務伺服器,另一臺主機接受服務客戶機。作為伺服器的主機一般會開啟一個預設的埠並進行監聽 Listen, 如果有客戶機向伺服器的這一埠提出連線請求Connect Request, 伺服器上的相應程式就會自動執行,來應答客戶機的請求,這個程式稱為守護程序。就我們前面所講的木馬來說,被控制端相當於一臺伺服器,控制端則相當於一臺客戶機,被控制端為控制端提供服務。
手工查殺木馬二、發現木馬
由於木馬是基於遠端控制的程式,因此中木馬的機器會開有特定的埠。一般一臺個人用的系統在開機後最多隻有137、138、139三個埠。若上網衝浪會有其他埠,這是本機與網上主機通訊時開啟的,IE一般會開啟連續的埠:1025,1026,1027……,QQ會開啟4000、4001……等埠。
在DOS命令列下用netstat -na命令可以看到本機所有開啟的埠。如果發現除了以上所說的埠外,還有其他埠被佔用特別是木馬常用埠被佔用,那可要好好查查了,你很有可能“中彩”了!比方說木馬“冰河”所佔用的埠是7626,黑洞2001所佔用的埠是2001,網路公牛用的是234444埠……如果發現這些埠被佔用了,基本上就可以判定: 你中木馬了!
手工查殺木馬三、查詢木馬
首先要使你的系統能顯示隱藏檔案,因為一些木馬檔案屬性是隱藏的。
多數木馬都會把自身複製到系統目錄下並加入啟動項如果不復制到系統目錄下則很容易被發現,不加入啟動項在重啟後木馬就不執行了,啟動項一般都是加在登錄檔中的,具體位置在:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 下所有以“run”開頭的鍵值;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 下所有以“run”開頭的鍵值;
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”開頭的鍵值。
如木馬冰河的啟動鍵值是:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
@="C:\\WINDOWS\\SYSTEM\\KERNEL32.EXE"
廣外女生1.51版的啟動鍵值是:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Diagnostic Configuration"="C:\\WINDOWS\\SYSTEM\\DIAGCFG.EXE"
藍色火焰0.5的啟動鍵值是:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Network Services"="C:\\WINDOWS\\SYSTEM\\tasksvc.exe"
不過,也有一些木馬不在這些地方載入,它們躲在下面這些地方:
①在Win.ini中啟動
在Win.ini的[windows]欄位中有啟動命令“load=”和“run=”,在一般情況下“=”後面是空白的,如果有後跟程式,比方說是這個樣子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,這個file.exe很可能是木馬。
②在System.ini中啟動
System.ini位於Windows的安裝目錄下,其[boot]欄位的shell=Explorer.exe 是木馬喜歡的隱蔽載入之所,木馬通常的做法是將該句變為這樣:shell=Explorer. exe window.exe,注意這裡的window.exe就是木馬程式。
另外,在System.ini中的[386Enh]欄位,要注意檢查在此段內的“driver= 路徑\程式名”,這裡也有可能被木馬所利用。再有,在System.ini中的[mic]、 [drivers]、[drivers32]這三個欄位,這些段也是起到載入驅動程式的作用,但也是增添木馬程式的好場所。
③在Autoexec.bat和Config.sys中載入執行
但這種載入方式一般都需要控制端使用者與服務端建立連線後,將已新增木馬啟動命令的同名檔案上傳到服務端覆蓋這兩個檔案才行,而且採用這種方式不是很隱蔽,所以這種方法並不多見,但也不能因此而掉以輕心哦。
④在Winstart.bat中啟動
Winstart.bat是一個特殊性絲毫不亞於Autoexec.bat的批處理檔案,也是一個能自動被Windows載入執行的檔案。它多數情況下為應用程式及Windows自動生成,在執行了Win並載入了多數驅動程式之後開始執行這一點可通過啟動時按F8鍵再選擇逐步跟蹤啟動過程的啟動方式可得知。由於Autoexec.bat的功能可以由Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被載入執行,危險由此而來。
⑤啟動組
木馬隱藏在啟動組雖然不是十分隱蔽,但這裡的確是自動載入執行的好場所,因此還是有木馬喜歡在這裡駐留的。啟動組對應的資料夾為:C: \Windows\Start Menu\Programs\StartUp,在登錄檔中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。
⑥*.INI
即應用程式的啟動配置檔案,控制端利用這些檔案能啟動程式的特點,將製作好的帶有木馬啟動命令的同名檔案上傳到服務端覆蓋同名檔案,這樣就可以達到啟動木馬的目的了。
⑦修改檔案關聯
修改檔案關聯是木馬常用手段主要是國產木馬,老外的木馬大都沒有這個功能,比方說正常情況下txt檔案的開啟方式為Notepad.EXE檔案,但一旦中了檔案關聯木馬,則txt檔案開啟方式就會被修改為用木馬程式開啟,如著名的國產木馬冰河就是這樣乾的。“冰河”就是通過修改
HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值,將“C: \Windows\Notepad.exe %1”改為“C:\Windows\System\SYSEXPLR.EXE %1”,這樣一旦你雙擊一個txt檔案,原本應用Notepad開啟該檔案的,現在卻變成啟動木馬程式了,好狠毒哦!請大家注意,不僅僅是txt檔案,其他諸如HTM、EXE、ZIP、COM等都是木馬的目標。對付這類木馬,只能檢查HKEY_CLASSES_ROOT\檔案型別\shell\open\command 主鍵,檢視其鍵值是否正常。
⑧捆綁檔案
實現這種觸發條件首先要控制端和服務端已通過木馬建立連線,然後控制端使用者用工具軟體將木馬檔案和某一應用程式捆綁在一起,然後上傳到服務端覆蓋原檔案,這樣即使木馬被刪除了,只要執行捆綁了木馬的應用程式,木馬又會被安裝上去了。繫結到某一應用程式中,如繫結到系統檔案,那麼每一次Windows啟動均會啟動木馬。
當發現可疑檔案時,你可以試試能不能刪除它,因為木馬多是以後臺方式執行的,通過按Ctrl+Alt+Del是找不到的,而後臺執行的應是系統程序。如果在前臺程序裡找不到,而又刪不了提示正在被使用那就應該注意了。
手工查殺木馬四、手工清除
如果你發現自己的硬碟總是莫明其妙地讀盤,軟碟機燈經常自己亮起,網路連線及滑鼠螢幕出現異常現象,很可能就是因為有木馬潛伏在你的機器裡面,此時就應該想辦法清除這些傢伙了。
那麼如何清除木馬而不誤刪其他有用檔案呢?當你通過上述方法找到可疑程式時,你可以先看看該檔案的屬性。一般系統檔案的修改時間應是1999年或1998年而不應該是最近的時間安裝最新的Win2000、 WinXP的系統除外,檔案的建立時間應當不會離現在很近。當看到可疑的執行檔案時間是最近甚至是當前,那八成就有問題了。
首先查程序,檢查程序可以藉助第三方軟體,如Windows優化大師,利用其“檢視程序”功能把可疑程序殺掉後,然後再看看原來懷疑的埠還有沒有開放有時需重啟,如果沒有了那說明你對了,再把該程式刪掉,這樣你就手工刪除了這匹木馬了。
如果該木馬改變了TXT、EXE或ZIP等檔案的關聯,那你應把登錄檔改過來,如果不會改,那就把登錄檔改回到以前的就可以恢復檔案關聯,可通過在DOS下執行scanreg/restore命令來恢復登錄檔,不過這條命令只能恢復前五天的登錄檔這是系統預設的。此舉可輕鬆恢復被木馬改變的登錄檔鍵值,簡單易用。
看過文章“
1.怎麼樣徹底查殺木馬病毒
2.筆記本鍵盤失靈如何解決
3.360安全衛士如何查殺木馬病毒
4.怎樣查殺電腦病毒與木馬程式
5.人人都可防毒 小招掀翻大木馬
6.電腦病毒知識
7.關於防毒軟體安裝使用的誤區
8.為什麼防毒軟體打不開
9.360安全衛士好用嗎