|
 | 作者: xiaoyue [xiaoyue]
 论坛用户 |
登录 |
| 手工清除木马的方法和可靠性????高手来指教一下! 从注册表中删除~~~~~就一定能搞定吗 |
| 地主 发表时间: 08/27 00:16 |
 | 回复: devil [deviltyd] 论坛用户 |
登录 |
|
难。 重装嘛 |
| B1层 发表时间: 08/27 12:34 |
 | 回复: bluesky [bluesky] 论坛用户 |
登录 |
|
木马文件肯定要删吧~~!! |
| B2层 发表时间: 08/27 13:25 |
| 回复: xiaoyue [xiaoyue] 论坛用户 |
登录 |
|
倒~~ 一遇就重装,那不是忙死了 |
| B3层 发表时间: 08/27 20:07 |
| 回复: xiaoyue [xiaoyue] 论坛用户 |
登录 |
|
删是当然要删的~~ 关键在于从那里删~~怎么删的问题,你说了~ |
| B4层 发表时间: 08/27 20:08 |
 | 回复: shuaishuai [shuaishuai]  论坛用户 |
登录 |
|
杀了启动,恢复文件关联后,系统内的木马删不删倒没有关系 |
| B5层 发表时间: 08/27 20:27 |
 | 回复: tabris17 [tabris17] 论坛用户 |
登录 |
|
这要没感染系统文件 很好杀的 |
| B6层 发表时间: 08/27 21:32 |
 | 回复: nightcolor [nightcolor]  版主 |
登录 |
|
只要改掉启动和配置里面的项目就可以了 删点文件很容易造许多程序运行的错误 |
| B7层 发表时间: 08/27 21:48 |
 | 回复: sgpeng [sgpeng] 论坛用户 |
登录 |
|
对,首先要改的就是注册表……让他起不来……哈哈%…… |
| B8层 发表时间: 08/27 23:02 |
 | 回复: yjfwindows [yjfwindows]  论坛用户 |
登录 |
|
也不是呀...现在大部分都捆绑了程序: 所以.??? |
| B9层 发表时间: 08/28 00:42 |
| 回复: sgpeng [sgpeng] 论坛用户 |
登录 |
|
那就全删! |
| B10层 发表时间: 08/28 01:03 |
| 回复: yjfwindows [yjfwindows] 论坛用户 |
登录 |
|
不是吧..全删.机子还要启动吗? |
| B11层 发表时间: 08/28 09:52 |
 | 回复: jianxiaots [jianxiaots] 论坛用户 |
登录 |
|
他吗的,我的机器没有什么好保密的,去他吗的,我就不删,爱干嘛干嘛去,只是,呵呵,qq和幽香的密码,小心点 今天删了,不定明天又有了呢,还装?还删?累他吗个半死啊…… 改注册表,容易弄乱,弄不好还是重装 |
| B12层 发表时间: 08/28 12:35 |
| 回复: xiaoyue [xiaoyue] 论坛用户 |
登录 |
|
怎么建议重装的这么多…我就是不想重装想学学东东才提出要手工删除的撒`!哎… 居然没人理解………………… 只有四不向!!理解我,呵… |
| B13层 发表时间: 09/01 16:19 |
 | 回复: sunrain [sunrain] 论坛用户 |
登录 |
|
有些木马不是一个地方的!还有其他的备份的!涮一处另一处还有!不知道怎么找到全部的! |
| B14层 发表时间: 09/01 16:23 |
| 回复: xiaoyue [xiaoyue] 论坛用户 |
登录 |
|
是撒是撒,一样的感觉… 你删掉一个,或从启动项里X掉都不行,郁闷 |
| B15层 发表时间: 09/01 17:43 |
 | 回复: xiaoan [xiaoan]  论坛用户 |
登录 |
|
不好删 我上次删的时候,找到了木马后 一删 机子根本就没法启动了 最后还是重装系统了 |
| B16层 发表时间: 09/01 19:12 |
 | 回复: free [free] 论坛用户 |
登录 |
|
手工删除,最好是知道自己中的哪种,了解它的话当然手工删除会好一些。不过如果不了解自己的情况,我看还是不太容易的,现在的木马越来越狡猾了。 |
| B17层 发表时间: 09/01 23:01 |
 | 回复: ma2751_cn [ma2751_cn]  |
登录 |
|
1。清除启动项木马的键值。防止重启电脑木马运行。(木马开机启动不只是注册表,但一般大多都在这里了。} 2。找个杀进程的工具杀掉木马进程,保留木马文件{等下还有用}。然后逐个运行一般网络或系统里最常用的软件{一般是windows系统捆绑的软件}。再查查看是不是木马再次运行,找到木马文件关联,在注册表里删除或修改文件关联, 3。删除木马文件。。。 4。OK了,这个方法对付好多木马都应该有效了~~ |
| B18层 发表时间: 09/02 00:14 |
| 回复: ranchuan [ranchuan] 版主 |
登录 |
|
要将所有启动项删掉 同时还要删掉原程序 |
| B19层 发表时间: 09/02 16:02 |
| 回复: xiaoyue [xiaoyue] 论坛用户 |
登录 |
|
大家有关于手工清除木马的文章没介绍一些,发上来让大家也分享一下经验撒… |
| B20层 发表时间: 09/05 00:49 |
 | 回复: CyberSpy [cyberspy] 论坛用户 |
登录 |
|
病毒和木马入侵招数大暴光(from bbs.iduba.net by huohu) 1.修改批处理 很古老的方法,但人有人使用,一般通过修改下列三个文件来作案: Autoexec.bat(自动批处理,在引导系统时执行) Winstart.bat(在启动GUI图形界面环境时执行) Dosstart.bat(在进入MS-DOS方式时执行) 例如:编辑C:\windows\dosstart.bat,加入:start Notepad.当你进入"MS-DOS方式"时,就可以看到记事本被启动了.这个方法也适用于大家在别人的机器上搞破坏(建议不要这么做) 2.修改系统配置 常使用的方法,通过修改系统配置文件System.ini,Win.ini来达到自动运行的目的,涉及范围有: [windows] load=程序名 run=程序名 在System.ini文件中: [boot] shell=Explorer.exe 其中修改System.ini中Shell值的情况要多一些,病毒木通过修改这里使自己成为Shell,然后加载Explorer.exe,从而达到控制用户电脑的目的. 3.借助自动运行功能 这是黑客最新研发成果,之前方法不过被发烧的朋友用来修改硬盘的图表而已,如今它被赋予了新的意义,黑客甚至声称这是Windows的新BUG. Windows的自动运行功能确实很烂,早年许多朋友因为自动运行的光盘中带有CIH病毒而中招,现在不少软件可以方便的禁止光盘的自动运行,但硬盘呢?其实硬盘也支持自动运行,你可以尝试D盘根目录下新建一个autorun.inf.用记事本打开他,输入以下内容: [autorun] open=notepad.exe 保存后进入"我的电脑"按F5键刷新一下,然后双击D盘盘符,怎么样?记事本打开了,而D盘却没有打开. 当然以上只是一个简单的实例,黑客做得要精密很多,他们会把程序改名为" .exe"(不是空格,而是中文的全角空格,这样在Auorun.ini中只会看到"open="而被忽略,此种行径在修改系统配置是也常使用,如"load= run= (你能看出这里有两个全角空格嘛) 为了更好的隐藏自己,其程序运行后,还会替你打开硬盘,让你难以查觉. 4.通过注册表中的Run来启动 很老套的方法,但80%的黑客仍在使用,通过在Run,RunOnce,RunOnceEx,RunServices,RunServicesOnce中添加键值,可以比较容易地实现程序的加载,黑客尤其方便在带"Once"的主键中做手脚,因此带"Once"的键值,在程序运行后将被删除,因此当用户使用注册表修改程序查看是,不会发现异样.另外,还有这样的程序"在启动是删除Run中的键值,而在推出时(或关闭系统时)又添加键值,达到隐藏自己的目的.(这种方法的缺点是害怕恶意关机或停电) 5.通过文件关联启动 很受黑客喜爱的方式,通过EXE文件的关联(主键为:exefile),让系统在执行任何程序之前都运行木马,真的好毒(我最讨厌这样的木马了,害死了)通常修改的还有txtfile(文本文件的关联,谁不用用记事本呢?),regfile(注册表文件关联,一般用来防止用户恢复注册表,例如让拥护双击.reg文件就关闭计算机),UNkown(未知文件关联,我在朋友网吧经常遇到这样的问题,有时候快给我气死了).为了防止用户恢复注册表,用此法的黑客通常还连带谋杀scanreg.exe,sfc.exe,Extrac32.exe,regedit.exe等程序,阻碍用户修复. 6.通过API HOOK 启动 这种方法较为高级,通过替换系统的DLL文件,让系统启动指定的程序.例如:拨号上网的用户必须使用Rasapi32.dll中的API函数来进行连接,那么黑客就会替换这个DLL,当用户的应用程序调用这个API函数,黑客的程序就会先启动,当然调用真正的函数完成这个功能(特别提示:木马可不一定是.EXE,还可以是DLL,VCD)这样即方便隐藏(不伤食时根本不运行).中此病毒的虫子,只有两中选择.Ghost从装系统. 7.通过.vxd启动 此法也是高手专用版,通过木马写成VXD形式加载.直接控制系统底层,极为罕见.它们一般在注册表[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD]主键中启动,很难发觉,解决方法最好也是用Ghost或从装新系统 最后一些方法是通过浏览网页启动,利用Jave applet,利用系统自动运行的程序.就不详细说明了~! |
| B21层 发表时间: 09/07 15:30 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 手工清除木马的方法和可靠性????高手来指教一下!