自己动手删除时常来袭的 木马、病毒

自己动手删除时常来袭的 木马、病毒

By 阿新 -- Seraph Chutium

· http://com.6to23.com/

前一阵我中了一个小破木马，开了个鬼端口。

于是我开始自己手动删除，我一般不用杀毒软件，那些软件都是哄人的，

比如一个简简单单的happy time都不能很好的清除！最后还是要靠我自己来~

我建议有能力的话，时刻注意系统的变化，奇怪端口、可疑进程等等。

现在的病毒都不象以前那样对系统数据破坏很严重，也好发现的多， 所以尽量

自己杀毒，杀毒（较简单的病毒、木马）大致要分几步：

1. 检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地址，

再将可疑的删除。

2. 删除上述可疑键在硬盘中的执行文件。

3. 一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，

很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat

文件，有则删除之。

4. 检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\

Internet Explorer\Main中的几项（如Local Page），如果被修改了，改回来就可以。

5. 检查HKEY_CLASSES_ROOT\inifile\shell\open\command和

HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序

是否被更改。这个一定要改回来。很多病毒就是通过修改.txt，.ini等的默认打开程序让

病毒“长生不老，永杀不尽”的。

6. 如果有可能，对病毒的母文件进行反汇编，比如我上次中的那个病毒，通过用IDA反汇编，

发现它还偷窃系统密码并建立 %systemroot%\system\mapis32a.dll 文件把密码送到一个

邮箱中，由于我用的是W2K，所以它当然没有得手。

至此，病毒完全删除！

这个木马“abc.exe”可以在这里下：http://chutium.top263.net/software/trojan.abc.zip

里面附带了我用IDA对这个木马分析的结果和一份清除此病毒的批处理文件。

----------------------------------------------------------------------------------

阿新 -- Seraph Chutium

· http://com.6to23.com/