檢查你的系統組態文件
其實檢查系統組態文件最好的方法是開啟Windows「系統組態實用程序」(從開始選單執行msconfig.exe),在裡面你可以組態Config.sys、Autoexec.bat、system.ini和win.ini,並且可以選項啟動系統的時間。
1、檢查win.ini文件(在C?@windows@下),開啟後,在?WINDOWS?下面,「run=」和「load=」是可能載入「木馬」程序的途徑,必須仔細留心它們。
在一般情況下,在它們的等號後面什麼都沒有,如果發現後面跟有路徑與檔案名不是你熟悉的啟動檔案,你的電腦就可能中上「木馬」了。比如攻擊QQ的「GOP木馬」就會在這裡留下痕跡。
2、檢查system.ini文件(在C:@windows@下),在BOOT下面有個「shell=檔案名」。
正確的檔案名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程式名稱」,那麼後面跟著的那個程序就是「木馬」程序,然後你就要在硬碟找到這個程序並將其移除了。這類的病毒很多,比如「尼姆達」病毒就會把該項修改為「shell=explorer.exe load.exe -dontrunold」。
檢視文件內容幫你清除木馬
近日,筆者用BT下載了一個格鬥遊戲,執行安裝程序後沒有任何反應。
起初,筆者以為是安裝程序已經損壞就順手給刪掉了,沒有特別留意。但第二天開機時,金山毒霸突然無法載入。由於以前也有過類似的經歷,所以筆者感覺昨天下載的那個格鬥遊戲多半元件服務了木馬。
為了安全起見,筆者立刻斷掉了網路連 接,然後開啟「Windows工作管理器」,經過排除找到了名為「sprite.exe」的可疑行程。
結束該行程後金山毒霸就可以正常執行了,但仍然無法查出木馬的所在。利用Windows原有的的搜尋功能搜尋「sprite.exe」,選項包括隱藏文件,也只搜到文件「sprite.exe」。
正要移除時,筆者突發奇想:
木馬通常進駐記憶體時都會自動產生一些輔助文件,何不利用Windows原有的的檢視文件內容功能達到一勞永逸的目的?
說幹就幹,找到文件「sprite.exe」用右鍵點擊,在彈出的對話視窗中選項 「內容」,電腦顯示該檔案新增於2003年10月9日18:08:19。點擊「開始→進階搜尋」,將文件新增日期設定為10月9日,搜尋……在搜尋結果中找到兩個新增時間為2003年10月9日18:08:19的文件:「Hiddukel.exe」和「Hiddukel.dll」(大小分別為71KB和15KB),一併移除,大功告成。
後來筆者從網上瞭解到這種木馬叫做「妖精」。最新版本的殺毒軟體和防火牆均不能清除這種木馬。以下是手動式清除此木馬的方法:
1.開啟註冊表編輯器,找到「HKEY_ CLASSES_ROOT\exefile\shell\open\command」下的「C:\Windows\System\Hiddukel.exe」鍵值和「HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command」下的「C:\Windows\System\Hiddukel.exe」鍵值後,將它們移除;
2.開啟C:\Windows\System目錄,找到Hiddukel.exe(71KB)和Hiddukel.dll(15KB)兩個文件後,將它們移除;
3.搜尋你的電腦裡是否有Sprite.exe(132KB)或者crawler.exe(131KB),如果有的話也要徹底將它們移除。
現在的木馬多數都會在進駐記憶體時自動產生一些動態連接文件。
筆者介紹的這種利用檢視文件新增時間進行文件搜尋的方法,有些時候是很好用的,感興趣的朋友不妨試試(對於經常安裝遊戲和軟體的玩家可能不適用)。
|