史萊姆論壇 - 查看單個文章

psac · 2006-03-15, 03:22 AM

教您手動式輕鬆清除隱藏在電腦裡的病毒和木馬
教您手動式輕鬆清除隱藏在電腦裡的病毒和木馬

　　現在上網的朋友越來越多了，其中有一點不可避免的就是如何防範和查殺病毒和惡意攻擊程序了。但是，如果不小心中了病毒而身邊又沒有殺毒軟體怎麼辦?沒有關係，今天我就來教大家怎樣輕鬆地手動式清除藏在電腦裡的病毒和木馬。
　　檢查註冊表
　註冊表一直都是很多木馬和病毒「青睞」的寄生場所，注意在檢查註冊表之前要先給註冊表制作備份。

　　1、檢查註冊表中HKEY_LOCAL_MACHINE@Software@Microsoft@Windows@CurrentVersion@Run和HKEY_LOCAL_MACHINE@Software@Microsoft@Windows@CurrentVersion@Runserveice，檢視鍵值中有沒有自己不熟悉的自動啟動檔案，副檔名一般為EXE，然後記住木馬程序的檔案名，再在整個註冊表中搜尋，凡是看到了一樣的檔案名的鍵值就要移除，接著到電腦中找到木馬文件的藏身地將其徹底移除?比如「愛蟲」病毒會修改上面所提的第一項，BO2000木馬會修改上面所提的第二項)。

　　2、檢查註冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER@SOFTWARE@Microsoft@Internet Explorer@Main中的幾項(如Local Page)，如果發現鍵值被修改了，只要根據你的判斷改回去就行了。惡意程式碼(如「萬花谷」)就經常修改這幾項。

　　3、檢查HKEY_CLASSES_ROOT@inifile @shell@open@command和HKEY_CLASSES_ROOT @txtfile@shell@open@command等等幾個常用檔案類型的預設開啟程序是否被更改。這個一定要改回來，很多病毒就是通過修改.txt、.ini等的預設開啟程序而清除不了的。例如「羅密歐與朱麗葉」?BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的預設開啟程序。

　　檢查你的系統組態文件

　　其實檢查系統組態文件最好的方法是開啟Windows「系統組態實用程序」(從開始選單執行msconfig.exe)，在裡面你可以組態Config.sys、Autoexec.bat、system.ini和win.ini，並且可以選項啟動系統的時間。

　　1、檢查win.ini文件(在C?@windows@下)，開啟後，在?WINDOWS?下面，「run=」和「load=」是可能載入「木馬」程序的途徑，必須仔細留心它們。在一般情況下，在它們的等號後面什麼都沒有，如果發現後面跟有路徑與檔案名不是你熟悉的啟動檔案，你的電腦就可能中上「木馬」了。比如攻擊QQ的「GOP木馬」就會在這裡留下痕跡。

　　2、檢查system.ini文件(在C:@windows@下)，在BOOT下面有個「shell=檔案名」。正確的檔案名應該是「explorer.exe」，如果不是「explorer.exe」，而是「shell= explorer.exe 程式名稱」，那麼後面跟著的那個程序就是「木馬」程序，然後你就要在硬碟找到這個程序並將其移除了。這類的病毒很多，比如「尼姆達」病毒就會把該項修改為「shell=explorer.exe load.exe -dontrunold」。
檢視文件內容幫你清除木馬

　　近日，筆者用BT下載了一個格鬥遊戲，執行安裝程序後沒有任何反應。起初，筆者以為是安裝程序已經損壞就順手給刪掉了，沒有特別留意。但第二天開機時，金山毒霸突然無法載入。由於以前也有過類似的經歷，所以筆者感覺昨天下載的那個格鬥遊戲多半元件服務了木馬。

　　為了安全起見，筆者立刻斷掉了網路連接，然後開啟「Windows工作管理器」，經過排除找到了名為「sprite.exe」的可疑工作。結束該工作後金山毒霸就可以正常執行了，但仍然無法查出木馬的所在。利用Windows原有的的搜尋功能搜尋「sprite.exe」，選項包括隱藏文件，也只搜到文件「sprite.exe」。正要移除時，筆者突發奇想：木馬通常進駐記憶體時都會自動產生一些輔助文件，何不利用Windows原有的的檢視文件內容功能達到一勞永逸的目的?說幹就幹，找到文件「sprite.exe」用右鍵點擊，在彈出的對話視窗中選項「內容」，電腦顯示該檔案新增於2003年10月9日18:08:19。點擊「開始→進階搜尋」，將文件新增日期設定為10月9日，搜尋……在搜尋結果中找到兩個新增時間為2003年10月9日18:08:19的文件:「Hiddukel.exe」和「Hiddukel.dll」(大小分別為71KB和15KB)，一併移除，大功告成。

　　後來筆者從網上瞭解到這種木馬叫做「妖精」。最新版本的殺毒軟體和防火牆均不能清除這種木馬。以下是手動式清除此木馬的方法:

　　1.開啟註冊表編輯器，找到「HKEY_ CLASSES_ROOT\exefile\shell\open\command」下的「C:\Windows\System\Hiddukel.exe」鍵值和「HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command」下的「C:\Windows\System\Hiddukel.exe」鍵值後，將它們移除；
　　2.開啟C:\Windows\System目錄，找到Hiddukel.exe（71KB）和Hiddukel.dll（15KB）兩個文件後，將它們移除；
　　3.尋找你的電腦裡是否有Sprite.exe（132KB）或者crawler.exe（131KB），如果有的話也要徹底將它們移除。

　　現在的木馬多數都會在進駐記憶體時自動產生一些動態連接文件。筆者介紹的這種利用檢視文件新增時間進行文件搜尋的方法，有些時候是很好用的，感興趣的朋友不妨試試（對於經常安裝遊戲和軟體的玩家可能不適用）。
檢視開放連接阜判斷木馬的方法

　　當前最為一般的木馬通常是關於TCP/UDP傳輸協定進行client端與server端之間的通訊的，既然利用到這兩個傳輸協定，就不可避免要在server端（就是被種了木馬的機器了）開啟監聽連接阜來等待連接。例如鼎鼎大名的冰河使用的監聽連接阜是7626，Back Orifice 2000則是使用54320等等。那麼，我們可以利用檢視本地機開放連接阜的方法來檢查自己是否被種了木馬或其它黑客程序。以下是詳細方法介紹。

　　1． Windows本身原有的的netstat指令

　　關於netstat指令，我們先來看看windows求助文件中的介紹：

Netstat

　　顯示傳輸協定統計和現用的 TCP/IP 網路連接。該指令只有在安裝了 TCP/IP 傳輸協定後才可以使用。

　　netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

　　參數

　　-a

　　顯示所有連接和偵聽連接阜。伺服器連接通常不顯示。

　　-e

　　顯示乙太網統計。該參數可以與 -s 選項結合使用。

　　-n

　　以數位格式顯示位址和連接阜號（而不是嘗試尋找名稱）。

-s

　　顯示每個傳輸協定的統計。預設情況下，顯示 TCP、UDP、ICMP 和 IP 的統計。-p 選項可以用來指定預設的子集。

　　-p protocol

　　顯示由 protocol 指定的傳輸協定的連接；protocol 可以是 tcp 或 udp。如果與 -s 選項一同使用顯示每個傳輸協定的統計，protocol 可以是 tcp、udp、icmp 或 ip。

　　-r

　　顯示路由表的內容。

　　interval

　　重新顯示所選的統計，在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統計。如果省略該參數，netstat 將列印一次現用的配置資訊。

　　好了，看完這些求助文件，我們應該明白netstat指令的使用方法了。現在就讓我們現學現用，用這個指令看一下自己的機器開放的連接阜。進入到指令行下，使用netstat指令的a和n兩個參數：

　　C:\>netstat -an

　　Active Connections

　　Proto Local Address Foreign Address State
　　TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
　　UDP 0.0.0.0:445 0.0.0.0:0
　　UDP 0.0.0.0:1046 0.0.0.0:0
　　UDP 0.0.0.0:1047 0.0.0.0:0

　　解釋一下，Active Connections是指當前本地機活動連接，Proto是指連接使用的傳輸協定名稱，Local Address是本機電腦的 IP 位址和連接正在使用的連接阜號，Foreign Address是連接該連接阜的遠端電腦的 IP 位址和連接阜號，State則是表明TCP 連接的狀態，你可以看到後面三行的監聽連接阜是UDP傳輸協定的，所以沒有State表示的狀態。看！我的機器的7626連接阜已經開放，正在監聽等待連接，像這樣的情況極有可能是已經感染了冰河！急忙中斷連線網路，用殺毒軟體查殺病毒是正確的做法。

　　2．工作在windows2000下的指令行工具fport

　　使用windows2000的朋友要比使用windows9X的幸運一些，因為可以使用fport這個程序來顯示本地機開放連接阜與工作的對應關係。

　　Fport是FoundStone出品的一個用來列出系統中所有開啟的TCP/IP和UDP連接阜，以及它們對應應用程式的完整路徑、PID標幟、工作名稱等訊息的軟體。在指令行下使用，請看例子：

　　D:\>fport.exe
　　FPort v1.33 - TCP/IP Process to Port Mapper
　　Copyright 2000 by Foundstone, Inc.
　　http://www.foundstone.com

　　Pid Process Port Proto Path
　　748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe
　　748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe
　　748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
　　416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe

　　是不是一目瞭然了。這下，各個連接阜究竟是什麼程序開啟的就都在你眼皮底下了。如果發現有某個可疑程序開啟了某個可疑連接阜，可千萬不要大意哦，也許那就是一隻狡猾的木馬！

　　Fport的最新版本是2.0。在很多網站都提供下載，但是為了安全起見，當然最好還是到它的老家去下：http://www.foundstone.com/knowledge/zips/fport.zip

　　3.與Fport功能類似的圖形化介面工具Active Ports

　　Active Ports為SmartLine出品，你可以用來監視電腦所有開啟的TCP/IP/UDP連接阜，不但可以將你所有的連接阜顯示出來，還顯示所有連接阜所對應的程序所在的路徑，本機IP和遠端IP(試圖連接你的電腦IP)是否正在活動。下面是軟體截圖：

　　是不是很直觀？更棒的是，它還提供了一個關閉連接阜的功能，在你用它發現木馬開放的連接阜時，可以立即將連接阜關閉。這個軟體工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。

　　其實使用windows xp的用戶無須借助其它軟體即可以得到連接阜與工作的對應關係，因為windows xp所帶的netstat指令比以前的版本多了一個O參數，使用這個參數就可以得出連接阜與工作的對應來。

　　上面介紹了幾種檢視本地機開放連接阜，以及連接阜和工作對應關係的方法，通過這些方法可以輕鬆的發現關於TCP/UDP傳輸協定的木馬，希望能給你的愛機帶來說明。但是對木馬重在防範，而且如果碰上反彈連接阜木馬，利用驅動程式及動態連接庫技術製作的新木馬時，以上這些方法就很難查出木馬的痕跡了。所以我們一定要養成良好的上網習慣，不要隨意執行郵件中的附件，安裝一套殺毒軟體，像國內的瑞星就是個查殺病毒和木馬的好幫手。從網上下載的軟體先用殺毒軟體檢查一遍再使用，在上網時開啟網路防火牆和病毒既時監控，保護自己的機器不被可恨的木馬入侵。

2006-03-15, 03:22 AM	#3 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	教您手動式輕鬆清除隱藏在電腦裡的病毒和木馬教您手動式輕鬆清除隱藏在電腦裡的病毒和木馬　　現在上網的朋友越來越多了，其中有一點不可避免的就是如何防範和查殺病毒和惡意攻擊程序了。但是，如果不小心中了病毒而身邊又沒有殺毒軟體怎麼辦?沒有關係，今天我就來教大家怎樣輕鬆地手動式清除藏在電腦裡的病毒和木馬。　　檢查註冊表　註冊表一直都是很多木馬和病毒「青睞」的寄生場所，注意在檢查註冊表之前要先給註冊表制作備份。　　1、檢查註冊表中HKEY_LOCAL_MACHINE@Software@Microsoft@Windows@CurrentVersion@Run和HKEY_LOCAL_MACHINE@Software@Microsoft@Windows@CurrentVersion@Runserveice，檢視鍵值中有沒有自己不熟悉的自動啟動檔案，副檔名一般為EXE，然後記住木馬程序的檔案名，再在整個註冊表中搜尋，凡是看到了一樣的檔案名的鍵值就要移除，接著到電腦中找到木馬文件的藏身地將其徹底移除?比如「愛蟲」病毒會修改上面所提的第一項，BO2000木馬會修改上面所提的第二項)。　　2、檢查註冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER@SOFTWARE@Microsoft@Internet Explorer@Main中的幾項(如Local Page)，如果發現鍵值被修改了，只要根據你的判斷改回去就行了。惡意程式碼(如「萬花谷」)就經常修改這幾項。　　3、檢查HKEY_CLASSES_ROOT@inifile @shell@open@command和HKEY_CLASSES_ROOT @txtfile@shell@open@command等等幾個常用檔案類型的預設開啟程序是否被更改。這個一定要改回來，很多病毒就是通過修改.txt、.ini等的預設開啟程序而清除不了的。例如「羅密歐與朱麗葉」?BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的預設開啟程序。　　檢查你的系統組態文件　　其實檢查系統組態文件最好的方法是開啟Windows「系統組態實用程序」(從開始選單執行msconfig.exe)，在裡面你可以組態Config.sys、Autoexec.bat、system.ini和win.ini，並且可以選項啟動系統的時間。　　1、檢查win.ini文件(在C?@windows@下)，開啟後，在?WINDOWS?下面，「run=」和「load=」是可能載入「木馬」程序的途徑，必須仔細留心它們。在一般情況下，在它們的等號後面什麼都沒有，如果發現後面跟有路徑與檔案名不是你熟悉的啟動檔案，你的電腦就可能中上「木馬」了。比如攻擊QQ的「GOP木馬」就會在這裡留下痕跡。　　2、檢查system.ini文件(在C:@windows@下)，在BOOT下面有個「shell=檔案名」。正確的檔案名應該是「explorer.exe」，如果不是「explorer.exe」，而是「shell= explorer.exe 程式名稱」，那麼後面跟著的那個程序就是「木馬」程序，然後你就要在硬碟找到這個程序並將其移除了。這類的病毒很多，比如「尼姆達」病毒就會把該項修改為「shell=explorer.exe load.exe -dontrunold」。檢視文件內容幫你清除木馬　　近日，筆者用BT下載了一個格鬥遊戲，執行安裝程序後沒有任何反應。起初，筆者以為是安裝程序已經損壞就順手給刪掉了，沒有特別留意。但第二天開機時，金山毒霸突然無法載入。由於以前也有過類似的經歷，所以筆者感覺昨天下載的那個格鬥遊戲多半元件服務了木馬。　　為了安全起見，筆者立刻斷掉了網路連接，然後開啟「Windows工作管理器」，經過排除找到了名為「sprite.exe」的可疑工作。結束該工作後金山毒霸就可以正常執行了，但仍然無法查出木馬的所在。利用Windows原有的的搜尋功能搜尋「sprite.exe」，選項包括隱藏文件，也只搜到文件「sprite.exe」。正要移除時，筆者突發奇想：木馬通常進駐記憶體時都會自動產生一些輔助文件，何不利用Windows原有的的檢視文件內容功能達到一勞永逸的目的?說幹就幹，找到文件「sprite.exe」用右鍵點擊，在彈出的對話視窗中選項「內容」，電腦顯示該檔案新增於2003年10月9日18:08:19。點擊「開始→進階搜尋」，將文件新增日期設定為10月9日，搜尋……在搜尋結果中找到兩個新增時間為2003年10月9日18:08:19的文件:「Hiddukel.exe」和「Hiddukel.dll」(大小分別為71KB和15KB)，一併移除，大功告成。　　後來筆者從網上瞭解到這種木馬叫做「妖精」。最新版本的殺毒軟體和防火牆均不能清除這種木馬。以下是手動式清除此木馬的方法: 　　1.開啟註冊表編輯器，找到「HKEY_ CLASSES_ROOT\exefile\shell\open\command」下的「C:\Windows\System\Hiddukel.exe」鍵值和「HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command」下的「C:\Windows\System\Hiddukel.exe」鍵值後，將它們移除；　　2.開啟C:\Windows\System目錄，找到Hiddukel.exe（71KB）和Hiddukel.dll（15KB）兩個文件後，將它們移除；　　3.尋找你的電腦裡是否有Sprite.exe（132KB）或者crawler.exe（131KB），如果有的話也要徹底將它們移除。　　現在的木馬多數都會在進駐記憶體時自動產生一些動態連接文件。筆者介紹的這種利用檢視文件新增時間進行文件搜尋的方法，有些時候是很好用的，感興趣的朋友不妨試試（對於經常安裝遊戲和軟體的玩家可能不適用）。檢視開放連接阜判斷木馬的方法　　當前最為一般的木馬通常是關於TCP/UDP傳輸協定進行client端與server端之間的通訊的，既然利用到這兩個傳輸協定，就不可避免要在server端（就是被種了木馬的機器了）開啟監聽連接阜來等待連接。例如鼎鼎大名的冰河使用的監聽連接阜是7626，Back Orifice 2000則是使用54320等等。那麼，我們可以利用檢視本地機開放連接阜的方法來檢查自己是否被種了木馬或其它黑客程序。以下是詳細方法介紹。　　1． Windows本身原有的的netstat指令　　關於netstat指令，我們先來看看windows求助文件中的介紹： Netstat 　　顯示傳輸協定統計和現用的 TCP/IP 網路連接。該指令只有在安裝了 TCP/IP 傳輸協定後才可以使用。　　netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval] 　　參數　　-a 　　顯示所有連接和偵聽連接阜。伺服器連接通常不顯示。　　-e 　　顯示乙太網統計。該參數可以與 -s 選項結合使用。　　-n 　　以數位格式顯示位址和連接阜號（而不是嘗試尋找名稱）。 -s 　　顯示每個傳輸協定的統計。預設情況下，顯示 TCP、UDP、ICMP 和 IP 的統計。-p 選項可以用來指定預設的子集。　　-p protocol 　　顯示由 protocol 指定的傳輸協定的連接；protocol 可以是 tcp 或 udp。如果與 -s 選項一同使用顯示每個傳輸協定的統計，protocol 可以是 tcp、udp、icmp 或 ip。　　-r 　　顯示路由表的內容。　　interval 　　重新顯示所選的統計，在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統計。如果省略該參數，netstat 將列印一次現用的配置資訊。　　好了，看完這些求助文件，我們應該明白netstat指令的使用方法了。現在就讓我們現學現用，用這個指令看一下自己的機器開放的連接阜。進入到指令行下，使用netstat指令的a和n兩個參數：　　C:\>netstat -an 　　Active Connections 　　Proto Local Address Foreign Address State 　　TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 　　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING 　　TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING 　　UDP 0.0.0.0:445 0.0.0.0:0 　　UDP 0.0.0.0:1046 0.0.0.0:0 　　UDP 0.0.0.0:1047 0.0.0.0:0 　　解釋一下，Active Connections是指當前本地機活動連接，Proto是指連接使用的傳輸協定名稱，Local Address是本機電腦的 IP 位址和連接正在使用的連接阜號，Foreign Address是連接該連接阜的遠端電腦的 IP 位址和連接阜號，State則是表明TCP 連接的狀態，你可以看到後面三行的監聽連接阜是UDP傳輸協定的，所以沒有State表示的狀態。看！我的機器的7626連接阜已經開放，正在監聽等待連接，像這樣的情況極有可能是已經感染了冰河！急忙中斷連線網路，用殺毒軟體查殺病毒是正確的做法。　　2．工作在windows2000下的指令行工具fport 　　使用windows2000的朋友要比使用windows9X的幸運一些，因為可以使用fport這個程序來顯示本地機開放連接阜與工作的對應關係。　　Fport是FoundStone出品的一個用來列出系統中所有開啟的TCP/IP和UDP連接阜，以及它們對應應用程式的完整路徑、PID標幟、工作名稱等訊息的軟體。在指令行下使用，請看例子：　　D:\>fport.exe 　　FPort v1.33 - TCP/IP Process to Port Mapper 　　Copyright 2000 by Foundstone, Inc. 　　http://www.foundstone.com 　　Pid Process Port Proto Path 　　748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe 　　748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe 　　748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe 　　416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe 　　是不是一目瞭然了。這下，各個連接阜究竟是什麼程序開啟的就都在你眼皮底下了。如果發現有某個可疑程序開啟了某個可疑連接阜，可千萬不要大意哦，也許那就是一隻狡猾的木馬！　　Fport的最新版本是2.0。在很多網站都提供下載，但是為了安全起見，當然最好還是到它的老家去下：http://www.foundstone.com/knowledge/zips/fport.zip 　　3.與Fport功能類似的圖形化介面工具Active Ports 　　Active Ports為SmartLine出品，你可以用來監視電腦所有開啟的TCP/IP/UDP連接阜，不但可以將你所有的連接阜顯示出來，還顯示所有連接阜所對應的程序所在的路徑，本機IP和遠端IP(試圖連接你的電腦IP)是否正在活動。下面是軟體截圖：　　是不是很直觀？更棒的是，它還提供了一個關閉連接阜的功能，在你用它發現木馬開放的連接阜時，可以立即將連接阜關閉。這個軟體工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。　　其實使用windows xp的用戶無須借助其它軟體即可以得到連接阜與工作的對應關係，因為windows xp所帶的netstat指令比以前的版本多了一個O參數，使用這個參數就可以得出連接阜與工作的對應來。　　上面介紹了幾種檢視本地機開放連接阜，以及連接阜和工作對應關係的方法，通過這些方法可以輕鬆的發現關於TCP/UDP傳輸協定的木馬，希望能給你的愛機帶來說明。但是對木馬重在防範，而且如果碰上反彈連接阜木馬，利用驅動程式及動態連接庫技術製作的新木馬時，以上這些方法就很難查出木馬的痕跡了。所以我們一定要養成良好的上網習慣，不要隨意執行郵件中的附件，安裝一套殺毒軟體，像國內的瑞星就是個查殺病毒和木馬的好幫手。從網上下載的軟體先用殺毒軟體檢查一遍再使用，在上網時開啟網路防火牆和病毒既時監控，保護自己的機器不被可恨的木馬入侵。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次