文章內(nèi)容

手動拒絕木馬入侵

發(fā)布時間: 2012/7/4 11:10:55

　一、開機自動運行解決方法

　　1、Windows優(yōu)化大師：打開“開機速度優(yōu)化”是否發(fā)現(xiàn)某項是與你的程序無關(guān)，在它的前面格里單擊（程序是空的而有可選項那它一定是木馬！）再單擊優(yōu)化即可。最好先用“系統(tǒng)安全優(yōu)化”右上角“掃描”單擊看看。

　　2、超級兔子魔法設(shè)置：原理與Windows優(yōu)化大師相同，打開“自動運行”單擊左上角的“十”（注：4.2版起“十”將改為可選項）在“進程管理”掃描一下，然后在“自動運行”里看看（特別注意沒文字標出的項，可能是木馬，但也要小心匆刪重要項�。�

　　3、殺毒軟件：最簡單！把所有硬盤掃描一下便OK，但注意病毒庫更新，推薦殺毒軟件：木馬黑星、金山毒霸2002、金山網(wǎng)鏢2002、KV3000、瑞星2002……

　　4、注冊表法：在windows的運行里輸入“regedit”進入后按地址：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，進入開機運行的注冊表項，是否發(fā)現(xiàn)某項是與你的程序無關(guān)（程序是空的而有可選項那它一定是木馬�。�，按右鍵刪除即可。但也要小心。

　　二、捆綁WINDOWS程序解決方法

　　解決捆綁須先安裝一個進程管理工具，只要可以查看進程的什么工具也可（本文以“Windows優(yōu)化大師”的“Windows進程管理”為例）。

　　捆綁WINDOWS程序的木馬可分為以下幾種：

　　1、通過寫入注冊表的文件關(guān)聯(lián)進行捆綁。清除方法：

　　當TXT擴展名被捆綁——先打開“Windows進程管理”記下進程打開TXT擴展名的文件后再關(guān)閉，刷新一下“Windows進程管理”是否發(fā)現(xiàn)多了一項，沒錯了那就是木馬（如果沒多了一項的話證明TXT擴展名沒被捆綁）！被捆綁了就在任何窗口下打開：查看→文件夾選項→文件類型→文本文檔→編輯→再按編輯，在“用于執(zhí)行操作的應(yīng)用程序”下輸入“C:\WINDOWS\NOTEPAD.EXE”單擊確定，退出即可。

　　當Run的值沒有存在木馬而又自動運行——在windows的運行里輸入“Msconfig”，進入“系統(tǒng)配置實用程序”，在“system.ini”的頁面下的“[boot]”里看看某程序的后面是否還有其他程序。例如“shell=Explorer.exe net.exe”那么net.exe就是木馬，可以通過“編輯”來刪除net.exe。如果“system.ini”沒發(fā)現(xiàn)木馬可檢查“Win.ini”的“[windows]”默認為:“load= ”、“ run= ”、“NullPort=None”，如果有不同之處可能那個就是木馬把它刪除即可

　　2、真真正正的Windows文件被捆綁了。

　　清除方法：先打開“Windows進程管理”記下進程，呈現(xiàn)：當運行某程序時發(fā)現(xiàn)多出一個程序（除自己運行的程序除外），因為Windows文件已被真真正正的捆綁了，所以只有以沒捆綁覆蓋已捆綁。

　　如果該程序正在運行而無法覆蓋，可用以下方法：在windows的主盤（大多為C:\）下的Autoexec.bat右鍵按下編輯，假如正常的文件為EXPLORER.EXE放于D盤，帶木馬的文件在c:\windows的目錄下，側(cè)加入語句：“Copy d:\EXPLORER.EXE c:\windows”，保存后重啟，已把正常的文件為EXPLORER.EXE放于c:\windows了。

　　免疫：好簡單！只要定時給注冊表備份，windows下所有的EXE文件備份，system.ini備份，win.ini備份，boot.ini備份，Config.ini備份，Autoexec.bat備份……有需要時可就地取材（旁人：這倒不如把Windows都備份，哈哈）。

　　強烈推薦使用金山網(wǎng)鏢2002，即使中了木馬，末經(jīng)你同意，木馬也毫無作用。

　　文章已到了尾聲，最后送給大家常見木馬的清除方法：

　　1、冰河的幾種清除方法：

　�、僮詭У男遁d功能。
　�、诓糠謿⒍拒浖�。（推薦：金山毒霸還不錯，能查殺2.2、5.0、6.0冰河）
　�、坌薷淖员怼＿\行regedit，查找下面的鍵值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservice

　　第一步，刪除相對的可疑鍵值（不熟悉的朋友不要亂動）。第二步，重新啟動時轉(zhuǎn)到DOS下，刪除冰河服務(wù)端（一般默認為"c:\windows\c_server.exe"，會變更），這一步很重要，下面再重啟計算機即可。

　　2、廣外女生的清除方法：

　�、贇⒍拒浖＃ㄟ@個不好說，較真起來還真不清楚誰能殺掉誰）
　　②廣外女生自帶的卸載功能。（這個最方便。自機試過，沒有后遺癥）
　�、坌薷淖员�。運行regedit，查找下面的鍵值，先查看

　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\，但是先不要修改，因為如果這時就修改注冊表的話，DIAGCFG.EXE進程仍然會立刻把它改回來的。打開“任務(wù)管理器”，找到DIAGCFG.EXE這個進程，選中它，按“結(jié)束進程”來關(guān)掉這個進程。注意，一定也不要先關(guān)進程再打開注冊表管理器，否則執(zhí)行regedit.exe時就又會啟動DIAGCFG.EXE。把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\的鍵值由原來的C:\WINNT\System32\DIAGCFG.EXE "%1" %*改為"%1" %*。這時就可以刪除C:\WINNT\System32\目錄下的DIAGCFG.EXE。

　　3、無賴小子2.5版清除方法：

　�、僮詭У男遁d功能。
　�、谀抉R克星。
　�、坌薷淖员恚捍蜷_regedit，查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，刪除它在注冊表中的鍵值，再重啟轉(zhuǎn)如DOS下刪除C：\windows\system下的msgsvc.exe這個文件（如果服務(wù)端已經(jīng)和可執(zhí)行文件捆綁在一起了，那就只有將那個可執(zhí)行文件也刪除了！在刪除前請做好備份）。

本文出自：億恩科技【www.allwellnessguide.com】

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]