扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
昨晚一位很要好的网友向我告急,说己中了广外女生木马怎么清除,这可是老家伙啦,想当年这马的功力竟然与冰河齐驱共架。而且要彻底清除的确也挺麻烦的!!花了一晚上时间终于帮朋友搞定了,总结了一下经验,来这也撒一把~``呵呵
由于广外女生木马启动方式跟一般的木马不太一样,他非常狡猾把启动项目设置在了注册表的另外位置内,而且自动创建了好几个启动文件关联,这也就是一般杀毒软件不能彻底查杀他的原因之一。
一,我先简单介绍一下木马喜欢藏身的地方。
木马基本上采用了windows系统启动时自动加载应用程序的方法,包括有win.ini、system.ini和注册表等。
1.潜伏在win.ini中
木马想要达到控制或监视计算机的目的,就必须要运行,在win.in文件中,[WINDOWS]下面“run=”和“load=”行是windows启动时要自动加载运行的程序项目,于是潜伏在win.in中是木马感觉比较惬意的地方。大家不妨打开win.in来看看,在他的[WINDOWS]字段中有启动命令“run=”和“load=”,在正常情况下等号后面应该是空白的,不能有任何程序!如果有程序,比方说:
run=c:\windows\diagcfg.exe
load=c:\windows\diagcfg.exe
这时你就要小心了,这个diagcfg就是广外女生木马!
2.潜伏在system.ini中
木马就象你肚子里的蛔虫,什么地方有空他就往什么地方钻。WINDOWS安装目录下的system.ini也是木马喜欢藏身的地方,打开这个文件,在该文件的[boot]字段中,正常情况下有一个shell=Explorer.exe 项(后面不跟任何程序),如果是shell=Explorer.exe diagcfg.exe ,那么恭喜你,你中彩了,后面的“diagcfg.exe”就是木马程序。现在有些木马还将explorer.exe文件与其他进程捆绑成一个文件,在这里是看不出他的破绽,更增加了他的隐蔽性。
另外,在system.ini中的[386Enh]字段中要注意检查“driver=路径/程序名”这里也有可能被木马所利用。还有system.ini中的[mic]、[drivers32]字段,这些字段是起到加载驱动程序的作用,也是添加木马的好场所,可要注意哦!
(哦——对了!考虑到都是抢惯肉了对杀马灭虫等还不太熟悉~```,在这里我把打开“system.ini”、“win.ini”的方法告诉你:开始/运行,输入msconfig/确定。运行windows自带的“系统配置实用程序”,自己在里面找吧。windows2000里没这个东西,你也可以在运行里输入:sysedit 来打开)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。