关天流行木马的简易处理方法
现在的网络,木马是越来越倡狂了,你一不小心中了,也很难察觉。那么,今天基于WindowsXP给大家简要地讲一讲一般的判断及处理方法。
先认识三大位置:
一是,注册表的启动项(推荐用软件AutoRun)
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Notify
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Shell
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKCU/Software/Microsoft/Windows/CurrentVersion/Run
HKLM/SOFTWARE/Microsoft/Active Setup/Installed Components
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad
包括 开始-程序-启动 里的快捷方式
第二,任务管理器(推荐用软件Process Explorer)
这个不用说,大家都知道,但要识别那些程序是可疑的,你得有相当丰富的经验了。
第三,系统文件夹(木马都会将自身拷贝到当前目录)
如果你不想太依赖工具,那么,看看下面的操作:
开始-CMD-msconfig
打开msconfig以后,系统所有与启动有关的东西都一目了然了,先排除掉所有已知的启动项和服务(服务的进程可以在“我的电脑-右击-管理-控制台-服务-选中服务-右击属性”中看到),那么剩下你就可以逐步筛查,不确定的,可以通过搜索引擎去找一下。
接下来的是关键,确认了小马,那么你可以先到网上找一找相关的专杀或者手动清除的方法。但一般不依赖杀毒工具的话,清除方法如下:
结束掉守护进程(防止其再监控注册表键值)-->清除相关的启动键值-->清除留在系统文件夹的文件。
对于一些比较难缠的守护进程,你也可以使用一个命令:cmd->ntsd -c q -p PID
PID 如果在任务管理器中看不到,选中“查看”-“选择列”-复选“PID”,便可以任务管理器中看到。
对于注册表的修改,AutoRun是个不错的工具,Process Explorer是个挺棒的加强任务管理器。
另外一点是,一些马总是修改EXE、COM、或许特定的程序(notepad.exe hh.exe explorer.exe iexplorer.exe command.com regedit.exe)的关联,记得改回来,否则又死灰复燃。
如果regedit.exe双击无法运行,你就把它重命名regedit.com regedit.scr,都可以运行,改回相关的关联就行了。
还要强掉的一点是:习惯!不要轻易去陌生的网站下载、安装软件,不要以Administrator运行系统,锁注册表,及时给你的系统上补丁(MS也够烂的,华丽的XP也要上这么多块块,唉),禁用webshell。否则,这些小东西会乐不其烦的光顾你的爱机,让它狂奔,让你抓狂地感受“慢”,甚至删掉你的重要文件。
关于文件的轻度恢复,也许你可以试用一下一个软件FinalData,不过,被删除后,又在该单位写入了新的数据,它就无能为力了,只能去更专业的维护站进行抢救了。
上面提到的工具,如果你想要,可以发E-mail给我,注意要注明是要那个哦!
mymail: soft2049@163.com
QQ: 120165908
msn: debugvru@hotmail.com
欢迎指点,交流!一起进步!