荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: sweetman (Love Library), 信区: Virus
标 题: 手工清除木马的方法(具有普遍适用性)
发信站: 荔园晨风BBS站 (Mon Oct 6 18:17:21 2003), 站内信件
一、发现
中木马后,中毒者电脑会打开特定的端口
此时,可以在命令提示符中输入命令:
netstat -na 可以查看电脑所打开的端口,若觉得可疑的就记下来
二、查找与清除
1)先查找隐藏文件(某些木马的文件属性是隐性的)
2)多数木马会自身复制到系统目录下,加入启动项
启动项一般加在注册表中。运行---》REGEDIT
a、 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
b、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
c、 HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion
删除RUN目录或RUNSEVICE目录下带*.exe的键值或者删除其中你怀疑的键值。当然,
如果想保险些,删除RUN或RUNSEVICE目录下所有键值好象也可以的。:)
3、接着到系统目录下查找可疑文件,先查看属性。修改或者创建时间一般不会是最近的
若是最近的或当前时间的,则应注意之。复制后作为备份,删除之,若不可以就很可能是
木马了。可以用任务管理器或其他第三方软件终止之;此时,再看看原来的可疑端口是否
还有。若有减少,或者没了就说明90%是木马,删除之。这样就OK了,不过别忘了原来
备份的那些可疑文件也要删除咯:P
如果*.txt或*.exe的文件关联被改,可以在注册表中改过或者在MS-DOS下执行
"Scanreg/restore"改回去。最多只可以改回5天前的
--
前途漫漫,我心依旧
失去了才知道珍惜
※ 修改:·sweetman 於 Oct 6 18:26:20 修改本文·[FROM: 192.168.85.172]
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.85.172]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店