|
本文总结了一下有关手工删除木马的步骤,列举了所使用到的软件,对可疑文件进行分析,具体内容如下:
所需软件:
Windows PE启动光盘(推荐老毛桃)、360安全卫士(最新版)、卡卡5.2(坚决不要V6)或者金山清理专家、SREng、U盘杀毒软件一款、Windows安装盘。
1、 使用Windows PE启动系统。
2、 清空Documents and settings\用户名\Local settings中Temp里和Temporary Internet Files里的所有文件。(都是最近的文件,影响下面的查找,删除后不影响系统运行)
3、 查找C盘中所有最近(一般为一个月)产生的文件,注意在高级选项中打开查找隐藏文件等选项。
4、 按时间排序后,找到可疑的文件(*1),并重点查找与这些文件产生时间相同的文件,对文件进行删除操作(*2)。
5、 在可疑的位置(*2)察看有没有隐藏文件,如果有,看看文件属性是否可信。
6、 拔掉网线,重启电脑进入安全模式,用U盘上已经升级过的360删除恶意软件(*4)。
7、 重启电脑进入普通模式。用360、卡卡5.2或者SREng查看启动项是否有问题,将有问题的启动项屏蔽。
8、 重启计算机。如果仍然有问题则继续在可疑位置中查看文件信息不明的文件或者标记为TXT、LOG、BMP、JPG、GIF却无法正常打开的文件。直到重启后不出现问题为止。
9、 插上网线重启计算机。有问题仍然继续查找隐藏的文件(*5),没问题则给系统打补丁、升级杀毒软件并全盘杀毒。
10、解决系统出现的其他问题。(*6)
*1 可疑文件是指:
1)产生时间为最近的文件。
2)文件属性中没有信息,或者虽然有信息但信息不全、版本号过于简单、公司没见过或者公司名明显冒用微软的公司。(文件管理器中)
3)文件名与正常系统文件名相似,但个别字母不正确的文件。
4)明显不应该属于该目录的文件(比如font inf help文件夹中不应该有dll exe等文件)
5)注意:c:\windows\system32\wpa.dbl是正常文件,不能删除。
6)木马文件的扩展名主要集中在 dll exe com drv bat sys ,比较少见的有vba pif scr htm,还有假装成txt log bmp jpg gif的。
*2 删除操作
如果不能完全肯定该文件是病毒或者木马,可以先建立一个文件夹并将该文件移动到这个文件夹中。
*3 可疑的位置包括:
Windows目录下
Windows目录下的system32目录、system目录、fonts目录、inf目录、Downloaded Program files目录、Temp目录、Help目录
Windows\system32\drivers
每个盘符的根目录下(包括使用者的U盘)
Program files目录下
Program files\internet explorer目录下以及其中的子目录中
Program Files\Common Files\Microsoft Shared\MSinfo
Documents and settings中各用户的Local settings目录以及“开始菜单\程序\启动”目录
*4 360安全卫士
如果运行360后无反应,可以将360safe.exe改名后再执行;仍然不行的话,可以用SREng手动查找删除。
*5 如果实在查找不到,则可能是系统文件已经被注入,这时必须使用杀毒软件对Windows目录进行杀毒;或者手动查找常用的系统文件是否已被篡改(比较明显的区别是图标不正确、文件信息不正确等),这些文件包括svchost.exe ctfmon.exe conime.exe explorer.exe rundll.exe taskmgr.exe taskman.exe winlogon.exe userinit.exe notepad.exe rpcss.dll debug.exe lsass.exe。
*6 其他问题可能包括
1)无法登录系统:一般是userinit或者winlogon.exe被病毒破坏,从原盘中提取并替换即可。
2)输入法消失:conime.exe和ctfmon.exe被病毒破坏,从原盘中提取并替换即可。
3)无法关机:可能是automatic update服务被破坏,关闭该服务即可。
4)无法运行杀毒软件等特定软件:注册表中镜像信息被破坏,一般用360修复即可。
5)注册表被禁用,无法查看隐藏文件:注册表被修改,修改相应注册表项目即可。
6)开机显示某个文件无法加载:一般是木马,在注册表中查找相应文件名,并删除相关键值即可。
4)任务栏不显示任何内容,开始菜单单击无效:remote procedure call服务被停止,将其设置为自动运行即可。
| 
