网络安全防护之木马手工清除(二)

梦幻王子

由于网上缺少必要的网络安全防护软件,特别是一些杀毒软件无法及时更新,无法对木马病毒进行有效的防护,如果不小心中了木马病毒,而身边计算机又没有安装木马防护软件该如何处理，下面仅就工作中的体会，谈谈该如何清除藏在电脑中的病毒和木马。

首先，检查注册表。注册表一直都是很多木马和病毒“青睐”的寄生场所，在检查注册表之前要记得先给注册表备份。
　　1、
检查注册表中

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run（该项为系统自动运行项）和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice，（系统自动运行服务项）查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为EXE，然后记住木马程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要删除，接着到电脑中找到木马文件的藏身地，将其彻底删除。比如“爱虫”病毒会修改上面所提的第一项，BO2000木马会修改上面所提的第二项。

2、检查注册表HKEY_LOCAL_MACHINE和
HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main中的几项(如Local Page)，如果发现键值被修改了，只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。
    3、检查HKEY_CLASSES_ROOT\inifile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell\open\command等几个常用文件类型的默认打开程序是否被更改。如果有更改，一定要改回来，很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。例如“罗密欧与朱丽叶”、BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的默认打开程序。

其次，检查系统配置文件。检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe)，在这里你可以配置Config.sys、Autoexec.bat、system.ini和win.ini，还可以选择启动系统的时间。

1、检查win.ini文件(在C:\windows下)，打开后，在“WINDOWS”下面，“run=”和“load=”是可能加载“木马”程序的途径，必须留心它们。在一般情况下，在它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是您熟悉的启动文件，您的计算机就可能中上“木马”了。比如攻击QQ的“GOP木马”就会在这里留下痕迹。

　　2、检查system.ini文件(在C:\windows下)，在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，这时你一定要在硬盘中找到这个程序并将其删除。将以上的手工查杀方法掌握，才能将木马病毒消灭，更好的保护信息网及计算机。

song-ci

先回贴慢慢看