打印本文 打印本文  关闭窗口 关闭窗口  
教你如何自己动手查杀木马!
作者:陈鹏  文章来源:eNet  点击数  更新时间:2009/9/11 23:15:46  文章录入:陈鹏  责任编辑:陈鹏

如今木马数量众多、防不胜防,只要你能上网,就可能中弹落“马”,由于许多杀毒软件不能查杀木马,因此很多人中了木马之后,还全然不知呢!直到有一天你的网游帐号、装备丢失了,网银存款被盗了,才知道是木马所为。因此掌握手工查杀木马的技巧,是网上生活必备的技能,你可以用下面的方法来手工查杀木马:

  一、检查木马的方法

  1、启动任务管理器

  按Ctrl+Alt+Del键启动任务管理器,点击“进程”选项卡,查看其中是否有陌生进程,记录下来,暂时别动它。

  2、检查本机端口

  启动一个命令提示符窗口,键入netstat -an 看看是否有异常端口,建议使用TCPView(下载地址http://xj-http.skycn.net:8080/down/tcpview.zip)、或者Active Ports(下载地址http://www.ttxx.com/download.asp?id=9213&downid=3)来查看端口与进程的关系(如下图),找出使用异常端口的进程,记录下来。



  3、在注册表中检查

  单击“开始”/运行,键入Regedit打开注册表,检查其中是否有木马,记录下来,暂时不要更改。

  (1)检查自启动项

  查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、 HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值,检查其中是否有程序,木马喜欢藏在这些位置。

  (2)检查文件关联是否被修改

  国产木马还喜欢修改文件关联,例如TXT文件通常是由记事本(Notepad.exe)来打开的,如果你中了国产木马冰河之后,则会被修改为用木马程序打开,因此只要你一打开文本文件,就会自动启动木马。

  木马修改文件关联的方法是:修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE %1”改为“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”来完成的。

  注意:木马不仅仅只会修改TXT文件的关联,有时还可能修改HTM、EXE、ZIP、COM等文件的关联。因此对付这类木马,你应该检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值是否正常。



  4、检查系统目录中文件

  启动资源管理器,点击“工具”/文件夹选项/查看,设置显示全部文件(包括受保护文件),不要隐藏已知文件的扩展名,然后打开Windows\ 及 Windows\system32目录中的文件,按建立时间排序,找出建立时间或修改时间异常的程序,记录下来。

  5、检查与启动相关的文件

  (1)检查启动组

  启动组也是木马藏身的好地方,WinXP启动组对应的文件夹为:C:\Documents and Settings\帐户\「开始」菜单\程序\启动,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders,右边窗口中Startup的值为"C:\Documents and Settings\帐户\「开始」菜单\程序\启动",你应该检查这些地方。

  (2)检查Autoexec.bat、Config.sys和Winstart.bat

  Autoexec.bat和Config.sys都位于C盘根目录下,在它们中加载木马程序并不多见,但你也不能掉以轻心,最好检查一下。

  Winstart.bat通常由应用程序及Windows自动生成。它是一个类似Autoexec.bat的批处理文件,在执行了Win.com并加载了多数驱动程序之后开始执行。Winstart.bat中也可以隐藏木马,因此你要打开它检查。

  (3)检查Win.ini和System.ini

  Win.ini位于Windows的安装目录下,其[windows]字段中有启动命令“load=”和“run=”,通常“=”后面是空白的,如果后面跟着程序,比如:run=c:\windows\spy.exe load=c:\windows\spy.exe ,这个spy.exe很可能就是木马程序!

  System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的加载之处,木马通常会将该句变为这样:shell=Explorer.exe spy.exe,注意这里的spy.exe就是木马服务端程序! 检查System.ini中的[386Enh]字段,此段内的“driver=路径\程序名”,也是木马经常隐藏的地方;检查System.ini中的[mic]、[drivers]、[drivers32]三个字段,它们也是添加木马的好场所。

  二、清除木马的方法

  清除木马应该按照以下的顺序进行:先停止进程,然后清理注册表相关表项,最后删除硬盘上木马文件。

  有些木马,因为使用了线程注入或三线程保护方式,需要使用相关工具进行清除。对于exe文件关联类木马,清除之后可能会出现exe文件无法打开的现象,假如系统中没有相关进程监视这个表项,你可以这样处理:将regedit.exe 复制为 regedit.com,并运行 regedit.com,将 exe 文件关联改回来即可。

  三、在线安全检测

  按照上面的方法查杀木马后,如果你还不放心,可以在网上找个在线安全测试的网站,对你的系统当前安全情况进行检查,不过在线检测前,请关闭你的防火墙。目前这类测试各网站都是免费的,建议你去下面知名的网站测试:

  1、诺顿在线安全检测http://www.symantec.com/region/cn/

  诺顿是网络安全的鼻祖,它的风险评估是非常及时和全面的。该网站提供了活动的木马程序扫描,利用木马常用的方法尝试与你的电脑进行Internet 通信;它还可以扫描你的网络漏洞、NetBIOS可用性,确定黑客是否能访问你机器中的信息。扫描完成后,会显示详细的分析结果。

  2、金山木马专杀http://scan.kingsoft.com/scan_mm.htm

  著名的杀毒厂商金山公司提供的在线木马专杀服务,目前该服务完全免费。

  3、天网安全在线http://old.sky.net.cn/main/view.php?cid=170

  可进行木马检测、端口扫描、信息泄漏检查、系统安全性检查。检测时会出现倒计时,在倒数时间内,如果你的电脑出现蓝屏死机,则表示你的电脑不安全,你可以下载该网站提供的个人电脑网络安全软件,来修补目前的安全漏洞。

  4、千禧在线--在线检测http://www.china-yk.com/tsfw/onlineclean/index.asp

  免费检查你的电脑有那些端口开放或关闭,是否有木马;与“北京趋势科技”合作,提供了在线按需扫描病毒服务。

  5、蓝盾安全在线http://www.haodx.com/url/1673.htm

  蓝盾安全实验室研制、开发的在线安全检测系统,可以检查你的系统中是否有漏洞,可扫描你的端口,检查你的电脑中是否有木马和信息泄漏。

【责任编辑 徐洋】

打印本文 打印本文  关闭窗口 关闭窗口