【研究】手動查詢木馬及手動清除

阿米

發 表 人：浮生一世(asan03230000)

木馬真是越來越猖狂,但是一山總一山高,老實說這些放木馬的人,還
真是菜鳥,自以為手中軟件就可以做到神不知鬼不覺,昨晚把資料匯整
之後,小弟教你們如何手動查詢是否中了木馬及如何清除木馬,篇幅可能過大,但請各位耐心看完以下方式!

1.執行ctrl+alt+delete打開工作管理員,進入"處理程序"查詢程式中是否有以下這些程式正在使用:bo2k.exe bo2kcfg.exe bo2kgui.exe UMGR32.exe bo2kcfg.exe bo2kgui.exe
UMGR32.exe bo_peep.dll bo3des.dll patch.exe NBSvr.exe KeyHook.dll
Winvnc.exe VNCHooks.dll OMNITHREAD_RT.DLL irk.dll deploy.exe _root_.SYS EXPLORER.EXE

以上這些皆屬於木馬客服端程式
如果有以上這些程式在的話,建議你先將他們關閉..
一般來說,木馬程式第一次植入後必須要等你重開機後會才會自動執行!

2.到檔案總管裡將畫面最上層工具選項呼叫出,選擇"資料夾選項"
"檢視"項目中,找一個"隱藏檔案和資料夾"下方選擇"顯示 所有檔案和資料夾"之後按確認
再來進入你的硬體分割巢中,查看是否有不明檔案或資料夾存在,一般木馬都會以隱藏的方式
常駐在你的電腦裡,做到神不知鬼不覺的動作,找到後試著嘗試刪除它(請先確認此程式是否真為不明程式)如不能刪除(一般使用中的程式,電腦不允許你強制刪除)請先用第三個方式先關閉再試著刪除它

3.檢查Registry-Run:首先到c:windows\regedit.exe,開啟登錄編輯器,
到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中查看看是否有不明的程式名稱,或是有第一項 中程式名稱執行,有的話就先刪除他們(你必須先確定你預刪除的是木馬程式).

4.檢查Registry-RunServices;
照前一步驟開啟登錄編輯器到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunSERVICES中,查看是 否有不明程式存在,有的話也一併刪除它.

5.檢查Win.ini:進入c:windows找尋win.ini呼叫出它(使用notepad既可),看看在[windows]有沒有RUN=xxxxxxxx.exe(xxx可能 為任何名稱),一般來說這裡不應該有字的,如果有請將xxxxxx.exe清除再儲存既可.

6.檢查system.ini:在c:windows中找尋system.ini,一樣用筆記本的方式開啟它,看看在[boot]shell=Explorer.exe後 有沒有xxxxx.exe,一般來說這裡不應該有字的
如果有照以上方式把它清除再儲存起來!

7.完成以上動作後,請重新開機,再回到你的硬碟中將那些砍不到的常駐程式完全刪除!
以上這些動作雖然麻煩但是能讓你安全一點,現在的木馬越來越精明
都會閃避各大掃毒軟體及掃木馬程式,但不變的是一定會 存在在以上幾個地方

不要以為你不下載任何程式就會沒事,現在的木馬已經進化到利用IE的Cookin漏洞直接從網頁中探入你的
電腦並將你的電腦中的登錄檔一併變更,真是防不勝防,只要你重開機,木馬客戶端便會自動執行,而你的資料包含帳號密碼也將 一一被記錄下來,別以為橘子的加碼鎖使用後就沒事,木馬有一項功能是能將你的畫面一一轉換成類似動畫檔,傳送到對方手中,
你的一舉一動它都能記錄下,不論是用鍵盤keyin或是滑鼠點取,一樣逃不出它的魔掌,不過還是有方式能阻擋它的,以下是小弟建議的幾個方式:

1.不要將主機的網路線直接插在你的modem上,建議花點錢買部分享器,一般來說分享器內建的防火牆功能都很強,可以幫你阻擋一些外來讀取你內部資料的封包,就算你被侵入木馬客戶端它依舊必須要花很多時間找尋其他可入侵你電腦的port(閘道),目前我所 知道的這些菜鳥,並不會花那麼多時間去找,也許他們不懂netstat的指令,只照仿間的書籍去等魚上勾吧!

2.不要隨便下載不明程式;一般來說木馬可以與其他執行檔或解壓縮檔合併在一起,一但你執行它,也就一併將木馬客戶端植入進 你的電腦裡面!

以上這些方式希望能給大家一些建議,小弟我也會更加在這一方面深入瞭解與破解,如果你有更好的方式希望你也能告訴小弟我,讓我們一起鏟除這些"畜牲"吧!還給我們一個乾淨的網路空間!~

以上轉載至奇摩家族天堂之超級變變變