-
您的位置:首页 → 网络冲浪 → 病毒快报 → 木马蠕虫清除完全攻略
木马蠕虫清除完全攻略
时间:2004/10/8 16:41:00来源:本站整理作者:蓝点我要评论(0)
-
木马和蠕虫有相似的地方,都是程序,都运行在目标机器上,并且目前的程序,有木马和蠕虫甚至和病毒相结合的趋势。
不过只要是木马和蠕虫,没有病毒的特征,那么,至少,它不会感染文件,如果感染的话,也是文件完全被木马和蠕虫所代替,而原来文件本身,因为木马和蠕虫要隐藏自己,这个文件必然还要保留以实现本身的功能,所以一般是被他们改名或移动位置。
根据以上特点,所以,木马和蠕虫在一般情况下,是可以手动清除的,个别比如某些版本的求职信,某些版本的冰河,都带有寄生功能,所以,手动清除是不可能了,这些就要跟病毒的清除方法一样了,不再多说。
既然木马和蠕虫,都要在目标机器上运行,我们就看看,他们一般都采取什么方法。
1.注册表
注册表里,也是最多的一种,在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,或者runonce,runservice,runserivceonce;或者在HKEY_CURRENT_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run。runonce,runservice,runserviceonce。
并且运行以run和runservice为多,因为带once的,运行了就从里面删除掉了,要想再运行,就要在关闭系统的时候,再加上,这样的程序有好处也有坏处,好处是看不到注册表里的运行痕迹,但坏处是,如果对方不正常关机,那就没办法加载了,不过这些程序不会用一种方法的,所以这种情况也可能出现。
2.服务
运行在服务里,也是很好的方法,并且服务里运行的东西也很多,不是非常熟悉的话,的确很难判断哪个是木马或蠕虫程序。
3.文件关联
如果放在注册表的run里面,也是容易被发现并且删除的,所以,他们一般采取的备用措施都是关联文件,很多都是关联txt或exe文件,只要你打开这些文件,备用程序就会运行,并且再生成服务文件。
4.在system.ini的shell里
shell=explorer,这个是默认的,不过有些程序会修改这里
或者是shell=其他程序,或者是shell=explorer,其他程序
后者的好处是,运行后隐藏在explorer的进程里了,在进程列表里不好找到。
5.win.ini里的load和run
这里也是加载东西的好地方
知道了如何运行,就可以针对性的清除了。
首先,运行regedit,如果这个时候不能运行,那就可能是exe文件被关联了,并且关联文件有问题,如果可以运行,还好说点,这个时候察看进程,把可疑的进程终止掉,这个顺序的用意是,防止关联文件重新启动程序。
终止掉后,察看上面说的地方,是否有可疑的程序存在,有则删除之,不能确定的话,有个简单判断方法,因为木马程序为了隐藏自己,一般用了比较隐蔽的图标,而这个又暴露了他自己,比如你看到运行里的程序,图标居然是个文本文件的图标,这肯定不对,因为文本文件图标本身不可能在自动运行里面的。
删除之前纪录下文件位置,删除后,找到文件,删除之,如果不能删除,那么就还在运行,也就是刚才进程里面没有终止掉,或者没在进程里,看看服务里有没有相关的部分,然后停止或者删除。如果文件不能删除,下次启动到安全模式,把文件删除。
察看txt和exe等等文件的关联,恢复默认设置,有的是修改dll文件的打开方式的,也修改回去。有的人要问了,这么多文件关联,如何看的出来呢?
其实,你删除文件并且重新启动后,看看那些删除掉的东西是否有死灰复燃了,通过这些,很容易判断是通过什么方式重新加载的。
察看上面说的其他地方,是否有了变化,因为其他地方变化是很容易看的出来的,修改并且删除相关文件。
在执行完了这些东西后,我们再重起一次计算机,察看是否还有问题,如果还有,就要进一步检查了。
有的程序比较黑,让你无法判断,进程里没什么太大变化,比如你看到运行里有c:\windows\system\scanregw.exe,你会怎么办?其实,这样的程序如果熟悉,就会知道了,scanregw文件是在windows目录,而不是system目录,所以察看的时候,一定要注意目录是否正确。还有的程序,是把原来程序替换掉,然后自己代替位置,不过一般会把原来程序改名或移动位置的,比如qq密码盗贼,就是替换掉了输入法,这个也是比较容易判断的,可以察看运行里的正常程序的文件时间,文件大小来判断是否已经被替换,可以通过系统文件检查器来协助完成。
现在蠕虫很多通过scripts来调用,很多是通过系统漏洞,这个可以通过补丁来解决。
现在拿我第一次清除新happy病毒(VBS.KJ)的过程,来介绍一下,因为当时它刚出现,所以具体症状和发作都没看资料,所以应该会对大家有点帮助吧。
在我察看的时候,首先打开注册表,查看了进程,看到几个可疑的,终止掉,看到注册表里运行中有kernel.dll,查找到文件,删除掉,删除之前我多了个心眼,察看了下这个文件内容,是scripts的,可见dll文件关联被修改了,回去找到dllfiles,把里面的东西按照正常的键值修改回来。这个程序主要是还生成了很多desktop.ini和folder.htt,取消按web页查看,防止察看的时候运行里面程序,查找文件,并且删除掉时间比较新的那些。重新启动,然后察看注册表里被我修改了的东西,是否有变化,没有变化,进程里也正常,本次查杀过程结束。
另外一次也很有代表性,系统98,在一次玩游戏的时候,ftp2000看到进程里有个qq密码盗贼1.2版,现在就介绍这个程序的查杀过程。
查看进程,注册表,删除掉可疑的东西以及文件,基本操作跟上面差不多,重新启动计算机后,居然它又出现了,重新上面步骤,重新启动到安全模式,这次没有出现,察看注册表,也没什么可疑的。
这个时候想到是否替换了文件,目光放到了internat.exe文件,也就是输入法文件。查找文件,居然找到了三个,其中两个文件大小一样,另外一个大小不同,时间也不一样,当然,有一个扩展名非exe,扩展名是什么现在也忘了,不好意思,把这个不是exe的改回exe,其他文件改名备份,修改完后,重新启动,这个时候,进程里没有了这个文件,说明他就是利用了输入法这个程序做掩护来运行的,然后把备份的文件删除,这次查杀结束。
相关阅读
Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么
-
热门文章
没有查询到任何记录。
最新文章
火球病毒是什么意思 火360保险箱如何保护程序
安卓手机病毒Android.KungFu来袭 用户小心流lpk.dll是什么病毒_lpk.dll病毒专杀方法BMW病毒技术深入分析“图片大盗”通过聊天传播 专盗网游账号
人气排行
eset nod32序列号 nod32升级id 2009年8月28lpk.dll是什么病毒_lpk.dll病毒专杀方法最厉害病毒排行榜职业盗号的基本流程试图连接本机的IP端口,该操作被拒绝VBS病毒制造机v1.0 分析报告360保险箱如何保护程序和游戏账号中搜.桌面传媒Deskipn专杀彻底删除办法
查看所有0条评论>>