教你手工查杀木马(菜鸟请进,高手飘过)
教你手工查杀木马(菜鸟请进,高手飘过)
2006-9-11
其实手工查杀木马也没什么难的。是真的,不用你有很高的电脑水平。
查杀木马前的准备:windows设置:1、我的电脑-“工具”菜单-文件夹选项-“查看”选项卡-隐藏受保护的操作系统文件 去掉前面的钩。2、还是这里 选中显示所有文件和文件夹。3、隐藏已知文件类型的扩展名前面的钩去掉。确定。进C盘。如果你不能看到有隐藏文件,说明你进程里有可能存在一个名称为svohost.exe的进程。那就先结束进程。然后到本版块的“无法显示隐藏文件解决方法 ”一文如何修复这个问题。OK。隐藏文件显示出来了。如果还没显示。。。。郁闷,那就到我们群里找我。
软件下载:1、木马清道夫。2、DoIt(不是因为程序是我写的。而是,我在杀毒的时候一般都会用的。本站提供下载。
http://conn.siteem.com/other/DoIt.exe)3、灰鸽子清除系统产品(呵呵,太多了。到网上搜下吧。) maxdos3.5(
http://soft.gapple.cn/software.asp?id=641&title=不用光盘进DOS工具,在windows下无法删除的文件,就考虑到dos下吧。)
1、简单些的木马。通常这些木马会在进程里看得到。列举几个:c:\windows\system32\svch0st.exe c:\windows\system32\svohost.exe
c:\windows\svchost.exe c:\windows\winlogon.exe c:\windows\smss.exe 这些文件基本都是系统隐藏只读属性。隐藏得比较好。有的木马图标是一个jpg图片那样子的。任务管理器只有进程名称,没有进程路径,这就用到了刚才下载的DoIt了,可以显示进程路径。当然许多三方软件都可以显示路径的,没必要都用它。spoolsv.exe进程路径应该是c:\windows\system32\spoolsv.exe.有流氓软件此进程的路径为c:\windows\system32\spoolsv\spoolsv.exe 这个请参考菜鸟学习乐园的 将流氓软件清理到底 一文。我们清除此类木马的方法就是,记住木马的路径,然后找到它。结束进程,删除文件。扫描注册表(呵呵,还是DoIt,扫描完成后除了ctfmon全部修复。她会根据实际情况来决定是该删除此值还是修复此值。)在修复之前,对每一个扫描出来的注册表项对应的文件查看一下,以便收集经验,看下他长得什么样。如果进程无法结束,那就钩选DoIt的如果不能结束请用DOS命令结束。一般的进程就可以搞定了。有些木马因为没有别的隐藏方法,准确地说是编程水平太烂,比如我写的木马会藏在c:\windows\downloaded program files 下面。大家可能知道,这里面的文件在 我的电脑 中是看不到的。无论你有没有显示受保护的系统文件和隐藏文件还是没有。也不知道microsoft在搞什么鬼。但用三方软件,比如DoIt(哈哈,怎么又是她,好象我是来推销我的软件的。其实不是,因为我在杀马的时候总是用到她的。)的资源管理器就可以看到。不用多问,全部删除啦。如果仍有些文件无法删除,那我想那个木马具有系统只读隐藏属性。不要紧,DoIt可以帮你解决。她有个文件属性设置工具,在此工具的文本框中输入c:\windows\downloaded program files\+文件名。不要钩选三个选项中的任何一个选项,点确定,成功。然后再删除。但前提是先要结束进程哦。比如黑色幽灵(就是我所谓的我最近写的木马)的进程名为winlogon.exe 路径为c:\windows\downloaded program files\winlogon.exe只读系统隐藏属性。出品公司为microsoft corporation 版本是5.2.3790 。总结一下:看进程路径,扫描注册表,结束进程,找到文件,删除。注册表删除。写了虽然很多,但不麻烦。主要是怕有比我更菜的鸟光临本版。呵呵。
2、麻烦些的木马。插入进程,隐藏进程。唉呀,这个光靠写点东西说不太清楚。主要看你对windows的熟练程度啦。比如,服务,驱动,DLL。我只好大体说下了。系统服务,如果此服务是windows的,那么他一般都会有比较详细的解释。我遇到过chafat服务。明显是木马。描述没有东
西。我在我的博客里也对系统服务有一些解释http:
www.blogwinxp.ccoo.cn可以看一下啊。还有就是驱动。这个更不好看。比如有个不知道是流氓软件还是木马的程序。c:\progra~1\tencent\adplus\setup.exe(好象是这个文件名)。他的驱动是c:\windows\system32\drivers\adprot.sys 还有一个和这个文件差不多。如果你只删除progra~1下面的东西。过一小会接着就会回来。我想应该是他的驱动文件在作怪。当然他也在注册表的run下面有一个自动项。双重保护,比较安全啦。看驱动的方法是看文件的属性。比如创建时间,出品公司文件版本等等。其它也没有好的方法。还有不要轻易删除c:\windows\system32\drivers下面的文件。如果不能确定,到群里问别人。不过我是非常勇敢的。哈哈。对于插入进程,比如我见过的一些鸽子吧。你没有打开任何IE[就是浏览器(我是提示比我菜的鸟的)]窗口,却见有IE进程(c:\program files\internet explorer\iexplorer.exe)那就是有问题了。先要结束这个进程。然后对服务,对驱动,对文件进行判断。着重检查一下隐藏系统文件。逐个看。隐藏进程,那就用刚才下载的木马清道夫来探测下吧。找到后,结束它,删除文件,扫描下注册表。灰鸽子工作室出了个工具也可以探测隐藏进程。其它工具谁有比较好的。共享下啦。
