木马病毒的通用解法
社区服务
火星文
银行
结婚
道具中心
勋章中心
管理操作原因
基本信息
管理团队
管理操作
在线会员
会员排行
版块排行
帖子排行
手机版
小说论坛
用户中心
搜索
银行
猴岛论坛
帖子
用户
版块
帖子
高级搜索
实物交易发布
校园青春
虚拟交易发布
动漫剧场
综合游戏交流
跑跑卡丁车
CSGO反恐精英
纪念馆
娱乐时尚星座
体育沙龙
关闭
选中
1
篇
全选
猴岛论坛
电脑百科
木马病毒的通用解法
发帖
回复
倒序阅读
最近浏览的帖子
最近浏览的版块
« 返回列表
新帖
悬赏
任务
交易贴
自动发卡
拍卖
红包
际遇红包
3
个回复
[网络问题]
木马病毒的通用解法
楼层直达
猴岛大当家
ZxID:10312751
关注Ta
注册时间
2010-01-12
最后登录
2020-12-22
发帖
22466
在线
11679小时
精华
2
DB
299
威望
3507
保证金
0
桃子
0
鲜花
0
鸡蛋
0
访问TA的空间
加好友
用道具
发消息
加好友
他的帖子
对该用户使用道具
qq
等级:
元老
配偶:
小野喵
【猴岛视频组欢迎您】【跑跑卡丁车欢迎您】【影视❤动漫欢迎您】
举报
只看楼主
使用道具
楼主
发表于: 2010-11-18
0
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了
本帖de评分:
共
1
条评分
DB +10
︶ㄣ半支煙℡
DB
+10
我很赞同
隐藏
本帖de打赏:
共
条打赏
隐藏
打赏
收藏
新鲜事
相关主题
木马病毒的万能查杀方法
木马病毒的六种启动方式
一些木马病毒的进程名,打开任务管理器看看有吗。(转)
不同品牌笔记本电脑电源适配器不能通用的原因。
教你学会几种常用的密码破解法......
无法停止通用卷设备(移动硬盘)的解决方法
❤动漫剧场❤影视天地❤跑跑卡丁车❤视频组欢迎您❤
回复
引用
鲜花[
0
]
鸡蛋[
0
]
猴岛大当家
ZxID:10312751
关注Ta
注册时间
2010-01-12
最后登录
2020-12-22
发帖
22466
在线
11679小时
精华
2
DB
299
威望
3507
保证金
0
桃子
0
鲜花
0
鸡蛋
0
访问TA的空间
加好友
用道具
发消息
加好友
他的帖子
对该用户使用道具
qq
等级:
元老
配偶:
小野喵
【猴岛视频组欢迎您】【跑跑卡丁车欢迎您】【影视❤动漫欢迎您】
举报
只看该作者
沙发
发表于: 2010-11-18
0
版主貌似最近都不在的说
本帖de评分:
共
0
条评分
隐藏
本帖de打赏:
共
条打赏
隐藏
❤动漫剧场❤影视天地❤跑跑卡丁车❤视频组欢迎您❤
回复
引用
新鲜事
鲜花[
0
]
鸡蛋[
0
]
゛蝣蕩啲龍っ
ZxID:7865773
关注Ta
注册时间
2009-07-07
最后登录
2018-11-27
发帖
11129
在线
5088小时
精华
57
DB
4
威望
641
保证金
0
桃子
1
鲜花
0
鸡蛋
0
访问TA的空间
加好友
用道具
发消息
加好友
他的帖子
对该用户使用道具
等级:
元老
配偶:
゛遊蕩的凨つ
‘燕鸥’是种水鸟,听说,它们会从几千里外,飞回自己的家,而且,是‘情有独钟’,终身不换伴侣 ..
举报
只看该作者
板凳
发表于: 2010-11-18
0
感谢分享
本帖de评分:
共
0
条评分
隐藏
本帖de打赏:
共
条打赏
隐藏
回复
引用
新鲜事
鲜花[
0
]
鸡蛋[
0
]
法国面具男丶
ZxID:13377058
关注Ta
注册时间
2010-10-05
最后登录
2024-10-18
发帖
5783
在线
4894小时
精华
0
DB
1044
威望
9749
保证金
0
桃子
2
鲜花
0
鸡蛋
0
访问TA的空间
加好友
用道具
发消息
加好友
他的帖子
对该用户使用道具
qq
等级:
大将
举报
只看该作者
地板
发表于: 2010-11-20
0
谢谢分享
本帖de评分:
共
0
条评分
隐藏
本帖de打赏:
共
条打赏
隐藏
岛国老师全集.zip
[点击下载]
(958.4 K) 下载次数814572
累计下载获得 DB
985452刀
回复
引用
新鲜事
鲜花[
0
]
鸡蛋[
0
]
« 返回列表
发帖
回复
关闭
