手动清除木马

页面分类: 木马查杀

天下维客，你可以修改的网络知识库

特洛伊木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在你并不知情的的状态下控制你或者监视你的电脑。下面就讲讲木马经常藏身的地方和清除方法。

查看自己的电脑中是否有木马

1. 当你浏览一个网站，弹出来一些广告窗口是很正常的事情，可是如果你根本没有打开浏览器，而览浏器突然自己打开，并且进入某个网站，那么，你要小心。
2. 你正在操作电脑，突然一个警告框或者是询问框弹出来，问一些你从来没有在电脑上接触过的问题。
3. 你的Windows系统配置老是自动莫名其妙地被更改。比如屏保显示的文字，时间和日期，声音大小，鼠标灵敏度，还有CD-ROM的自动运行配置。→更多相关内容请参见系统设置
4. 硬盘老没缘由地读盘，网络连接及鼠标屏幕出现异常现象。

当然，没有上面的种种现象并不代表你就绝对安全。有些人攻击你的机器不过是想寻找一个跳板。做更重要的事情;可是有些人攻击你的计算机纯粹是为了好玩。对于纯粹处于好玩目的的攻击者，你可以很容易地发现攻击的痕迹;对于那些隐藏得很深，并且想把你的机器变成一台他可以长期使用的肉鸡的黑客们，你的检查工作将变得异常艰苦并且需要你对入侵和木马有超人的敏感度，而这些能力，都是在平常的电脑使用过程日积月累而成的。→更多相关内容请参见木马特性

手动清除木马的方法

1. 检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地址， 再将可疑的删除。
2. 删除上述可疑键在硬盘中的执行文件。
3. 一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat文件，有则删除之。
4. 检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项（如Local Page），如果被修改了，改回来就可以。
5. 检查HKEY_CLASSES_ROOT\inifile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt，.ini等的默认打开程序让病毒“长生不老，永杀不尽”的。
6. 如果有可能，对病毒的母文件进行反汇编，比如我上次中的那个病毒，通过用IDA反汇编，发现它还偷窃系统密码并建立 %systemroot%\system\mapis32a.dll 文件把密码送到一个邮箱中，由于我用的是W2K，所以它当然没有得手。

时刻注意系统的变化，奇怪端口、可疑进程等等。 现在的病毒都不象以前那样对系统数据破坏很严重，也好发现的多，所以尽量自己杀毒（较简单的病毒、木马）。

文章有待完善……（欢迎补充资料）

相关资料

相关条目

防火墙 - 杀毒软件 - 木马黑客 - 木马专杀工具 - 木马查杀

端口 - 进程 - 系统安全 - 系统安装 - 系统设置 - 网络安全

相关链接

• 　http://www.yesky.com/SoftChannel/72348977504190464/20031224/1756394.shtml 天极木马专题
• http://soft.yesky.com/security/muma/ 天极木马专题
• http://www.hacker.cn/Get/mmzq/ 中国安全信息网
• http://www.mmbest.com/ 木马帝国
• http://www.enet.com.cn/eschool/zhuanti/safe/ 硅谷动力计算机网络安全