基本介紹
- 中文名:木馬病毒
- 外文名:Trojan virus
- 作用:破壞
- 起源:荷馬史詩
手工清除,手殺工具,
手工清除
對於常見的木馬病毒,可通過以下方法找出木馬病毒檔案並進行清除:
一、註冊表清除
利用註冊表載入運行如下所示的註冊表位置是木馬的藏身之處:
HKEY_LOCAL_MACHING\Software\Windows\Current Version下所有以“run”開頭的鍵值。
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version下所有以“run”開頭的健值。
HKEY_USERS\Default\Software\Microsoft\Windows\Current Version下所有以“run”開頭的健值。
二、系統檔案
在System.ini中啟動,System.ini位於Windows的安裝目錄下,其“boot”欄位的Shell=Explore.exe是木馬的隱蔽載入場所,木馬通常的做法是將該句變為Shell=Explore.exe,注意這裡的Window.exe就是木馬服務端程式。
三、啟動命令
在Win.ini中啟動,在Win.ini的“Windows”欄位中有啟動命令“load=”和“run=”,在一般情況下“=”後面是空白的,如果後面跟著程式,內有可能是木馬。
四、修改檔案關聯
修改檔案關聯是木馬常用手段,比如說下沉情況下TXT檔案的打開方式為Notepad.exe檔案,但一旦中了檔案關聯木馬,則TXT檔案的打開檔案就會被修改為用木馬程式打開。
五、在Autoexec.bat和Config.sys中載入運行
在C糟根目錄下的這兩個檔案也可以啟動木馬。但這種載入一般都需要控制用戶與服務端建立連線後,將已添加木馬啟動命令的同名檔案上傳到服務端覆蓋這兩個檔案才行,而且採用這種方式不是很隱蔽,容易被發現。所以在Autoexec.bat和Config.sys中載入木馬程式的並不多見,但也不能因此而掉以輕心。
六、在Winstart.bat中啟動
Winstart.bat具有系統特殊性,也是一個能啟動並被Windows載入運行的檔案。它多數情況下為應用程式及Windows自動生成,在執行了Win .com並載入了一些驅動程式之後開始執行。由於Autoexec.bat的功能可以由Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被載入運行。
