木马清除

　　检测到电脑中了木马后，就要根据木马的特征来进行清除。查看是否有可疑的启动程序、可疑的进程存在，是否修改了win.ini、system.ini系统配置文件和注册表。如果存在可疑的程序和进程，就按照特定的方法进行清除。主要的步骤都不外乎以下几个：（但并不是所有的木马清除都能够根据下列步骤删除，这里只是介绍清除木马的基本方法）

　　1、删除可疑的启动程序

　　查看系统启动程序和注册表是否存在可疑的程序后，判断是否中了木马，如果存在木马，则除了要查出木马文件并删除外，还要将木马自动启动程序删除。例如Hack.Rbot病毒、后门就会拷贝自身到一些固定的windows自启动项中：

　　WINDOWS\All Users\Start Menu\Programs\StartUp

　　WINNT\Profiles\All Users\Start Menu\Programs\Startup

　　WINDOWS\Start Menu\Programs\Startup

　　Documents and Settings\All Users\Start Menu\Programs\Startup

　　查看一下这些目录，如果有可疑的启动程序，则将之删除。

　　2、恢复win.ini和system.ini系统配置文件的原始配置

　　许多病毒会将win.ini和system.ini系统配置文件修改，使之能在系统启动时加载和运行木马程序。例如电脑中了"妖之吻"病毒后，病毒会将system.ini中的boot节的"Shell=Explorer.exe"字段修改成"Shell=yzw.exe",清除木马的方法是把system.ini给恢复原始配置，即"Shell=yzw.exe"修改回"Shell=

　　Explorer.exe"，再删除掉病毒文件即可。

　　TROJ_BADTRANS.A病毒，也会更改win.ini以便在下一次重新开机时执行木马程序。主要是将win.ini中的windows节的"Run="字段修改成"Run= C:%WINDIR%INETD.EXE"字段。执行清除的步骤如下：

　　（1）打开win.ini文本文件，将字段"RUN=C:%WINDIR%INETD.EXE"中　　等号后面的字符删除，仅保留"RUN="。

　　（2）将被TROJ_BADTRANS.A病毒感染的文件删除。

　　3、停止可疑的系统进程

　　木马程序在运行时都会在系统进程中留下痕迹。通过查看系统进程可以发现运行的木马程序，在对木马进行清除时，当然首先要停掉木马程序的系统进程。例如Hack.Rbot病毒、后门除了将自身拷贝到一些固定的windows自启动项中外，还在进程中运行wuamgrd.exe程序，修改了注册表，以便病毒可随机自启动。在看到有木马程序在进程中运行，则需要马上杀掉进程，并进行下一步操作，修改注册表和清除木马文件。

　　4、修改注册表

　　查看注册表，将注册表中木马修改的部分还原。例如上面所提到的Hack.Rbot病毒、后门，向注册表的以下地方：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

　　\Run

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion　　\RunOnce

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

　　\RunServices

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

　　\Run

　　添加了键值"Microsoft Update" = "wuamgrd.exe"，以便病毒可随机自启动。这就需要我们进入注册表，将这个键值给删除。注意：可能有些木马会不允许执行.exe文件，这样我们就需要先将regedit.exe改成系统能够运行的，比如可以改成regedit.com。这里就说说如何清除Hack.Rbot病毒、后门的。

　　（1）将进程中运行的wuamgrd.exe进程停止，这是一个木马程序；

　　（2）将Hack.Rbot拷贝到windows启动项中的启动文件删除；

　　（3）将Hack.Rbot添加到注册表中的键值"Microsoft Update"=

　　"wuamgrd.exe"删除；

　　（4）手工或用专杀工具删除被Hack.Rbot病毒感染的文件。并全面检查系统。

　　5、使用杀毒软件和木马查杀工具进行木马查杀

　　常用的杀毒软件包括KV3000、瑞星、诺顿等，这些软件对木马的查杀是比较有效的，但是要注意时刻更新病毒库，而且对于一些木马查杀不彻底，在系统重新启动后还会自动加载。此外，你还可以使用The Cleaner、木马克星、木马终结者等各种木马转杀工具对木马进行查杀。这里推荐一款工具Anti-Trojan Shield，这是一款享誉欧洲的专业木马侦测、拦截及清除软件。可以在http://www.atshield.com网站下载。

　　木马防范

　　随着网络的普及，硬件和软件的高速发展，网络安全显得日益重要。对于网络中比较流行的木马程序，传播时间比较快，影响比较严重，因此对于木马的防范就更不能疏忽。我们在检测清除木马的同时，还要注意对木马的预防，做到防范于未然。

　　1、不要随意打开来历不明的邮件

　　现在许多木马都是通过邮件来传播的，当你收到来历不明的邮件时，请不要打开，应尽快删除。并加强邮件监控系统，拒收垃圾邮件。

　　2、不要随意下载来历不明的软件

　　最好是在一些知名的网站下载软件，不要下载和运行那些来历不明的软件。在安装软件的同时最好用杀毒软件查看有没有病毒，之后才进行安装。

　　3、及时修补漏洞和关闭可疑的端口

　　一般木马都是通过漏洞在系统上打开端口留下后门，以便上传木马文件和执行代码，在把漏洞修补上的同时，需要对端口进行检查，把可疑的端口关闭。

　　4、尽量少用共享文件夹

　　如果必须使用共享文件夹，则最好设置帐号和密码保护。注意千万不要将系统目录设置成共享，最好将系统下默认共享的目录关闭。Windows系统默认情况下将目录设置成共享状态，这是非常危险的。

　　5、运行实时监控程序

　　在上网时最好运行反木马实时监控程序和个人防火墙，并定时对系统进行病毒检查。

　　6、经常升级系统和更新病毒库

　　经常关注厂商网站的安全公告，这些网站通常都会及时的将漏洞、木马和更新公布出来，并第一时间发布补丁和新的病毒库等。

　　

<<上一页 1 2