怎麼清除特洛伊木馬

  木馬也是一個伺服器-客戶端程式,那麼呢?今天小編與大家分享下清除特洛伊木馬的具體操作步驟,有需要的朋友不妨瞭解下。

  清除特洛伊木馬方法

  ●在Win.ini中啟動木馬:

  在Win.ini的[Windows]小節中有啟動命令“load=”和“run=”,在一般的情況下“=”後面是空的,如果後面跟有程式,比如:

  run=C:Windows ile.exe

  load=C:Windows ile.exe

  則這個file.exe很有可能就是木馬程式。

  ●在Windows XP登錄檔中修改檔案關聯:

  修改登錄檔中的檔案關聯是木馬常用的手段,如何修改的方法已在本系列的前幾文中有過闡述。舉個例子,在正常情況下txt檔案的開啟方式為Notepad.exe***記事本***,但一旦感染了檔案關聯木馬,則txt檔案就變成條用木馬程式打開了。如著名的國產木馬“冰河”,就是將登錄檔HKEY_CLASSES_ROOT xtfileshellopencommand子鍵分支下的鍵值項“預設”的鍵值“C:Windows otepad.exe %1”修改為“C:WindowsSystemSysexplr.exe”,這樣,當你雙擊一個txt檔案時,原本應該用記事本開啟的檔案,現在就成了啟動木馬程式了。當然,不僅是txt 檔案,其它型別的檔案,如htm、exe、zip、com等檔案也都是木馬程式的目標,要小心。

  對這類木馬程式,只能檢查登錄檔中的HKEY_CLASSES_ROOT中的檔案型別shellopencommand子鍵分支,檢視其值是否正常。

  ●在Windows XP系統中捆綁木馬檔案:

  實現這種觸發條件首先要控制端和服務端已通過木馬建立連線,控制端使用者使用工具軟體將木馬檔案和某一應用程式捆綁在一起,上傳到服務端覆蓋原有檔案,這樣即使木馬被刪除了,只要執行捆綁了木馬的應用程式,木馬又會被重新安裝了。如果捆綁在系統檔案上,則每次Windows XP啟動都會啟動木馬。

  ●在System.ini中啟動木馬:

  System.ini中的[boot]小節的shell=Explorer.exe是木馬喜歡的藏身之所,木馬通常的做法是將該語句變為這樣:

  Shell=Explorer.exe file.exe

  這裡的file.exe就是木馬服務端程式。

  另外,在[386enh]小節,要注意檢查在此小節的“driver=path程式名”,因為也有可能被木馬利用。[mic]、[drivers]、[drivers32]這三個小節也是要載入驅動程式的,所以也是新增木馬的理想場所。

  ●利用Windows XP登錄檔載入執行:

  登錄檔中的以下位置是木馬偏愛的藏身之所:

  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的鍵值項資料。

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的鍵值項資料。

  HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的鍵值項資料。

  ●在Autoexec.bat和Config.sys中載入執行木馬:

  要建立控制端與服務端的連線,將已添置木馬啟動命令的同名檔案上傳到服務端覆蓋著兩個檔案才能以這種方式啟動木馬。不過不是很隱蔽,所以這種方式並不多見,但也不能掉以輕心。

  ●在Winstart.bat中啟動木馬:

  Winstart.bat也是一個能自動被Windows XP載入執行的檔案,多數時由應用程式及Windows自動生成,在執行了Win或者Kernel386.exe,並載入了多數驅動程式之後開始執行***這可以通過在啟動時按F8選擇逐步跟蹤啟動過程的啟動方式得知***。由於Autoexec.bat的功能可以由 Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被載入執行。

  木馬病毒的通用排查技術

  現在,我們已經知道了木馬的藏身之處,查殺木馬自然就容易了。如果您發現計算機已經中了木馬,最安全最有效的方法就是馬上與網路段開,防止計算機駭客通過網路對您進行攻擊,執行如下步驟:

  l 編輯Win.ini檔案,將[Windows]小節下面的“run=木馬程式”或“load=木馬程式”更改為“run=”,“load=”。

  l 編輯System.ini檔案,將[boot]小節下面的“shell=木馬檔案”更改為“shell=Explorer.exe”。

  l 在Windows XP登錄檔中進行修改:先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支下找到木馬程式的檔名刪除,並在整個登錄檔中查詢木馬程式,將其刪除或替換。但可惡的是,並不是所有的木馬程式都只要刪除就能萬事大吉的,有的木馬程式被刪除後會立即自動添上,這時,您需要記下木馬的位置,即它的路徑和檔名,然後退到DOS系統下,找到這個檔案並刪除。重啟計算機,再次回到登錄檔中,將所有的木馬檔案的鍵值項刪除。