【我想学一招】清除木马的一般步骤 bbs.ikaka.com

我的电脑计算机 - 2009-3-5 13:35:00

使用杀马功能清楚我是知道了，但如果木马很顽固呢？用什么功能清楚？
如果主界面打开就没了，那又怎么办？

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; CIBA; aff-kingsoft-ciba; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

18824736(过客2007注：有疑问，可以加入这个群，询问群主或者是管理员：末路）
远程案例http://bbs.ikaka.com//showtopic-8617328.aspx

帅哥阿福 - 2009-3-5 13:37:00

界面打开就没，很可能是应用程序被劫持了，可进入注册表编辑器，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项即可。

我的电脑计算机 - 2009-3-5 17:19:00

还有，如果普通方式无法清除，是否需要近安全模式并使用“高级工具”模块。
如果开程序弹出错误或界面残缺又该怎么办？

引用:

2楼的朋友

O(∩_∩)O谢谢

过客2007 - 2009-3-5 19:25:00

楼主的这个帖子问得非常好!既然问出来了,那我就详细的说明一下吧：

先是电脑的特性：因为电脑里的程序都必须要通过电脑的内存才能运行，而内存里加载的程序会因为关机而丢失。所以，有时候为了执行一些程序，必须要把一些程序在电脑开启的情况下就要重新加载到内存里面（比如系统的程序），所以就有了“启动项”这一说法。

不论是木马，或者是病毒，他们为了能在关机或者是重启之后继续在后台运行，就会通过修改系统的一些启动项位置来达到一开始就运行的目的。

也就是说，如果你能通过工具（扫描工具有AUTORUNS\SRENG2\还有就是卡卡安全助手——高级工具——启动项管理

）扫描到比较全的系统启动项，那么，你完全可以在系统启动项这里发现病毒的蛛丝马迹。

怎么通过卡卡安全助手发现木马或者是病毒的蛛丝马迹，可以参考这里：

http://bbs.ikaka.com/showtopic-8544969.aspx

如果有任何关于卡卡方面的问题，或者是学习/使用中遇到什么问题，也可以参加这些群：

http://bbs.ikaka.com/showtopic-8603233.aspx

这里提供两个工具：

一个是系统隐藏文件的注册表导出，另一个就是反病毒常用的工具之一Wsyscheck。

系统隐藏文件的注册表导出：当病毒破坏了显示隐藏文件之后，会造成搜索不到隐藏文件等情况。这时可以双击导入这个注册表文件，然后执行：我的电脑——工具——文件夹选项——查看

（去掉勾）隐藏操作系统文件及文件夹
（勾选）显示所有文件
（去掉勾）隐藏已知文件扩展名

广告：其实卡卡安全助手的启动项管理功能比SREG2更加人性化、界面更加友好。是上网、远程、自我检查之必备工具！

附件: 常用工具之两件.rar

我的电脑计算机 - 2009-3-6 12:05:00

引用:

4楼的朋友

谢谢！:kaka1:

血色红红 - 2009-3-12 16:29:00

:default6:

朱德康 - 2009-3-16 15:25:00

那，winsyscheck 是干什么用的呀，楼主，说哈喽，，，，

没用过哪～～

野ぅ翔 - 2009-3-18 9:41:00

谢谢了
赞个:default9:

过客2007 - 2009-3-18 17:26:00

引用:

原帖由 朱德康 于 2009-3-16 15:25:00 发表
那，winsyscheck 是干什么用的呀，楼主，说哈喽，，，，

没用过哪～～

管理进程,删除文件,卸载模块等,是一款非常方便的软件，可以和冰刃媲美

过客2007 - 2009-3-18 17:40:00

远程一例：

情况：IE主页被改，弹出网页。

处理的流程是：

首先导入了4楼的显示隐藏文件注册表(二件).reg，然后修改这个：

步骤：打开我的电脑——工具——文件夹选项——查看

设置为如图：

设置之后

开始：

打开4楼中的Wsyscheck.exe，然后开始检查explorer.exe进程

附件: 开始.jpg

附件: 检查explorer.jpg

过客2007 - 2009-3-18 17:47:00

检查explorer说明：

一般除了第一步就检查可疑的进程以外，下一步就是检查explorer所加载的DLL模块是否有可疑的模块。因为木马群他们一般都喜欢利用DLL注入这个进程来执行他们的功能。

当确定了可疑模块或者是进程之后就可以使用结束进程或者是结束进程并删除文件/卸载模块或者是卸载模块并删除文件等高级功能去处理可疑文件了。

附件: 开始检查启动项.jpg

过客2007 - 2009-3-18 17:55:00

当都确定或者是执行完了之后，就可以再使用卡卡助手再扫描一遍启动项检查是否有残留的注册表启动项了。

PS：这次远程经过这几步确定了该远程用户电脑并不存在恶意文件，确定是病毒修改了这个位置造成主页与实际在IE中设置的不符

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

神龙灬豪情 - 2009-3-21 15:16:00

设置为如图：

efinee - 2009-3-21 16:02:00

其实装1键还原配合杀毒软件好些
我1般杀不了的毒就还原系统

仙女镇 - 2009-4-1 17:51:00

学习

快乐超级女孩 - 2009-4-14 19:08:00

请大伙教教我:kaka1:

cooler8000 - 2009-4-18 22:11:00

这个我也想学呢

周小康 - 2010-3-30 19:26:00

界面打开就没，很可能是应用程序被劫持了，可进入注册表编辑器，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项即可

34569876 - 2010-4-3 23:21:00

谢谢4楼。长知识了

Dior熙 - 2010-4-8 21:17:00

学习了:kaka12:

240859816 - 2010-4-12 10:35:00

好复杂啊，弄个高级木马查杀功能，那些一键完成就简单多了，不知道可不可行

香橙香橙 - 2010-5-1 11:06:00

有很多其他的工具可以使用

瑞星卡卡安全论坛