17173全新积分兑换系统上线 点卡周边等你拿>>>详情点击
清除木马流程
作者:魔法师XP 本文获得:积分 >>注册成为17173作家
此文为17173玩家原创,获得积分奖励。 >>17173积分兑换方法
有很多朋友中了木马又不知如何解决,在这里向大家提供一个清除一般木马的过程,记得先拔掉网线。
一般病征是开机时防毒软件和防火墙不能运行;在没有新装程序下比之前慢了许多;无故IE/OUTLOOK弹出来;无故长时间读盘;无故连上ADSL等。
木马有一些没有自我保护,删了就没问题。有一些会自我复制和自我保护,一定要找到源头和所有生成的复制品才能彻底消灭,否则你删了它又马上出现。
清除木马的第一步就是要在硬盘找出那些是木马档案,如果你没有进程管理程序,可到下面网址,http://aldostools.mysite4now.com/speedup.zip 下载进程管理程序,但是英文版的。按下All后会见到有那些常驻程序,按下Hidden会见到那些隐藏的常驻程序,下面列出以98/Me为例的一般常驻程序:
正常的程序,注意没有用数字0,1为档名
------------------------------------
c:\\windows\\system\\kernel32.dll
c:\\windows\\system\\msgsrv32.exe
c:\\windows\\system\\spool32.exe
c:\\windows\\system\\mprexe.exe
c:\\windows\\system\\mmtask.tsk
c:\\windows\\explorer.exe
c:\\windows\\system\\internat.exe
c:\\windows\\taskmon.exe
c:\\windows\\system\\systray.exe
c:\\windows\\system\\wmiexe.exe
c:\\windows\\system\\restore\\stmgr.exe
c:\\windows\\system\\prpcui.exe
c:\\windows\\system\\ddhelp.exe
c:\\windows\\system\\rnaapp.exe
c:\\windows\\system\\tapisrv.exe
c:\\program files\\internet explorer\\iexplore.exe
如果你的常驻程序不止这些,有可能会是显卡、音效卡、防毒软件、防火墙、ADSL上网程序等。具体要自己看看安装目录和档案名,判断是不是合法的程序。
一般木马都会用类似上面进程的名字,例如:
kernel32.dll -> kernel16.dll, kernel32.exe
explorer.exe -> expl0rer.exe, exp1orer.exe (注意区分数字和英文字母)
internat.exe -> intrenet.exe, internet.exe
iexplore.exe -> iexplorer.exe, iexpl0re.exe
遇到这些档名必属木马或病毒。
第二步就要看注册表有没有可疑程序,打开 regedit,在下面位置看有没有:
\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce
\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx
\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServicesOnce
第三步就要看 system.ini
[boot]
shell=Explorer.exe (这行的后面应该没有任何程序)
第四步把一至三步找出的怀疑档案和位置记下
第五步打开 msconfig,在开启那里记下目前那些程序是打勾的,然后把所有改成不打勾,重新启动电脑。重起后用 SpeedUp 或 msconfig 看有那些程序又自动执行,这些大多就是木马。
到这里你应该找出了所有在硬盘的木马程序了,接着可以进行删除。
第六步,用安全的开机磁碟(没有就去控制面版->添加/删除程序那里建立一片),最好不载入任何东西,把在第四步和第五步找出的怀疑档案全部删掉,接着取出软碟用硬盘起动。
第七步,再重新看一次还有没有木马再出现,有的话就是检查得不够仔细,再由第一步重做一次。
第八步,如果不再见到木马,恭喜你,木马已经清除,这时可把原来第五步改成不打勾的重新打勾,当然木马除外,把注册表的木马登记删掉,把 system.ini 里 Explorer.exe 后再面的删掉,然后重起一次电脑。
上面看起来有点复杂,如果你还是不怎么明白就最好重新格式化一遍或请人帮手算了,希望可以帮到大家。
一般病征是开机时防毒软件和防火墙不能运行;在没有新装程序下比之前慢了许多;无故IE/OUTLOOK弹出来;无故长时间读盘;无故连上ADSL等。
木马有一些没有自我保护,删了就没问题。有一些会自我复制和自我保护,一定要找到源头和所有生成的复制品才能彻底消灭,否则你删了它又马上出现。
清除木马的第一步就是要在硬盘找出那些是木马档案,如果你没有进程管理程序,可到下面网址,http://aldostools.mysite4now.com/speedup.zip 下载进程管理程序,但是英文版的。按下All后会见到有那些常驻程序,按下Hidden会见到那些隐藏的常驻程序,下面列出以98/Me为例的一般常驻程序:
正常的程序,注意没有用数字0,1为档名
------------------------------------
c:\\windows\\system\\kernel32.dll
c:\\windows\\system\\msgsrv32.exe
c:\\windows\\system\\spool32.exe
c:\\windows\\system\\mprexe.exe
c:\\windows\\system\\mmtask.tsk
c:\\windows\\explorer.exe
c:\\windows\\system\\internat.exe
c:\\windows\\taskmon.exe
c:\\windows\\system\\systray.exe
c:\\windows\\system\\wmiexe.exe
c:\\windows\\system\\restore\\stmgr.exe
c:\\windows\\system\\prpcui.exe
c:\\windows\\system\\ddhelp.exe
c:\\windows\\system\\rnaapp.exe
c:\\windows\\system\\tapisrv.exe
c:\\program files\\internet explorer\\iexplore.exe
如果你的常驻程序不止这些,有可能会是显卡、音效卡、防毒软件、防火墙、ADSL上网程序等。具体要自己看看安装目录和档案名,判断是不是合法的程序。
一般木马都会用类似上面进程的名字,例如:
kernel32.dll -> kernel16.dll, kernel32.exe
explorer.exe -> expl0rer.exe, exp1orer.exe (注意区分数字和英文字母)
internat.exe -> intrenet.exe, internet.exe
iexplore.exe -> iexplorer.exe, iexpl0re.exe
遇到这些档名必属木马或病毒。
第二步就要看注册表有没有可疑程序,打开 regedit,在下面位置看有没有:
\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce
\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx
\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServicesOnce
第三步就要看 system.ini
[boot]
shell=Explorer.exe (这行的后面应该没有任何程序)
第四步把一至三步找出的怀疑档案和位置记下
第五步打开 msconfig,在开启那里记下目前那些程序是打勾的,然后把所有改成不打勾,重新启动电脑。重起后用 SpeedUp 或 msconfig 看有那些程序又自动执行,这些大多就是木马。
到这里你应该找出了所有在硬盘的木马程序了,接着可以进行删除。
第六步,用安全的开机磁碟(没有就去控制面版->添加/删除程序那里建立一片),最好不载入任何东西,把在第四步和第五步找出的怀疑档案全部删掉,接着取出软碟用硬盘起动。
第七步,再重新看一次还有没有木马再出现,有的话就是检查得不够仔细,再由第一步重做一次。
第八步,如果不再见到木马,恭喜你,木马已经清除,这时可把原来第五步改成不打勾的重新打勾,当然木马除外,把注册表的木马登记删掉,把 system.ini 里 Explorer.exe 后再面的删掉,然后重起一次电脑。
上面看起来有点复杂,如果你还是不怎么明白就最好重新格式化一遍或请人帮手算了,希望可以帮到大家。
