返回列表 发帖

木马,要的就是手杀!

没有计算机基础知识的,无视这贴吧

下面是有关手杀木马的大概步骤:

以下步骤,请全部于安全模式下进行,否则杀不完杀不光都不关我事,另外这只是一般流程,或许有一些进阶木马对付不了,那最好还是重装吧,这套流程可以对付90%的情况了


首先打开MSCONFIG.EXE


打开后就素这样子滴


去SERVICES这页,把HIDE ALL MICROSOFT SERVICES选上,然后剩下的都不是系统的默认服务了,这样有助于分辨一些冒充系统服务的木马,就算它名字起得再象系统服务,都不会被隐藏的


比如最后那一个SVCH0ST.EXE,注意那是零,不是欧,这就是一个冒充系统服务的木马(出名着呢),上面那一个选起的是中文邮件,这类插件都会被我当作木马一般看待,在这里只要把它们的勾反选就可以了


然后去最后的STARTUP这一页,现在选择的是JAVA VM的常驻程序,删不删都没关系,因为网页需要运行JAVA的时候就会自动调用了,没多大意义的一个东西
不确定是不是木马的,可以反选那个勾,文件不一定要删除,总之他不运行就可以了


现在选的这一个就是一些网页上寄存的病毒/木马,它们会利用浏览器漏洞被下载到本机TEMP文件夹里面并在每次开机都运行,很普通的一种小程序,但是无论如何,肯定要删


在这里可以看到木马的具体寄存文件夹,注意要想起究竟是哪一个网站有问题,以后别去了,不然的话可能会一直中


之前看到的有问题的服务,要怎么找到有问题的文件在哪呢,可以运行这个


找到之前看到的服务的名字,双击打开,这个是中文邮件的插件


这个就是病毒/木马


其实木马要运行不只有运行和服务,现在打开注册表


把图放大看,底下状态栏有我打开的主键的具体位置
这里是策略,如果下面有一个主键名字叫EXPLORER,下面又有RUN主键的话,那么把RUN下面的全部都删除,正常的软件不会用到这里的


这个另外一个主键WINLOGON
选出来的2个位置是可以运行EXE的,如果发现这2个位置的键值和这图不同的话就应该把多出来的东西删除掉,现在我图中的是正常的


好了,最后是你会不会发现自己的浏览器经常自己打开一些莫名其妙的网站呢?或者有什么不顺眼的TOOLBAR进驻了?在INTERNET设置里面把这选项反选了就可以解决一部分问题了





上面找到的有问题的文件都是最好删除掉的,如果担心自己有没有找错的话,可以先丢回收站,没事了就不恢复就可以了,木马文件大小通常都在300K以下的

下面是一个判断文件(只针对你找到的有可能是木马的文件,不然系统有问题别找我,因为有一些WINDOWS的文件也会有这特征)是不是木马的小TIPS
右键点选你找出来的EXE->属性->下图,如果有VERSION的(特别是SYSTEM32里面的EXE文件),那么这文件可能是正常的,如果没有VERSION而且文件大小小于300K的,那这个很可能是木马文件了


有没有发现有时候找到了路径也找不到文件?因为文件可能被追加了隐藏甚至系统属性,可以到文件夹选项那里象下图一样设置,那就什么都能看见了,但是也会多出一些隐藏的文件夹,C盘底下也会出现一堆隐藏文件,这些都是正常的,别看见隐藏就以为是有问题哦,只有我们要找的要针对的文件才动,其他别乱来哦



WINDOWS\SYSTEM32里面的所有正常EXE文件都是非隐藏的,如果发现有隐藏了的EXE文件,那么要注意他了,直接丢回收站等待处理比较好

其实木马不一定要是EXE,还有借助于RUNDLL32.EXE或者RUNDLL.EXE运行的DLL文件,控件文件OCX,还有PIF文件(上面图中的)等等

只要是木马,无论什么类型的文件,它都是要启动的时候运行的(劫持IE的控件/插件是IE运行它就运行),把上面的地方都找过没问题的话就基本没大的问题了

具体案例啊:

http://bbs.rohome.net/thread-708581-1-1.html

[ 本帖最后由 小仪 于 2006-6-13 15:34 编辑 ]

=。=

软件的创建日期很多木马都可以改的...

那些启动项早就不流行啦..

其实现在大部分传统木马都向远程控制转型了..如灰鸽子类..黑洞..

网页木马多一些

TOP

右下角就1个小喇叭,连接的人飘过

TOP

无是懒人-  -||

无是每月装一次系统饿~~~有时频率更高些

TOP

顶上去

TOP

原帖由 orvillecho 于 2006-6-14 12:02 发表
DOS下也能导入注册表,另外要了解可疑木马进程你还不如记住你自己的常规进程,因为它实在太多了,光我知道的就有100多个。



偶明明是4楼说==

我这里常规进程也有n多光防火墙和监控就3个还有一些其他的记住貌似不太可能所以给出了那个网址可以查询进程 在一般的情况下发现可疑的东西去查查就好了。另外只要系统打全了补丁 防火墙监控软件常驻我想也没有那么多木马。谁会没事总去查自己的进程呢。

TOP

原帖由 祈祷の钟声 于 2006-6-13 19:36 发表

崇拜你的头像~

才看到你的回复 =.=

TOP

了解常规进程作用也不大了,现在的木马都是进程插入式的。
中木马基本没有什么异常特征,一般情况下普通用户就算中了木马也没有太大的威胁。不过我看到别人有可能监视我我就不爽。
Ich liebe Deutschland!Für das Dritte Reich!

TOP

回复 #5 夏树卡瓦依 的帖子

DOS下也能导入注册表,另外要了解可疑木马进程你还不如记住你自己的常规进程,因为它实在太多了,光我知道的就有100多个。

TOP

中了木马电脑有什么症状阿?

TOP

俺的电脑水平不沾,看不明白的。

TOP

原帖由 wowshell 于 2006-6-14 00:16 发表

绝对没有人没中过木马,就算再好的防护也会中,当然中木马后可以让他失去作用

同上,终于被移了

TOP

原帖由 celiachen 于 2006-6-13 22:19 发表
WINDOWS为什么是英文的
为了增加英语能力?
我好像从来没中过木马
或许中了
我也不知道那是木马
应该没中过

绝对没有人没中过木马,就算再好的防护也会中,当然中木马后可以让他失去作用

TOP

WINDOWS为什么是英文的
为了增加英语能力?
我好像从来没中过木马
或许中了
我也不知道那是木马
应该没中过

TOP

没什么意思........一般传播的木马自己注意点就不会中......
如果是一对一进行攻击......再弄都白搭

TOP

返回列表