自己动手删除时常来袭的 木马、病毒
[入库:2005年8月18日] [更新:2007年3月25日]
<![CDATA[自己动手删除时常来袭的 木马、病毒
by 阿新 -- seraph chutium
· http://com.6to23.com/
前一阵我中了一个小破木马,开了个鬼端口。
于是我开始自己手动删除,我一般不用杀毒软件,那些软件都是哄人的,
比如一个简简单单的happy time都不能很好的清除!最后还是要靠我自己来~
我建议有能力的话,时刻注意系统的变化,奇怪端口、可疑进程等等。
现在的病毒都不象以前那样对系统数据破坏很严重,也好发现的多, 所以尽量
自己杀毒,杀毒(较简单的病毒、木马)大致要分几步:
1. 检查注册表中run、runserveice等几项,先备份,记下可以启动项的地址,
再将可疑的删除。
2. 删除上述可疑键在硬盘中的执行文件。
3. 一般这种文件都在winnt,system,system32这样的文件夹下,他们一般不会单独存在,
很可能是有某个母文件复制过来的,检查c、d、e等盘下有没有可疑的.exe,.com或.bat
文件,有则删除之。
4. 检查注册表hkey_local_machine和hkey_current_user\software\microsoft\
internet explorer\main中的几项(如local page),如果被修改了,改回来就可以。
5. 检查hkey_classes_root\inifile\shell\open\command和
hkey_classes_root\txtfile\shell\open\command等等几个常用文件类型的默认打开程序
是否被更改。这个一定要改回来。很多病毒就是通过修改.txt,.ini等的默认打开程序让
病毒“长生不老,永杀不尽”的。
6. 如果有可能,对病毒的母文件进行反汇编,比如我上次中的那个病毒,通过用ida反汇编,
发现它还偷窃系统密码并建立 %systemroot%\system\mapis32a.dll 文件把密码送到一个
邮箱中,由于我用的是w2k,所以它当然没有得手。
至此,病毒完全删除!
这个木马“abc.exe”可以在这里下:http://chutium.top263.net/software/trojan.abc.zip
里面附带了我用ida对这个木马分析的结果和一份清除此病毒的批处理文件。
----------------------------------------------------------------------------------
阿新 -- seraph chutium
· <a href="http://com.6to23.com/">http://com.6to23.com/
</a>]]>
本文关键:木马 病毒 trojan virus
本站最佳浏览方式为 分辨率 1024x768 IE 6.0(或更高版本的 IE浏览器)
