五、检查系统目录中文件
木马也可能藏在系统目录中。启动资源管理器,点击“工具”/文件夹选项/查看,设置显示全部文件(包括受保护文件),不要隐藏已知文件的扩展名,然后打开Windows\ 及 Windows\system32目录中的文件,按建立时间排序,找出建立时间或修改时间异常的程序,记录下来。 六、在注册表中检查
单击“开始”/运行,键入Regedit打开注册表,检查其中是否有木马,记录下来,暂时不要更改。
(1)检查自启动项
查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值,检查其中是否有程序,木马喜欢藏在这些位置。
此外,使用组策略也能让木马在系统登录时自动启动(方法如下),该方法添加的自启动程序也被记录在注册表中,但是非以上介绍的那些注册表位置。如果你怀疑自己中了木马,在上面的注册表项中又找不到它,建议你检查注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run项,或是进入“组策略”的“在用户登录时运行这些程序”,看看其中有无启动的程序。 组策略添加自启动木马程序的方法:在“开始→运行”中执行“Gpedit.msc”打开“组策略”,展开“本地计算机策略→用户配置→管理模板→系统→登录”,双击“在用户登录时运行这些程序”子项,选定“设置”项中的“已启用”项,单击“显示”按钮弹出“显示内容”窗口,再单击“添加”按钮,在“添加项目”窗口内的文本框中,输入要自启动的木马程序路径即可。
(2)检查文件关联是否被修改
国产木马还喜欢修改文件关联,例如TXT文件通常是由记事本(Notepad.exe)来打开的,如果你中了国产木马冰河之后,则会被修改为用木马程序打开,因此只要你一打开文本文件,就会自动启动木马。
木马修改文件关联的方法是:修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE %1”改为“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”来完成的。
注意:木马不仅仅只会修改TXT文件的关联,有时还可能修改HTM、EXE、ZIP、COM等文件的关联。因此对付这类木马,你应该检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值是否正常。