● 手工清除木马的方法（具有普遍适用性） - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: sweetman (Love Library), 信区: Virus
标  题: 手工清除木马的方法（具有普遍适用性）
发信站: 荔园晨风BBS站 (Mon Oct  6 18:17:21 2003), 站内信件

一、发现
   中木马后，中毒者电脑会打开特定的端口
   此时，可以在命令提示符中输入命令：
   netstat -na 可以查看电脑所打开的端口，若觉得可疑的就记下来

二、查找与清除
1）先查找隐藏文件（某些木马的文件属性是隐性的）

2）多数木马会自身复制到系统目录下，加入启动项

启动项一般加在注册表中。运行---》REGEDIT

     a、  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

     b、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

     c、  HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion

     删除RUN目录或RUNSEVICE目录下带*.exe的键值或者删除其中你怀疑的键值。当然，

如果想保险些，删除RUN或RUNSEVICE目录下所有键值好象也可以的。:)

3、接着到系统目录下查找可疑文件，先查看属性。修改或者创建时间一般不会是最近的

若是最近的或当前时间的，则应注意之。复制后作为备份，删除之，若不可以就很可能是

木马了。可以用任务管理器或其他第三方软件终止之;此时，再看看原来的可疑端口是否

还有。若有减少，或者没了就说明90%是木马，删除之。这样就OK了，不过别忘了原来

备份的那些可疑文件也要删除咯:P

    如果*.txt或*.exe的文件关联被改，可以在注册表中改过或者在MS-DOS下执行
"Scanreg/restore"改回去。最多只可以改回5天前的

--
前途漫漫，我心依旧

失去了才知道珍惜

※ 修改:·sweetman 於 Oct  6 18:26:20 修改本文·[FROM: 192.168.85.172]
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.85.172]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店