“分享手动清除特洛伊木马的做法”
复制来源:系统之家
今天我们来谈谈分享如何手动清除木马的文案。 下面简要介绍一种手动清除木马的方法。 希望能帮到大家。
木马与通用故障诊断技术
在win.ini上启动木马:
win.ini的“[windows]”部分包含启动命令load=和run=。 正常情况下=后面跟着空。 如果程序继续,则如下所示:
run = c:windows文件管理器
加载= c:windows文件服务器
这个file.exe可能是木马程序。
windows xp注册表中的文件相关更改:
重写注册表中的文件是木马的常用手段,如何重写在本系列的前几句中进行了阐述。 举个例子,txt文件的打开方式通常是notepad.exe (记事本),但是如果感染了文件相关的木马,txt文件就会用木马程序打开。 如著名的国产木马冰川,注册表HKEY _ classes _ rootxtfileshellopencommand子键下的键值的默认键值c:windows otepad.exe %1为c:windowss 请注意,除了txt文件外,其他类型的文件(如htm、exe、zip和com )也是木马程序的目标。
使用此类木马程序,您可以只检查注册表的hkey_classes_root中文件类型shellopencommand子密钥的分支,以确定其值是否正常。
在windows xp系统上捆绑木马文件:
要实现这个触发器,首先控制端和服务器端必须通过木马连接。 控制端客户使用工具软件捆绑木马文件和某个应用程序,进入服务器端覆盖原始文件。 这样,即使删除了木马,只要运行捆绑木马的应用程序,木马也会被重新安装。 如果与系统文件捆绑在一起,每当windows xp启动时,木马就会启动。
在system.ini上启动木马:
system.ini [ boot ]部分的shell=explorer.exe是木马喜欢的藏身之处,木马的常用方法是将此句改为:
shell-explorer.exefile.exe
这个file.exe是木马服务器端程序。
此外,在“[386enh]”部分中,还需要检查本部分的驱动程序=路径程序名称。 因为也有可能被木马利用。 由于“mic”、“[drivers]”和“[drivers32]”三个部分也将加载驱动程序,因此这是添加木马的理想位置。
在windows xp注册表中加载并运行:
注册表中的下一个地方是木马喜欢的藏身之处。
HKEY _ current _ usersoftwaremicrosoftwindowscurrentversion子键分支下的所有以run开头的键值数据。
HKEY _ local _ machinesoftwaremicrosoftwindowscurrentversion子键分支下的所有以run开头的键值数据。
以HKEY _ users.defaultsoftwaremicrosoftwindowscurrentversion子键下的所有run开头的关键数值数据。
将木马加载到autoexec.bat和config.sys上并运行:
要建立控制端和服务器端的连接,请将添加了木马启动命令的同名文件放入服务器端,覆盖两个文件,然后以这种方式启动木马。 但是,由于不太隐蔽,这样的方式并不多见,但不能掉以轻心。
在winstart.bat上启动木马:
winstart.bat也是由windows xp自动加载和运行的文件,经常由应用程序和windows自动生成,运行win或kernel386.exe,加载许多驱动程序, 这可以通过选择在启动时按f8键逐步跟踪启动过程的启动方法来看出。 由于autoexec.bat的功能可以替换为winstart.bat,因此这个木马将像autoexec.bat一样完全加载并运行。
木马常见故障分析技术
现在,我们知道木马的藏身之处,调查木马自然很容易。 如果发现计算机乘坐木马,最安全有效的方法是立即断开与互联网段的连接,以防止计算机黑客通过互联网攻击你。 执行以下步骤:
将l win.ini文件“[windows]”部分下的run=特洛伊木马程序或load=特洛伊木马程序更改为run=,load=。
将l system.ini文件“引导”部分下的shell -特洛伊木马文件更改为shell-explorer.exe。
在windows xp注册表中进行更改:在HKEY _ local _ machinesoftwaremicrosoftwindowscurrentversionrun子键下找到木马程序的文件名,然后在整个注册表中删除 但糟糕的是,不是所有的木马程序都删除了就万事大吉了。 有些木马程序在被删除后会立即自动添加。 在这种情况下,必须记录木马的位置(其路径和文件名),然后退到dos系统下,找到并删除该文件。 重新启动计算机,再次返回注册表,删除所有木马文件的密钥值。
计算机木马清除实例
●冰川v1.1的注册表清除示例:
在注册表中打开HKEY _ local _ machinesoftwaremicrosoftwindowscurrentversionrun子密钥分支,然后在右侧窗口中打开c:win nt系统32 kernel 32.exe 找到并删除c:win重新启动到ms-dos方法后,删除c:win系统32内核32.EXE和c:win系统32系统浏览器. EXE木马程序。
aol trojan的注册表清除实例:
首先,用ms-dos方法删除以下文件。
c :命令. exe
c :美国~ 1.0 u DDyl~1.Exe
c:windowssystem orton~1退出~1.退出
打开win.ini文件,在“[windows]”部分下清除木马程序的路径,然后更改为run=,load=,win.ini文件。
然后,打开windows xp注册表,打开HKEY _ local _ machinesoftwaremicrosoftwindowscurrentversionrun子密钥的分支,并显示右窗口的键值win profile
●doly v1.1-v1.5的注册表实例( v1.6和v1.7类似) :
首先进入ms-dos方法,删除以下3个木马程序,但v1.35版本中还添加了1个木马文件mdm.exe。
c:windowssystem esk.sys
c:windwosstartmenuprogramsstartupmstesk.exe
c :程序文件系统. exe
c :程序文件MDM.exe
重新启动windows,打开win.ini文件,然后删除“windows”部分下的load=c:windowssystem esk.exe文件。 也就是说,更改为load=,保留win.ini文件。
然后,在注册表中打开HKEY _ current _ usersoftwaremicrosoftwindowscurrentversionrun子密钥的分支。 从右侧窗口中删除键值ms tesk = c:programfilesmstesk.exe打开HKEY _ current _ usersoftwaremicrosoftwindowscurrentversionss子分支,然后单击 它是一个包含所有木马参数选择和设置的服务器。 此外,打开HKEY _ users.defaultsoftwaremicrosoftwindowscurrentversionrun子键的分支,然后打开右侧窗口中的击键ms tesk = c :编程文件列表
关闭注册表,打开c:autoexec.bat文件,删除以下两行。
@ echooffcopyc:sys.lonc:windowsstartmenustartupitems
戴尔c:win.reg
关闭autoexec.exe文件。
●indoctrination v0.1-v0.11注册表清除示例:
在注册表中打开以下子键:
HKEY _ local _ machinesoftwaremicrosoftwindowscurrentversionrun
HKEY _ local _机械软件微软windowscurrentversionrunservices
HKEY _ local _ machinesoftwaremicrosoftwindowscurrentversionrunonce
HKEY _ local _ machinesoftwaremicrosoftwindowscurrentversionrunservicesonce
删除这些子键右侧窗口中的下一个键值。
msgsrv16= msgsrv16,关闭注册表后,重新启动windows,删除c:windowssystemmsgserv16.exe文件。
●subseven-introduction v1.8注册表清除实例:
HKEY _ local _ machinesoftwaremicrosoftwindowscurrentversionrun子键分支和HKEY _ local _ machinesoftwaremicrosoftwindowscurrrrrencun
打开win.ini文件,将其中的run=kernel16.dl更改为run=,然后关闭win.ini文件。
打开system.ini文件,将其中的shell=explorer.exe kernel32.dl更改为shell=explorer.exe,保留system.ini文件,然后重新启动windows
●广外女子注册表的清除示例:
返回到ms-dos模式,删除系统目录中的诊断程序。 由于此病毒与exe文件相关,删除后任何exe文件都将无法在windows环境中运行。 首先,找到windows目录中的注册表regedit.exe,然后将其重命名为regedit。
返回windows模式并运行regedit。 打开HKEY _ classes _ rootexefileshellopencommand,将默认值更改为%1 %*,然后选择HKEY _ local _ machinesoftwaremicrosoftwindowscurcure
返回到windows目录,然后将regedit返回到regedit.exe。
●netbull (互联网公牛)注册表的清除示例:
这个病毒在windows 9x下。 将notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe捆绑在一起。 在windows nt/2000上捆绑: notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe、winmine.exe。 打开:
HKEY _ current _用户软件微软windowscurrentversionrun
HKEY _ local _机械软件微软windowscurrentversionrunservices
HKEY _ users .默认软件微软windowscurrentversionrun
在这些子键下删除按键检查dll.exe = c:windowssystemcheckdll .. exe
另外,要查看自己的机器是否感染了该病毒,请查看上述文件,注意到该文件的长度发生了变化(增加了约40k左右),然后将其删除。 然后,单击“开始”|“附件”|“系统工具”|“系统文件检查器”,在出现的对话框中选择从安装的软盘中提取文件。 请在框中输入要提取的文件,按照画面指示恢复文件。 如果捆绑了打开电源时自动运行的第三方软件(如realplay.exe、qq等),则需要删除并重新安装这些文件。
●智能基因注册表清除示例:
删除c:windows下的mbb管理器. exe和浏览器32.exe,并删除c:windowssystem下的编辑器. exe文件。 如果服务器已经在运行,请使用进程管理软件退出名为mbbmanager.exe的进程,然后将其删除。
打开HKEY _ local _ machinesoftwaremicrosoftwindowscurrentversionrun,删除按键主引导程序。 将HKEY _ classes _ rootxtfileshellopencommand的默认值更改为c:windowsnotepad.exe %1,然后恢复txt文件关联。 将HKEY _ classes _ roothlpfileshellopencommand的默认值更改为c:windowswinhlp32.exe %1,恢复hlp文件关联。
通过分享手动清除木马的做法,我相信这个副本会对你有帮助。 和好朋友分享的时候,也欢迎感兴趣的朋友们一起探讨。
本文:《“分享手动清除特洛伊木马的做法”》
免责声明:雪球目录网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,本站不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站的工作人员将予以删除。