广外女生木马手工清除方法(1)

　　昨晚一位很要好的网友向我告急，说己中了广外女生木马怎么清除，这可是老家伙啦，想当年这马的功力竟然与冰河齐驱共架。而且要彻底清除的确也挺麻烦的！！花了一晚上时间终于帮朋友搞定了，总结了一下经验，来这也撒一把~``呵呵

　　由于广外女生木马启动方式跟一般的木马不太一样，他非常狡猾把启动项目设置在了注册表的另外位置内，而且自动创建了好几个启动文件关联，这也就是一般杀毒软件不能彻底查杀他的原因之一。

　　一，我先简单介绍一下木马喜欢藏身的地方。

　　木马基本上采用了windows系统启动时自动加载应用程序的方法，包括有win.ini、system.ini和注册表等。

　　1.潜伏在win.ini中

　　木马想要达到控制或监视计算机的目的，就必须要运行，在win.in文件中，[WINDOWS]下面“run=”和“load=”行是windows启动时要自动加载运行的程序项目，于是潜伏在win.in中是木马感觉比较惬意的地方。大家不妨打开win.in来看看，在他的[WINDOWS]字段中有启动命令“run=”和“load=”，在正常情况下等号后面应该是空白的，不能有任何程序！如果有程序，比方说：

　　run=c:\windows\diagcfg.exe

　　load=c:\windows\diagcfg.exe

　　这时你就要小心了，这个diagcfg就是广外女生木马！

　　2.潜伏在system.ini中

　　木马就象你肚子里的蛔虫，什么地方有空他就往什么地方钻。WINDOWS安装目录下的system.ini也是木马喜欢藏身的地方，打开这个文件，在该文件的[boot]字段中，正常情况下有一个shell=Explorer.exe 项（后面不跟任何程序），如果是shell=Explorer.exe diagcfg.exe ，那么恭喜你，你中彩了，后面的“diagcfg.exe”就是木马程序。现在有些木马还将explorer.exe文件与其他进程捆绑成一个文件，在这里是看不出他的破绽，更增加了他的隐蔽性。

　　另外，在system.ini中的[386Enh]字段中要注意检查“driver=路径/程序名”这里也有可能被木马所利用。还有system.ini中的[mic]、[drivers32]字段，这些字段是起到加载驱动程序的作用，也是添加木马的好场所，可要注意哦！

　　（哦——对了！考虑到都是抢惯肉了对杀马灭虫等还不太熟悉~```，在这里我把打开“system.ini”、“win.ini”的方法告诉你：开始/运行，输入msconfig/确定。运行windows自带的“系统配置实用程序”，自己在里面找吧。windows2000里没这个东西，你也可以在运行里输入：sysedit 来打开）