galexnt

局域网技术和网络安全爱好者乐园

IT博客 首页 新随笔 联系 聚合 管理
  9 Posts :: 4 Stories :: 9 Comments :: 0 Trackbacks

只要我们上网,病毒,木马似乎就是个永恒的话题.我在这里把自己在处理一些简易木马或者是非法的启动项的手工清除方法,高手当然都懂,我只是看到论坛里经常有人遇到这种问题,在这里也只是交流我的经验,不足之处也请指教:)网上的相关好教程也很多。

1.对待一般的非法随系统启动的程序(如弹出网页,打个某些程序,还有在后台执行的木马等)可以随机启动的地方很多,在这里我只介绍常被利用的地方,有的不常见。如果是win98,winme,winxp系统,直接在[开始]菜单的[运行]中输入msconfig -6,进入后,如下图所示:

click for full size


在启动项里,根据“命令”栏,可以看到启动进程的路径及命令参数等,找到可疑的,将对勾去掉,一般的如果只有启动项目,后面的命令栏什么也没有,通常为非法的。如上图,可只留下杀毒的(kav),防火墙(pfw),ctfmon三个,其它的如MSMSGS是MSN的启动进程,另外两个更是不知道,去掉选择。如果确定某个进程是可疑的,记下路径,重启后删除之。

如果是2000系统,因为没有msconfig,可以从98或是XP系统中系统中copy一份,也照样可以用,只是会弹出找不到**的提示,确定后就能用,最方便的是用第三方的,毒霸很早出的一个注册表清理工具,比较方便,可以从这里下载:

http://db.kingsoft.com/download/3/8.shtml

我比较喜欢直接对注册表修改,因为这样虽然麻烦,但是也是最直接的:)
运行 regedit,进入注册表编辑器,启动项在注册表中主要有两个大位置,分别是第二项和第三项,HKEY_CURRENT_USER和HKEY_CURRENT_MACHINE
先依次展开:

+HKEY_CURRENT_USER
+ Software
+Microsoft
    +Windows
    +CurrentVersion
Run
     RunOnce 将这两个项的右侧的无用启动项,直接删除。

再依次展开 :

+HKEY_CURRENT_MACHINE
+ SOFTWARE
+Microsoft
   +Windows
    +CurrentVersion
 Run
     RunOnce
     RunOnceEx

将以Run开头的这几个项,都打开看看,有很多木马之类的不是在run中,而是在runonceex等中,随机启动的通常都在这两个地方藏的:)
有时候会有这样的情况,有些删除不了,或者有的一删除,刷新又出来了,这说明是有进程在监测注册表,这样的话,就需要先结束掉非法的进程,结束的方法在下面提到。并且现在的木马都有三进程的,所以非常的难缠。

重启,再打开启动项时,如果启动组中原来删除的又来了,那么这个就需要用下面的方法来对付。

2.对付卷土重来的进程

记下他的准备路径,将他的启动选项去掉,
这里可以借用一个工具,进程查看工具,这个工具大家可以从海娃的网站上下载。并且站上的资源很丰富,可以学很多:)

http://www.51windows.net/share/soft/prcview.zip

这个软件使用非常简单,执行后,所有的进程都会显示出来,找到启动项中类似的进程名,记下他的具体位置,结束掉进程后,找到位置删除掉,如果怕误删,可以直接给程序改扩展名也行。

这个软件非常的实用,我一般都放U盘中,用这个软件所杀的进程,通常是杀毒软件查不出来是病毒的,其实也就是说,如果进程带病毒性质的,最好配合杀毒软件。

另外就是对付木马的过程中,最好断开网络。
由于水平有限,只希望这些会对您有些许启示。。。
转自蓝色理想

posted on 2006-07-13 19:48 Raiden的网络技术小站 阅读(124) 评论(0)  编辑 收藏 引用 所属分类: 转载
只有注册用户登录后才能发表评论。