我找到了一个清除方法,顺便贴出来供大家探讨和参考(我自己没有试,不知道管用否)中了特洛依木马
1. 检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址,再将可疑的删除。
下面都是木马的藏身之地
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"Info="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"
另外木马也可以在这里运行
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
正常的情况下,这个键值应该是"%1 %*",如果是这样trojan.exe "%1 %*",那么木马就自动启动了
2. 删除上述可疑键在硬盘中的执行文件。
3. 一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
4. 检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main和中的几项(如Local Page),如果被修改了,改回来就可以。
5. 检查HKEY_CLASSES_ROOT\exefile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt,.exe等的默认打开程序进行病毒“长生不老,永杀不尽”的。
6. 如果有可能,对病毒的母文件进行反汇编,比如我上次中的那个病毒,通过用IDA反汇编,发现它还偷窃系统密码并建立%systemroot%\system\mapis32a.dll文件把密码送到一个邮箱中,由于我用的是W2K,所以它当然没有得手。
至此,病毒完全删除!
Trojan.Ourxin解决方法
现在在下告诉各位对于Trojan.Ourxin一个比较简单在的解决方法。用普通的NORTON等程序的很难消灭,但是可以用它来找到Trojan.Ourxin 或trojan.house等主要木马病毒来源的路径,然后把路径输入到《黄山修复专家》里面(因为黄山修复好像不能查找病毒的)进行修复,重新启动就可以了。(可能还会剩下些受感染文件,不过都可以用普通杀毒软件杀掉了)我的病毒路径是:WINDOWS\system32\wmpdrm.dll 和documents and settings\zehzong zheng\local settings\temp\bdfee9de-d4f0-445f-8e97-e41de8b4b340\system.exe\sys3.exe
