Board logo

标题: 木马,要的就是手杀! [打印本页]

作者: 小仪    时间: 2006-6-13 10:13     标题: 木马,要的就是手杀!

没有计算机基础知识的,无视这贴吧

下面是有关手杀木马的大概步骤:

以下步骤,请全部于安全模式下进行,否则杀不完杀不光都不关我事,另外这只是一般流程,或许有一些进阶木马对付不了,那最好还是重装吧,这套流程可以对付90%的情况了


首先打开MSCONFIG.EXE


打开后就素这样子滴


去SERVICES这页,把HIDE ALL MICROSOFT SERVICES选上,然后剩下的都不是系统的默认服务了,这样有助于分辨一些冒充系统服务的木马,就算它名字起得再象系统服务,都不会被隐藏的


比如最后那一个SVCH0ST.EXE,注意那是零,不是欧,这就是一个冒充系统服务的木马(出名着呢),上面那一个选起的是中文邮件,这类插件都会被我当作木马一般看待,在这里只要把它们的勾反选就可以了


然后去最后的STARTUP这一页,现在选择的是JAVA VM的常驻程序,删不删都没关系,因为网页需要运行JAVA的时候就会自动调用了,没多大意义的一个东西
不确定是不是木马的,可以反选那个勾,文件不一定要删除,总之他不运行就可以了


现在选的这一个就是一些网页上寄存的病毒/木马,它们会利用浏览器漏洞被下载到本机TEMP文件夹里面并在每次开机都运行,很普通的一种小程序,但是无论如何,肯定要删


在这里可以看到木马的具体寄存文件夹,注意要想起究竟是哪一个网站有问题,以后别去了,不然的话可能会一直中


之前看到的有问题的服务,要怎么找到有问题的文件在哪呢,可以运行这个


找到之前看到的服务的名字,双击打开,这个是中文邮件的插件


这个就是病毒/木马


其实木马要运行不只有运行和服务,现在打开注册表


把图放大看,底下状态栏有我打开的主键的具体位置
这里是策略,如果下面有一个主键名字叫EXPLORER,下面又有RUN主键的话,那么把RUN下面的全部都删除,正常的软件不会用到这里的


这个另外一个主键WINLOGON
选出来的2个位置是可以运行EXE的,如果发现这2个位置的键值和这图不同的话就应该把多出来的东西删除掉,现在我图中的是正常的


好了,最后是你会不会发现自己的浏览器经常自己打开一些莫名其妙的网站呢?或者有什么不顺眼的TOOLBAR进驻了?在INTERNET设置里面把这选项反选了就可以解决一部分问题了





上面找到的有问题的文件都是最好删除掉的,如果担心自己有没有找错的话,可以先丢回收站,没事了就不恢复就可以了,木马文件大小通常都在300K以下的

下面是一个判断文件(只针对你找到的有可能是木马的文件,不然系统有问题别找我,因为有一些WINDOWS的文件也会有这特征)是不是木马的小TIPS
右键点选你找出来的EXE->属性->下图,如果有VERSION的(特别是SYSTEM32里面的EXE文件),那么这文件可能是正常的,如果没有VERSION而且文件大小小于300K的,那这个很可能是木马文件了


有没有发现有时候找到了路径也找不到文件?因为文件可能被追加了隐藏甚至系统属性,可以到文件夹选项那里象下图一样设置,那就什么都能看见了,但是也会多出一些隐藏的文件夹,C盘底下也会出现一堆隐藏文件,这些都是正常的,别看见隐藏就以为是有问题哦,只有我们要找的要针对的文件才动,其他别乱来哦



WINDOWS\SYSTEM32里面的所有正常EXE文件都是非隐藏的,如果发现有隐藏了的EXE文件,那么要注意他了,直接丢回收站等待处理比较好

其实木马不一定要是EXE,还有借助于RUNDLL32.EXE或者RUNDLL.EXE运行的DLL文件,控件文件OCX,还有PIF文件(上面图中的)等等

只要是木马,无论什么类型的文件,它都是要启动的时候运行的(劫持IE的控件/插件是IE运行它就运行),把上面的地方都找过没问题的话就基本没大的问题了

具体案例啊:

http://bbs.rohome.net/thread-708581-1-1.html

[ 本帖最后由 小仪 于 2006-6-13 15:34 编辑 ]
作者: 小仪    时间: 2006-6-13 10:56

完毕,谢谢合作
作者: topass    时间: 2006-6-13 10:57

这个帖子得好好研究...........
作者: Neb    时间: 2006-6-13 11:00

。。。其实 有那么多功夫手杀木马不如花多点功夫不要中木马
作者: 夏树卡瓦依    时间: 2006-6-13 11:02

LZ用这个。。。自己动手当然行了==某些连安全模式都进不去的。。你让他怎么分析这些啊==|||||不过了解一点进程常识也是有用的。。。一下列出可疑进程列表


LZ8厚道T T

遇到不明进程可以参考这个网页http://acfile.com/a/alg/index.html

[ 本帖最后由 夏树卡瓦依 于 2006-6-13 11:29 编辑 ]
作者: 尼斯湖怪    时间: 2006-6-13 11:09

回家去查查 - -

谢LZ
作者: wuyua    时间: 2006-6-13 11:12

LOW FORMAT素王道- -
作者: lj_allen    时间: 2006-6-13 11:23

我只想问问楼主不用中文的WINDOWS?
难道怕我看明白了?
作者: 小仪    时间: 2006-6-13 11:24

6楼害人...LOW FORMAT很伤硬盘...

7楼的.....偶公司的WINDOWS就素英文滴!!!!!!
作者: 小仪    时间: 2006-6-13 11:27

4楼的改一下吧....也太长了,而且没作用,要有问题的,在STARTUP那里要找肯定能找到,要没问题的,你那贴就是在占版面....来一个链接比一个文件名一个回车好多了...
作者: 夏树卡瓦依    时间: 2006-6-13 11:29

==额就素要水掉LZ滴帖子==
作者: wuyua    时间: 2006-6-13 11:30

原帖由 小仪 于 2006-6-13 11:24 发表
6楼害人...LOW FORMAT很伤硬盘...

7楼的.....偶公司的WINDOWS就素英文滴!!!!!!

[_[但最彻底最干净。。。也最简单
作者: 小仪    时间: 2006-6-13 11:32

改了就乖~~摸摸头~~

安全模式都进不了的...当然是重装啦.....
作者: 夏树卡瓦依    时间: 2006-6-13 11:34

安个镜像ghost好了 硬盘格掉以后把杀毒应用文件都安装完毕达到最优状态时候记录一下镜像以后直接还原就可以了==不过如果中毒太深了也见过这招不管用的
作者: wuyua    时间: 2006-6-13 11:35

原帖由 小仪 于 2006-6-13 11:32 发表
改了就乖~~摸摸头~~

安全模式都进不了的...当然是重装啦.....

回错地方啦。。。
作者: 小仪    时间: 2006-6-13 11:46

原帖由 wuyua 于 2006-6-13 11:35 发表

回错地方啦。。。

TF你回火星地底!!!![choupp][ma]
作者: 马小玲的眼泪    时间: 2006-6-13 11:53

这几天小站有演变成计算机论坛的趋势。。
作者: 小仪    时间: 2006-6-13 11:54

我算是造福大众吧...小马表锁表移了.....
作者: PPの光    时间: 2006-6-13 12:16

好贴...支持...
作者: lolicon    时间: 2006-6-13 12:54

原帖由 小仪 于 2006-6-13 11:54 发表
我算是造福大众吧...小马表锁表移了.....

那么我来锁我来移吧。。。
作者: wuyua    时间: 2006-6-13 13:02

原帖由 lolicon 于 2006-6-13 12:54 发表

那么我来锁我来移吧。。。

小Y的意思是表锁表移。。。直接删了最彻底


不过说老实话。。。就算这样看图跟着做。。。不会的人还是不会
作者: 小仪    时间: 2006-6-13 13:23

原帖由 lolicon 于 2006-6-13 12:54 发表

那么我来锁我来移吧。。。


原帖由 wuyua 于 2006-6-13 13:02 发表

小Y的意思是表锁表移。。。直接删了最彻底


不过说老实话。。。就算这样看图跟着做。。。不会的人还是不会


拍飞你们2个以后自己泪奔去了.....[bigcry][otzcry][kusu]
作者: らёгαρん    时间: 2006-6-13 13:46

手杀是需要基础知识的
而且,木马不是一成不变的
也不是只靠钩连启动项运行的
而且你介绍的是万金油杀法....
并不能针对特定木马特定变种进行完全清除
(也就是只能杀杀小菜鸟写的小角色木马)

例如将木马的自释放程序整和在exe程序运行的启动列表里面
或者和IE/regedit进行挂钩,而这些自释放程序是不会傻到放进开机启动列表的...

还是NEB说得对
不中才是正道
作者: 小仪    时间: 2006-6-13 14:11

对于没杀毒软件的机器来说..不中是不可能D....

前面说了....不能对进阶木马查杀....而且一般,也就中一些简单的.....
作者: らёгαρん    时间: 2006-6-13 14:14

我就没用杀毒软件...
2年来还没中过木马
作者: 小仪    时间: 2006-6-13 14:20

上一段时间ROPLUS主页的呢?我家里小中了一下....
作者: Neb    时间: 2006-6-13 14:39

要干净又不伤盘很简单。。。
把分区表擦了 然后重新fdisk一次 就啥都没了
作者: wowshell    时间: 2006-6-13 14:44

基本上中了木马也没有太大问题,我现在最头痛的是80端口反向连接的木马。在家上网根本无法阻止它对外连接,而且还杀不了(包括手动处理)。头痛ing…………以前自己搞了个虚拟网络研究木马攻防,最后就剩下这种木马无法阻止。
作者: 小仪    时间: 2006-6-13 14:45

原帖由 wowshell 于 2006-6-13 14:44 发表
基本上中了木马也没有太大问题,我现在最头痛的是80端口反向连接的木马。在家上网根本无法阻止它对外连接,而且还杀不了(包括手动处理)。头痛ing…………以前自己搞了个虚拟网络研究木马攻防,最后就剩下这种木 ...

具体....是怎样?
作者: 夏树卡瓦依    时间: 2006-6-13 14:48

原帖由 Neb 于 2006-6-13 14:39 发表
要干净又不伤盘很简单。。。
把分区表擦了 然后重新fdisk一次 就啥都没了





fdis==偶的ibm就是用它分区分坏了拿回快蓝重新做的系统==200rmb飞走捏
作者: wowshell    时间: 2006-6-13 14:50

反向80端口重穿技术的木马没办法通过防火墙组织对外连接。
你写的那些方法很早以前就用过了,没办法清除。手动清除后又会出现,怀疑与IE进程挂钩了,只要IE进程存在这个木马就存在。最后我只能Ghost回来了。除此之外别无他法。
作者: wowshell    时间: 2006-6-13 14:51

原帖由 夏树卡瓦依 于 2006-6-13 14:48 发表





fdis==偶的ibm就是用它分区分坏了拿回快蓝重新做的系统==200rmb飞走捏

fdisk能把盘弄坏了?
不过我都不用fdisk了,一般都是PQ
作者: 小仪    时间: 2006-6-13 14:54

原帖由 夏树卡瓦依 于 2006-6-13 14:48 发表





fdis==偶的ibm就是用它分区分坏了拿回快蓝重新做的系统==200rmb飞走捏

如果蓝快可以帮你重新做系统,证明你不懂使用FDISK,而且FDISK几乎不会导致任何错误,不过对NTFS支持不好,NTFS想重来的话可以用XP安装碟在安装过程中删减分区,不过删减后它会强制FORMAT...


反向80端口重穿技术的木马没办法通过防火墙组织对外连接。
你写的那些方法很早以前就用过了,没办法清除。手动清除后又会出现,怀疑与IE进程挂钩了,只要IE进程存在这个木马就存在。最后我只能Ghost回来了。除此之外别无他法。

试一下贴子里面后面的那个取消第3方IE扩展,我最近中的一个就是这样,取消后就没事了
作者: 夏树卡瓦依    时间: 2006-6-13 14:54

硬件没坏软件坏了==我不会用那个东西看着教程一步一步操作的==还是坏了恨ibm60g都不给分个区
作者: wowshell    时间: 2006-6-13 15:01

原帖由 小仪 于 2006-6-13 14:54 发表

如果蓝快可以帮你重新做系统,证明你不懂使用FDISK,而且FDISK几乎不会导致任何错误,不过对NTFS支持不好,NTFS想重来的话可以用XP安装碟在安装过程中删减分区,不过删减后它会强制FORMAT...



试一下贴子里面后 ...

现在我手上没有这个木马了,以前是和黑客在线的朋友一起研究新木马时候弄的。那个时候反向连接技术的木马刚出来,我们为了验证可否被当时的防火墙拦截于是就搞了这个80端口重穿的木马,结果搞出来后自己都搞不定。
IE第三方插件我从来不装的。
作者: wowshell    时间: 2006-6-13 15:04

很有可能这种木马的绑定方法和svchost进程绑定类似。不过现在这些都是空说了,这种木马之后消失了。从那次试验后没有再遇到过(没有被动的中过),当然我无法排除这种木马还存在于这个世界上的可能性。
作者: 夏树卡瓦依    时间: 2006-6-13 15:05

==是不会用那是我第一次用看见ibm官方论坛上一堆人用那个分都分坏了偶是小心翼翼的弄得还是坏了怀疑ibm成心的。。。。可恶的硬盘固有分区==所有驱动都在那里
作者: 小仪    时间: 2006-6-13 15:05

不是装不装...是装了和IE连接了你也不知道....
作者: wowshell    时间: 2006-6-13 15:12

我再翻翻当时的资料看看能不能找到这个木马了。如果不是我事先知道这种木马的存在,以现在的查找手段根本不可能怀疑到80端口重穿。
作者: 出云隐者    时间: 2006-6-13 17:37

用电脑,遇到一切问题都可以google、百度解决。
作者: 马甲王子    时间: 2006-6-13 17:42

原帖由 出云隐者 于 2006-6-13 17:37 发表
用电脑,遇到一切问题都可以google、百度解决。

前提是你要知道多出个什么程序.....
作者: 出云隐者    时间: 2006-6-13 17:43

这个包括在一切问题内...
作者: Kataru    时间: 2006-6-13 17:45

我还在考虑是否要付10块包月杀~
作者: 眷顾    时间: 2006-6-13 17:45

这些是比较简单的办法~ 不过现在一般的木马技术都是插到正常进程里面去的~

查那些地方是看不出的
作者: 小仪    时间: 2006-6-13 17:46

原帖由 Kataru 于 2006-6-13 17:45 发表
我还在考虑是否要付10块包月杀~

那个10快包月杀是否要上网才能杀?不在安全模式下能杀清的病毒有多少?
作者: 夏树卡瓦依    时间: 2006-6-13 17:52

偶用了3年瑞星了从来没有出过问题。。。。。。。。。还是预防重要
作者: 出云隐者    时间: 2006-6-13 17:54

瑞星在线杀毒不行的.
下载版还好一点.
杀毒最彻底的只能靠人工.
作者: fisherXeon    时间: 2006-6-13 17:55

懂的不用看,不懂的看了也不懂.
作者: a515151    时间: 2006-6-13 17:56

你要是中了 落雪 就不会觉得手杀很开心了
作者: 小仪    时间: 2006-6-13 17:58

当年那个爱情后门那个起几千个垃圾文件的病毒还不是手杀的.....不过话说回来,杀毒软件还是有用的,象CIH这种种入式的,手杀杀自己好了...
作者: 喜欢睡觉    时间: 2006-6-13 18:03

喂喂喂,诸位.
本来贴子本身就不符合RO这俩字.
谈得内容似乎越来越偏了.
作者: 『G.A』紫亞    时间: 2006-6-13 18:14

我机子的启动程序貌似除杀毒的和音响程序还有个显卡向导外再没了....估计有单另的木马都不会被启动的...因为我在注册表上写入了开机不加载多余的DLL文件.....呵呵..
所以我如果中木马就基本上是...系统文件了厄....有点郁闷...
还有,按找LZ说的查了下...一切正常ING~~~
作者: (忧忧忧蓝)    时间: 2006-6-13 18:15

从来不手杀,因为手杀已经3次把系统杀的来进不去了.
其实杀毒防毒,喀吧最新扩展病毒库定期杀+KV2006长住监控+ZA最高防御关闭所有端口.
到偶手上经过的电脑,这样装好,几乎没出现问题过.现在最经常出现的到是强制安装的第三方IE插件.
作者: godofsun    时间: 2006-6-13 18:19

.....顶!要慢慢研究
作者: 喜樂    时间: 2006-6-13 18:19

呃...支持一下呀~基本上我不太會這麼弄.

怕把系統弄亂了...
作者: 『G.A』紫亞    时间: 2006-6-13 18:22

其实只要把系统补丁打好,把XP自带的防火墙的安全策略弄好,就不需要装什么防火墙或杀毒软件了...WINDOWS自带的防火墙在安全策略上下点工夫,其安全性能不亚于其他防火墙
作者: 夏树卡瓦依    时间: 2006-6-13 18:29

偶用的是瑞星收费版的04年买的画了198一直更新到今天都可以什么问题也没有
作者: (忧忧忧蓝)    时间: 2006-6-13 18:37

哎呀,正好问个问题呀.
进程里面有一个EXPLORER.EXE和一个小写的explorer.exe..正常挖?我怎么觉得很奇怪?
作者: 『G.A』紫亞    时间: 2006-6-13 18:41

原帖由 (忧忧忧蓝) 于 2006-6-13 18:37 发表
哎呀,正好问个问题呀.
进程里面有一个EXPLORER.EXE和一个小写的explorer.exe..正常挖?我怎么觉得很奇怪?



2个EXPLORER进程估计属于正常...有些机子貌似是桌面和IE浏览器创建2个独立的进程...
我就是这样的啦
作者: 夏树卡瓦依    时间: 2006-6-13 18:45

explorer.exe是系统的正常进程
IEXPLORE.EXE 是IE浏览器的进程

区别explorer.exe病毒,病毒是在系统目录(windows\system32或system)下,正常合法的explorer.exe是在Windows目录下
作者: (忧忧忧蓝)    时间: 2006-6-13 18:47

原帖由 夏树卡瓦依 于 2006-6-13 18:45 发表
explorer.exe是系统的正常进程
IEXPLORE.EXE 是IE浏览器的进程

区别explorer.exe病毒,病毒是在系统目录(windows\system32或system)下,正常合法的explorer.exe是在Windows目录下



哈哈,嗲.我是在WINDOWS下面.开心.
作者: 一樹梨花压海棠    时间: 2006-6-13 19:33

WINDOWS下面有啥好开心的,又不是在美女下面
作者: 祈祷の钟声    时间: 2006-6-13 19:36

原帖由 wowshell 于 2006-6-13 14:44 发表
基本上中了木马也没有太大问题,我现在最头痛的是80端口反向连接的木马。在家上网根本无法阻止它对外连接,而且还杀不了(包括手动处理)。头痛ing…………以前自己搞了个虚拟网络研究木马攻防,最后就剩下这种木 ...

崇拜你的头像~
作者: 天空の基拉    时间: 2006-6-13 22:10

没什么意思........一般传播的木马自己注意点就不会中......
如果是一对一进行攻击......再弄都白搭
作者: celiachen    时间: 2006-6-13 22:19

WINDOWS为什么是英文的
为了增加英语能力?
我好像从来没中过木马
或许中了
我也不知道那是木马
应该没中过
作者: wowshell    时间: 2006-6-14 00:16

原帖由 celiachen 于 2006-6-13 22:19 发表
WINDOWS为什么是英文的
为了增加英语能力?
我好像从来没中过木马
或许中了
我也不知道那是木马
应该没中过

绝对没有人没中过木马,就算再好的防护也会中,当然中木马后可以让他失去作用
作者: 小仪    时间: 2006-6-14 02:49

原帖由 wowshell 于 2006-6-14 00:16 发表

绝对没有人没中过木马,就算再好的防护也会中,当然中木马后可以让他失去作用

同上,终于被移了
作者: 烟圈    时间: 2006-6-14 10:18

俺的电脑水平不沾,看不明白的。
作者: celiachen    时间: 2006-6-14 10:20

中了木马电脑有什么症状阿?
作者: orvillecho    时间: 2006-6-14 12:02     标题: 回复 #5 夏树卡瓦依 的帖子

DOS下也能导入注册表,另外要了解可疑木马进程你还不如记住你自己的常规进程,因为它实在太多了,光我知道的就有100多个。
作者: wowshell    时间: 2006-6-14 14:40

了解常规进程作用也不大了,现在的木马都是进程插入式的。
中木马基本没有什么异常特征,一般情况下普通用户就算中了木马也没有太大的威胁。不过我看到别人有可能监视我我就不爽。
作者: wowshell    时间: 2006-6-14 14:41

原帖由 祈祷の钟声 于 2006-6-13 19:36 发表

崇拜你的头像~

才看到你的回复 =.=
作者: 夏树卡瓦依    时间: 2006-6-14 14:47

原帖由 orvillecho 于 2006-6-14 12:02 发表
DOS下也能导入注册表,另外要了解可疑木马进程你还不如记住你自己的常规进程,因为它实在太多了,光我知道的就有100多个。



偶明明是4楼说==

我这里常规进程也有n多光防火墙和监控就3个还有一些其他的记住貌似不太可能所以给出了那个网址可以查询进程 在一般的情况下发现可疑的东西去查查就好了。另外只要系统打全了补丁 防火墙监控软件常驻我想也没有那么多木马。谁会没事总去查自己的进程呢。
作者: OTL    时间: 2006-7-30 13:38

顶上去
作者: 南消    时间: 2006-7-30 13:43

无是懒人-  -||

无是每月装一次系统饿~~~有时频率更高些
作者: 淡淡dē烟草味    时间: 2006-7-30 15:25

右下角就1个小喇叭,连接的人飘过
作者: .lemon.    时间: 2006-7-30 15:45

=。=

软件的创建日期很多木马都可以改的...

那些启动项早就不流行啦..

其实现在大部分传统木马都向远程控制转型了..如灰鸽子类..黑洞..

网页木马多一些





欢迎光临 浆糊论坛-RO小站 (http://bbs.rohome.cn/) Powered by Discuz! 7.2