文章內(nèi)容

手動拒絕木馬入侵

發(fā)布時(shí)間: 2012/7/4 11:10:55

　一、開機(jī)自動運(yùn)行解決方法

　　1、Windows優(yōu)化大師：打開“開機(jī)速度優(yōu)化”是否發(fā)現(xiàn)某項(xiàng)是與你的程序無關(guān)，在它的前面格里單擊（程序是空的而有可選項(xiàng)那它一定是木馬�。┰賳螕魞�(yōu)化即可。最好先用“系統(tǒng)安全優(yōu)化”右上角“掃描”單擊看看。

　　2、超級兔子魔法設(shè)置：原理與Windows優(yōu)化大師相同，打開“自動運(yùn)行”單擊左上角的“十”（注：4.2版起“十”將改為可選項(xiàng)）在“進(jìn)程管理”掃描一下，然后在“自動運(yùn)行”里看看（特別注意沒文字標(biāo)出的項(xiàng)，可能是木馬，但也要小心匆刪重要項(xiàng)�。�

　　3、殺毒軟件：最簡單！把所有硬盤掃描一下便OK，但注意病毒庫更新，推薦殺毒軟件：木馬黑星、金山毒霸2002、金山網(wǎng)鏢2002、KV3000、瑞星2002……

　　4、注冊表法：在windows的運(yùn)行里輸入“regedit”進(jìn)入后按地址：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，進(jìn)入開機(jī)運(yùn)行的注冊表項(xiàng)，是否發(fā)現(xiàn)某項(xiàng)是與你的程序無關(guān)（程序是空的而有可選項(xiàng)那它一定是木馬！），按右鍵刪除即可。但也要小心。

　　二、捆綁WINDOWS程序解決方法

　　解決捆綁須先安裝一個(gè)進(jìn)程管理工具，只要可以查看進(jìn)程的什么工具也可（本文以“Windows優(yōu)化大師”的“Windows進(jìn)程管理”為例）。

　　捆綁WINDOWS程序的木馬可分為以下幾種：

　　1、通過寫入注冊表的文件關(guān)聯(lián)進(jìn)行捆綁。清除方法：

　　當(dāng)TXT擴(kuò)展名被捆綁——先打開“Windows進(jìn)程管理”記下進(jìn)程打開TXT擴(kuò)展名的文件后再關(guān)閉，刷新一下“Windows進(jìn)程管理”是否發(fā)現(xiàn)多了一項(xiàng)，沒錯了那就是木馬（如果沒多了一項(xiàng)的話證明TXT擴(kuò)展名沒被捆綁）！被捆綁了就在任何窗口下打開：查看→文件夾選項(xiàng)→文件類型→文本文檔→編輯→再按編輯，在“用于執(zhí)行操作的應(yīng)用程序”下輸入“C:\WINDOWS\NOTEPAD.EXE”單擊確定，退出即可。

　　當(dāng)Run的值沒有存在木馬而又自動運(yùn)行——在windows的運(yùn)行里輸入“Msconfig”，進(jìn)入“系統(tǒng)配置實(shí)用程序”，在“system.ini”的頁面下的“[boot]”里看看某程序的后面是否還有其他程序。例如“shell=Explorer.exe net.exe”那么net.exe就是木馬，可以通過“編輯”來刪除net.exe。如果“system.ini”沒發(fā)現(xiàn)木馬可檢查“Win.ini”的“[windows]”默認(rèn)為:“load= ”、“ run= ”、“NullPort=None”，如果有不同之處可能那個(gè)就是木馬把它刪除即可

　　2、真真正正的Windows文件被捆綁了。

　　清除方法：先打開“Windows進(jìn)程管理”記下進(jìn)程，呈現(xiàn)：當(dāng)運(yùn)行某程序時(shí)發(fā)現(xiàn)多出一個(gè)程序（除自己運(yùn)行的程序除外），因?yàn)閃indows文件已被真真正正的捆綁了，所以只有以沒捆綁覆蓋已捆綁。

　　如果該程序正在運(yùn)行而無法覆蓋，可用以下方法：在windows的主盤（大多為C:\）下的Autoexec.bat右鍵按下編輯，假如正常的文件為EXPLORER.EXE放于D盤，帶木馬的文件在c:\windows的目錄下，側(cè)加入語句：“Copy d:\EXPLORER.EXE c:\windows”，保存后重啟，已把正常的文件為EXPLORER.EXE放于c:\windows了。

　　免疫：好簡單！只要定時(shí)給注冊表備份，windows下所有的EXE文件備份，system.ini備份，win.ini備份，boot.ini備份，Config.ini備份，Autoexec.bat備份……有需要時(shí)可就地取材（旁人：這倒不如把Windows都備份，哈哈）。

　　強(qiáng)烈推薦使用金山網(wǎng)鏢2002，即使中了木馬，末經(jīng)你同意，木馬也毫無作用。

　　文章已到了尾聲，最后送給大家常見木馬的清除方法：

　　1、冰河的幾種清除方法：

　�、僮詭У男遁d功能。
　�、诓糠謿⒍拒浖＃ㄍ扑]：金山毒霸還不錯，能查殺2.2、5.0、6.0冰河）
　�、坌薷淖员�。運(yùn)行regedit，查找下面的鍵值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservice

　　第一步，刪除相對的可疑鍵值（不熟悉的朋友不要亂動）。第二步，重新啟動時(shí)轉(zhuǎn)到DOS下，刪除冰河服務(wù)端（一般默認(rèn)為"c:\windows\c_server.exe"，會變更），這一步很重要，下面再重啟計(jì)算機(jī)即可。

　　2、廣外女生的清除方法：

　�、贇⒍拒浖�。（這個(gè)不好說，較真起來還真不清楚誰能殺掉誰）
　�、趶V外女生自帶的卸載功能。（這個(gè)最方便。自機(jī)試過，沒有后遺癥）
　�、坌薷淖员�。運(yùn)行regedit，查找下面的鍵值，先查看

　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\，但是先不要修改，因?yàn)槿绻@時(shí)就修改注冊表的話，DIAGCFG.EXE進(jìn)程仍然會立刻把它改回來的。打開“任務(wù)管理器”，找到DIAGCFG.EXE這個(gè)進(jìn)程，選中它，按“結(jié)束進(jìn)程”來關(guān)掉這個(gè)進(jìn)程。注意，一定也不要先關(guān)進(jìn)程再打開注冊表管理器，否則執(zhí)行regedit.exe時(shí)就又會啟動DIAGCFG.EXE。把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\的鍵值由原來的C:\WINNT\System32\DIAGCFG.EXE "%1" %*改為"%1" %*。這時(shí)就可以刪除C:\WINNT\System32\目錄下的DIAGCFG.EXE。

　　3、無賴小子2.5版清除方法：

　�、僮詭У男遁d功能。
　�、谀抉R克星。
　�、坌薷淖员恚捍蜷_regedit，查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，刪除它在注冊表中的鍵值，再重啟轉(zhuǎn)如DOS下刪除C：\windows\system下的msgsvc.exe這個(gè)文件（如果服務(wù)端已經(jīng)和可執(zhí)行文件捆綁在一起了，那就只有將那個(gè)可執(zhí)行文件也刪除了！在刪除前請做好備份）。

本文出自：億恩科技【xuefeilisp.com】

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]