點除去 '木馬' 程式'?

2007-05-27 11:41 pm
俾人安裝咗隻叫'ntrootkit 的'木馬' 程式入嚟, 如何除去? 我部係XP, 在DOS 如何洗機?

回答 (4)

2007-06-08 11:26 am
✔ 最佳答案
木馬程式會想盡一切辦法隱藏自己,
主要途徑有:在任務欄中隱藏自己,這是最基本的辦法。
只要把form的Visible屬性設為False,ShowInTaskBar設為False,程式運行時就不會出現在任務欄中了。
在任務管理器中隱形:將程式設為「系統服務」可以很輕鬆地偽裝自己。
當然它也會偷偷地啟動,駭客當然不會指望用戶每次啟動後點選「木馬」圖示來運行服務端,
「木馬」會在每次用戶啟動時自動裝載。
Windows系統啟動時自動加載應用程式的方法,「木馬」都會用上,
如:啟動組、Win.ini、System.ini、註冊表等都是「木馬」藏身的好地方。

 下面具體談談「木馬」是怎樣自動加載的。

在Win.ini文件中,在[WINDOWS]下面,
「run=」和 「load=」是可能加載「木馬」程式的途徑,必須仔細留心它們。
一般情況下,它們的等號後面應該什麼都沒有,
如果發現後面跟有路徑與文件名不是你熟悉的啟動文件,你的電腦就可能中「木馬」了。
當然你也得看清楚,因為好多「木馬」,
如「AOL Trojan木馬」,它把自身偽裝成 command.exe(真正的系統文件為command.com)文件,
如果不注意可能不會發現它不是真正的系統啟動文件(特別是在Windows窗口下)。

在System.ini文件中,在[BOOT]下面有個「shell=文件名」。
正確的文件名應該是「explorer.exe」,
如果不是「explorer.exe」,而是「shell= explorer.exe程式名」,
那麼後面跟著的那個程式就是「木馬」程式,就是說你已經中「木馬」了。

註冊表中的情況最複雜,通過regedit命令打開註冊表編輯器,
在點選至:「HKEY-LOCAL-MACHINESo ftwareMicro softWindowsCurrentVe rsionRun」目錄下,
查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,

這裏切記:有的「木馬」程式生成的文件很像系統自身文件,
想通過偽裝矇混過關,如「Acid Battery v1.0木馬」,
它將註冊表「HKEY-LOCAL-MACHINESO FTWAREMicrosoftWindo wsCurrentVersionRun」
下的Explorer鍵值改為Explorer= 「C:WINDOWSexpiorer.ex e」,
「木馬」程式與真正的Explorer之間只有「i」與「l」的差別。

當然在註冊表中還有很多地方都可以隱藏「木馬」程式,
如:「HKEY-CURRENTUSERSoft wareM icrosoftWindowsCurre ntVersionRun」、
「HKEY-USERS****Softwa reMicrosoftWin dowsCurrentVersionRu n」的目錄下都有可能,
最好的辦法就是在「HKEY-LOCAL-MACHINESo ftwareMicro softWindowsCurrentVe rsionRun」
下找到「木馬」程式的文件名,再在整個註冊表中搜索即可。


編輯system.ini文件,將[BOOT]下面的「shell=『木馬』文件」,
更改為:「shell=explorer.exe」;在註冊表中,用regedit對註冊表進行編輯,
先在「HKEY-LOCAL-MACHINESo ftwareMicro softWindowsCurrentVe rsionRun」下
找到「木馬」程式的文件名,再在整個註冊表中搜索並替換掉「木馬」程式,
有時候還需注意的是:有的「木馬」程式並不是直接將
「HKEY-LOCAL-MACHINESo ftwareMicro softWindowsCurrentVe rsionRun」下的「木馬」鍵值刪除就行了,
你先打入中毒的檔案位置(按右邊「...」瀏覽),

還要記得 勾選「抑制檔案再次生成」,

再按「清除」,

然後一開始會問你要不要通知費爾安全實驗室此病毒,

選「否」,

接下來還會出現一個視窗,

按「是」,

此時檔案應該會被刪掉了。


◎註:此程式會留下一個資料夾在該路徑,這是正常的,不用刪除。
卡巴斯基防毒軟體個人版下載網址:
http://www.kaspersky .com.tw/KL-Downloads /ProductDownloads.ht m


卡巴斯基所提供專門掃除各種病毒(包括木馬在內)的強力清除工具:
http://www.kaspersky .com.tw/KL-Downloads /removaltools.htm

木馬程式會想盡辦法隱藏自己,
主要途徑有在任務欄中隱藏自己,這是最基本的辦法。
只要把form的Visible屬性設為False,ShowInTaskBar設為False,程式運行時就不會出現在任務欄中了。
在任務管理器中隱形:將程式設為「系統服務」可以很輕鬆地偽裝自己。
當然它也會啟動,駭客當然不會指望用戶每次啟動後點選「木馬」圖示來運行服務端,
「木馬」會在每次用戶啟動時裝載。
Windows系統啟動時自動加載應用程式的方法,「木馬」都會用上,
如:啟動組、Win.ini、System.ini、註冊表等都是「木馬」藏身的好地方!!!!!!!!!!!!!!!!!!!!!!!!
2007-06-02 12:38 am
1分鐘為你的電腦系統清除淤塞的所有木馬和病毒


給大家一個免費掃毒的東東吧!掃下部機有冇毒吧希望幫到大家~都是轉貼的
但注意喔!病毒是入侵你的電腦/扣慢你電腦/破壞你電腦。
防毒軟體當然是可以能殺毒/防毒
但被盜AC/PW是中木馬而不是中病毒...

http://www.ewido.net/en/onlinescan/
入左去之後它會要求你安裝控制項,

然後你按下方左邊按鈕線上掃木馬,橘色是中級木馬,可能是一些廣告,

紅色是危險級,應該就是盜你帳號的木馬了...最後按右邊的按鈕把木馬砍掉

最好看一下位置,把該程式整個刪掉再掃一次


註:1.http://www.ewido.net/en/onlinescan/
  2.資料:pause<--暫停
       abort scan<--中斷掃描
       remove infections<---移除感染檔案
  3.重申~
    防毒軟體當然是可以能殺毒/防毒
   但被盜AC/PW是中木馬而不是中病毒...
2007-05-28 2:15 am
我部腦同我家姐部手提電腦都係用(瑞星殺毒軟件)既
我家姐之前部腦中咗毒都係用佢清除
呢隻防毒有很強既清除木馬能力

我建議你用(瑞星殺毒軟件2007),呢隻係內地出既軟件,佢既功能好齊,防毒+防火牆,大部分既病毒木馬&流氓軟件都可以擋截和刪除,佢雖然係內地出既軟件,但係佢真係好好用,佢有多國既認證,呢隻軟件通常會係d比較細既電腦舖先有得賣,同埋yahoo既拍賣網都有售,價錢$168-$198。呢隻防毒軟件真係好好用,仲好用過好多出名既防毒,因為我都用緊佢。
我就係上水既龍豐商場度買既
粉嶺中心既現代電腦/電業都有得買
你安裝完隻防毒+防火牆之後,一定要online進行更新,同埋將隻防毒設定為(自動檢測最新版本)

誠意推薦!~
2007-05-28 12:22 am
did you try use any anitvirus software to remove them? such as aol "it's free of charge and powerful". what do you mean by洗機 ? is it same as format? if you want to do this, just boot up your pc by using boot up disk, and in dos mode , simple enter " format c:", and it's done, but I am recommend you use partionmagic to do this, it's much more convience. hope can help you
參考: me


收錄日期: 2021-04-18 22:22:38
原文連結 [永久失效]:
https://hk.answers.yahoo.com/question/index?qid=20070527000051KK02859

檢視 Wayback Machine 備份