关天流行木马的简易处理方法

关天流行木马的简易处理方法

分类:  技巧  |  标签:  电脑

现在的网络，木马是越来越倡狂了，你一不小心中了，也很难察觉。那么，今天基于WindowsXP给大家简要地讲一讲一般的判断及处理方法。

先认识三大位置：

一是，注册表的启动项（推荐用软件AutoRun）

HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify   

HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit   

HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Shell   

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce   

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run  

HKCU/Software/Microsoft/Windows/CurrentVersion/Run   

HKLM/SOFTWARE/Microsoft/Active Setup/Installed Components   

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad   

包括  开始-程序-启动 里的快捷方式

 

第二，任务管理器（推荐用软件Process Explorer）

这个不用说，大家都知道，但要识别那些程序是可疑的，你得有相当丰富的经验了。

 

第三，系统文件夹（木马都会将自身拷贝到当前目录）

 

如果你不想太依赖工具，那么，看看下面的操作：

开始-CMD-msconfig

打开msconfig以后，系统所有与启动有关的东西都一目了然了，先排除掉所有已知的启动项和服务（服务的进程可以在“我的电脑-右击-管理-控制台-服务-选中服务-右击属性”中看到），那么剩下你就可以逐步筛查，不确定的，可以通过搜索引擎去找一下。

接下来的是关键，确认了小马，那么你可以先到网上找一找相关的专杀或者手动清除的方法。但一般不依赖杀毒工具的话，清除方法如下：

结束掉守护进程（防止其再监控注册表键值）-->清除相关的启动键值-->清除留在系统文件夹的文件。

对于一些比较难缠的守护进程，你也可以使用一个命令：cmd->ntsd -c q -p PID

PID 如果在任务管理器中看不到，选中“查看”-“选择列”-复选“PID”，便可以任务管理器中看到。

对于注册表的修改，AutoRun是个不错的工具，Process Explorer是个挺棒的加强任务管理器。

另外一点是，一些马总是修改EXE、COM、或许特定的程序（notepad.exe hh.exe explorer.exe iexplorer.exe command.com regedit.exe）的关联，记得改回来，否则又死灰复燃。

如果regedit.exe双击无法运行，你就把它重命名regedit.com regedit.scr，都可以运行，改回相关的关联就行了。

还要强掉的一点是：习惯！不要轻易去陌生的网站下载、安装软件，不要以Administrator运行系统，锁注册表，及时给你的系统上补丁（MS也够烂的，华丽的XP也要上这么多块块，唉），禁用webshell。否则，这些小东西会乐不其烦的光顾你的爱机，让它狂奔，让你抓狂地感受“慢”，甚至删掉你的重要文件。

关于文件的轻度恢复，也许你可以试用一下一个软件FinalData，不过，被删除后，又在该单位写入了新的数据，它就无能为力了，只能去更专业的维护站进行抢救了。

 

上面提到的工具，如果你想要，可以发E-mail给我，注意要注明是要那个哦！

mymail: soft2049@163.com

QQ: 120165908

msn: debugvru@hotmail.com

欢迎指点，交流！一起进步！