5、检查与启动相关的文件
(1)检查启动组
启动组也是木马藏身的好地方,WinXP启动组对应的文件夹为:C:\Documents and Settings\帐户\「开始」菜单\程序\启动,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders,右边窗口中Startup的值为"C:\Documents and Settings\帐户\「开始」菜单\程序\启动",你应该检查这些地方。
(2)检查Autoexec.bat、Config.sys和Winstart.bat
Autoexec.bat和Config.sys都位于C盘根目录下,在它们中加载木马程序并不多见,但你也不能掉以轻心,最好检查一下。
Winstart.bat通常由应用程序及Windows自动生成。它是一个类似Autoexec.bat的批处理文件,在执行了Win.com并加载了多数驱动程序之后开始执行。Winstart.bat中也可以隐藏木马,因此你要打开它检查。
(3)检查Win.ini和System.ini
Win.ini位于Windows的安装目录下,其[windows]字段中有启动命令“load=”和“run=”,通常“=”后面是空白的,如果后面跟着程序,比如:run=c:\windows\spy.exe load=c:\windows\spy.exe ,这个spy.exe很可能就是木马程序!
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的加载之处,木马通常会将该句变为这样:shell=Explorer.exe spy.exe,注意这里的spy.exe就是木马服务端程序! 检查System.ini中的[386Enh]字段,此段内的“driver=路径\程序名”,也是木马经常隐藏的地方;检查System.ini中的[mic]、[drivers]、[drivers32]三个字段,它们也是添加木马的好场所。
二、清除木马的方法
清除木马应该按照以下的顺序进行:先停止进程,然后清理注册表相关表项,最后删除硬盘上木马文件。
有些木马,因为使用了线程注入或三线程保护方式,需要使用相关工具进行清除。对于exe文件关联类木马,清除之后可能会出现exe文件无法打开的现象,假如系统中没有相关进程监视这个表项,你可以这样处理:将regedit.exe 复制为 regedit.com,并运行 regedit.com,将 exe 文件关联改回来即可。
三、在线安全检测
按照上面的方法查杀木马后,如果你还不放心,可以在网上找个在线安全测试的网站,对你的系统当前安全情况进行检查,不过在线检测前,请关闭你的防火墙。目前这类测试各网站都是免费的,建议你去下面知名的网站测试:
1、诺顿在线安全检测http://www.symantec.com/region/cn/
诺顿是网络安全的鼻祖,它的风险评估是非常及时和全面的。该网站提供了活动的木马程序扫描,利用木马常用的方法尝试与你的电脑进行Internet 通信;它还可以扫描你的网络漏洞、NetBIOS可用性,确定黑客是否能访问你机器中的信息。扫描完成后,会显示详细的分析结果。
2、金山木马专杀http://scan.kingsoft.com/scan_mm.htm
著名的杀毒厂商金山公司提供的在线木马专杀服务,目前该服务完全免费。
3、天网安全在线http://old.sky.net.cn/main/view.php?cid=170
可进行木马检测、端口扫描、信息泄漏检查、系统安全性检查。检测时会出现倒计时,在倒数时间内,如果你的电脑出现蓝屏死机,则表示你的电脑不安全,你可以下载该网站提供的个人电脑网络安全软件,来修补目前的安全漏洞。
4、千禧在线--在线检测http://www.china-yk.com/tsfw/onlineclean/index.asp
免费检查你的电脑有那些端口开放或关闭,是否有木马;与“北京趋势科技”合作,提供了在线按需扫描病毒服务。
5、蓝盾安全在线http://www.haodx.com/url/1673.htm
蓝盾安全实验室研制、开发的在线安全检测系统,可以检查你的系统中是否有漏洞,可扫描你的端口,检查你的电脑中是否有木马和信息泄漏。上一页 [1] [2] |
