解决方法：木马通用检测和消除方法，木马特杀

木马通用检测和消除方法，木马特杀

要检测并杀死木马，最重要的是要了解“木马”的工作原理。我相信，阅读本文后，您将成为杀死“木马”的大师。

1、“木马”普遍杀害方法

“木马”程序将尽一切可能隐藏自己，主要方法是：将自己隐藏在任务栏中，这是最基本的方法。只要将“窗体”的“可见”属性设置为False，并将ShowInTaskBar设置为False，程序运行时它就不会出现在任务栏中。在任务管理器中不可见：您可以通过将程序设置为“系统服务”来轻松地伪装自己。当然，它也将以静默方式启动。当然，黑客不会期望用户每次启动时都单击“木马”图标来运行服务器。每次用户启动时，都会自动加载“木马”。 Windows系统启动时，将使用“木马”自动加载应用程序的方法，例如：启动组，Win.ini，System.ini，注册表等都是“木马”隐藏的好地方。

让我们讨论一下如何自动加载“木马”。在Win.ini文件的[WINDOWS]下，“ run =”和“ load =”是加载“木马”程序的可能方法，您必须注意它们。通常情况下，等号后应该没有任何内容。如果您发现启动文件后的路径和文件名不为您所熟悉，则您的计算机可能是“木马”。当然，您必须清楚地阅读它，因为许多“木马”（例如“ AOL木马”）会将自己伪装成command.exe（实际系统文件是）。如果您不注意，可能不会发现它不是真正的系统启动。文件（尤其是在Windows Windows中）。

在System.ini文件中，[BOOT]下有一个“ shell =文件名”。正确的文件名应为“ explorer.exe”。如果不是“ explorer.exe”，而是“ shell = explorer.exe程序名”，则后面的程序是“木马”程序，这意味着您曾经是“木马”。注册表中的情况是最复杂的操作。使用regedit命令打开注册表编辑器，单击以：“ HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录，检查键值中是否有不熟悉的自动启动文件，扩展名为EXE，请记住：“一些木马Horse”程序生成的文件与系统自己的文件非常相似，并且希望通过伪装通过测试，例如“ Acid Battery v1.0 Trojan Horse”，它将在“ HKEY-LOCAL-MACHINESO”下设置注册表FTWAREMicrosoftWindowsCurrentVersionRun“资源管理器键值更改为Explorer =” C：WINDOWSexpiorer.exe“，” trojan“程序和真实的Explorer之间只有” i“和” l“之间的区别。当然，有很多地方在注册表中可以隐藏“木马ho rse”程序，例如：“ HKEY-CURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun”，“ HKEY-USERS **** SoftwareMicrosoftWindowsCurrentVersionRun”目录都是可能的，最好的方法是在“ LOCAL- MACHINESoftwareMicrosoftWindowsCurrentVersionRun”，然后在整个注册表中搜索。

了解“木马”的工作原理，因此很容易检测和杀死“木马”。如果存在“木马”，最有效的方法是立即将计算机与网络断开连接，以防止黑客通过网络攻击您进行攻击。然后在[WI​​NDOWS]，“ run =” Trojan Horse“程序”或“ load =” Trojan Horse“程序”下，将win.ini文件编辑为“ run =”和“ load =”;。编辑system.ini文件，更改[BOOT]以下“ shell ='Trojan horse'文件”更改为：“ shell = explorer.exe”;在注册表中，使用regedit编辑注册表，首先在“ HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”“程序”文件名下找到“木马”，然后在整个注册表中搜索并替换“木马”程序。有时是还需要注意的是，某些“木马”程序不会直接替换“ HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”，因此删除键值，因为某些“木马”例如BladeRunner的“木马”它将立即自动添加“木马”，您需要记下“木马”的名称和目录，然后返回转到MS-DOS，找到此“木马”文件并将其删除重新启动计算机，然后转到注册表以删除所有“木马”文件的密钥。至此，我们完成了。

2、发现了病毒，如果无法删除该怎么办

问：如果发现病毒，但是在安全模式下或Windows下无法删除，该怎么办？

A：由于某些目录和文件的特殊性，无法直接清除它们（包括安全模式下的防病毒和其他方法），但是带有病毒的文件需要清除某些特殊方法。下面提到的目录均包含其下的子目录。

1、中毒的文件位于/ Temporary Internet Files目录中

由于该目录中的文件，Windows将具有一定的保护作用（未经确认）。因此，即使在安全模式下，也无法清除此目录中的中毒文件。在这种情况下，请先关闭其他程序，然后打开IE，然后在IE工具栏中选择“工具” /“ Internet选项”，选择“删除文件”进行删除，如果出现提示“删除所有离线内容”，请还选择上一个并删除它。

2、中毒的文件位于/ _Restore目录或“系统卷信息”目录中

这是系统还原存储还原文件的目录。该目录仅在Windows Me / XP操作系统上可用，因为系统对此目录具有保护作用。在这种情况下，您需要先取消“系统还原”功能，然后删除中毒的文件，甚至删除整个目录。关闭系统还原方法。对于WindowsMe，请在DOS下禁用系统还原和删除。 FmID = 33＆SubjectID = 2028691＆page = 1。如何在XP中关闭系统还原：右键单击“我的电脑”，选择“属性”-“系统还原”-选中“关闭所有驱动器上的系统还原”-按“确定”退出。

3、中毒的文件位于.rar，.zip，.cab和其他压缩文件中

如今，很少有杀毒软件可以直接检测并杀死压缩文件中的受感染文件。即使有，它们也只能支持某些常用的压缩格式。因此，对于大多数防病毒软件，最多只能检出压缩文件中的携带病毒的文件，但不能直接清除它。而且某些加密的压缩文件甚至更不可能直接清除。

要删除压缩文件中的病毒，建议在解压缩后删除它，或使用压缩工具软件的外部防病毒程序的功能对病毒进行压缩。

4、该病毒位于启动扇区或SUHDLOG.DAT或SUHDLOG.BAK文件中

这种病毒通常是引导扇区病毒，报告的病毒名称通常带有boot，wyx等字样。如果该病毒仅存在于移动存储设备（例如软盘，闪存盘和移动硬盘），则可以使用本地硬盘上的防病毒软件直接进行检查和查杀；如果病毒在硬盘上，则需要使用干净的启动盘开始扫描并杀死它。

对于这种病毒，建议从干净的软盘开始检查并杀死病毒，但是在检查并杀死病毒之前，请确保备份原始引导区，尤其是在有其他操作系统的情况下，例如日文Windows，Linux等

如果没有干净的可启动磁盘，则可以使用以下方法执行紧急防病毒：

（1)在另一台计算机上制作一个干净的可引导磁盘。该引导磁盘可以通过Windows 95/98 / ME系统上的“添加/删除程序”来创建，但应注意，使软盘必须与所使用的操作系统相同；

（2)使用此软盘引导中毒的计算机，然后运行以下命令：

A：/> fdisk / mbr

A：/> sys a：c：

如果中毒的文件位于SUHDLOG.DAT或SUHDLOG.BAK文件中，则直接将其删除。这是安装系统时硬盘启动区的备份文件。通常，它的作用很小，病毒也没有作用。

5、中毒文件的后缀是.vir，.kav，.kbk等。

这些文件通常是某些防病毒软件针对带有病毒的原始文件制作的备份文件。通常，如果确认这些文件无用，则可以删除这些文件。

6、中毒的文件位于某些邮件文件中，例如dbx，eml，Box等。

某些防病毒软件可以直接检查这些邮件文件中的文件是否有毒，但通常无法直接对这些有毒文件进行操作。对于邮箱中的某些有毒信件，您可以使用防病毒软件提供的信息查找有毒信件，删除信件中的附件或删除信件；如果某些eml，nws信函文件中毒，则可以使用相关的邮件软件将其打开，确认信函及其附件，然后删除相关内容。通常，如果有大量带有病毒的eml和nws文件，它们都是由病毒自动生成的，建议直接删除它们。

7、文件中有病毒残留代码

这种情况在CIH，Funlove，宏病毒（包括Word，Excel，Powerpoint和Wordpro等文档中的宏病毒）以及单个网页病毒的残留代码中更为常见。通常，防病毒软件具有病毒残留代码文件中报告的病毒名称后缀，通常以int，app等结尾，并且不常见，例如W32 / FunLove.app，W32.Funlove.int。在正常情况下，这些残留代码不会影响正常程序的运行，也不会具有传染性。如果需要彻底删除，则必须根据每种病毒的实际情况将其删除。

8、共享目录

这里有两种情况：网络上的本地共享目录和远程共享目录（包括映射磁盘）。如果无法清除本地共享目录中的携带病毒的文件，则通常局域网中的其他用户正在读写这些文件。使用防病毒软件时，无法直接清除这些文件中的病毒。将病毒写入这些目录时，表明在共享目录上执行了病毒清除操作后，文件继续受到感染或病毒文件不断生成。在上述两种情况下，建议取消共享，然后对共享目录执行彻底扫描。恢复共享时，请注意不要打开太高的权限并向共享目录添加密码。在检查和杀死远程共享目录（包括映射磁盘）中的病毒时，必须首先确保本地计算机的操作系统是干净的，同时具有对共享目录的最高读写权限。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-335069-1.html