两种木马手工清除

1.对于广外女生跷跷板的细工废除本领前几天有一位网友咨询本人中了广外女生跷跷板如何废除，其时因为本人的硬盘被旁人运用卑劣的招数暗害了，正忙于建设以是也就无暇照顾。只能许诺先建设硬盘后再恢复怎样细工领会广外女生跷跷板。因为广外女生跷跷板启用办法跟普遍的跷跷板不太一律，他特殊刁滑把启用名目树立在了备案表的其余场所内，并且机动创造了好几个启用文献关系，这也即是普遍杀毒软硬件不许完全查杀他的因为之一。 一.我先大略引见一下跷跷板爱好安身的场合。 跷跷板基础上沿用了windows体例启用时机动加载运用步调的本领，囊括有win.ini、system.ini和备案表等。 1.湮没在win.ini中 跷跷板想要到达遏制或监督计划机的手段，就必需要运转，在win.in文献中，[windows]底下“run=”和“load=”行是windows启用时要机动加载运转的步调名目，所以湮没在win.in中是跷跷板发觉比拟称心的场合。大师无妨翻开win.in来看看，在他的[windows]字段中有启用吩咐“run=”和“load=”，在平常情景劣等号反面该当是空缺的，不许有任何步调！即使有步调，比如说： run=c:\windows\diagcfg.exe load=c:\windows\diagcfg.exe 这时候你就要提防了，这个diagcfg即是广外女生跷跷板！ 2.湮没在system.ini中 跷跷板就象你肚子里的蛔虫，什么场合有空他就往什么场合钻。windows安置目次下的system.ini也是跷跷板爱好安身的场合，翻开这个文献，在该文献的[boot]字段中，平常情景下有一个shell=explorer.exe 项（反面不跟任何步调），即使是shell=explorer.exe diagcfg.exe ，那么祝贺你，你中彩了，反面的“diagcfg.exe”即是跷跷板步调。此刻有些跷跷板还将explorer.exe文献与其余过程绑缚成一个文献，在这边是看不出他的缺陷，更减少了他的湮没性。 其余，在system.ini中的[386enh]字段中要提防查看“driver=路途/步调名”这边也有大概被跷跷板所运用。再有system.ini中的[mic]、[drivers32]字段，那些字段是起到加载启动步调的效率，也是增添跷跷板的好场合，可要提防哦！ （哦——对了！商量到有些菜鸟刚初学，在这边我把翻开“system.ini”、“win.ini”的本领报告你：发端/运转，输出msconfig/决定。运转windows自带的“体例摆设适用步调”，本人在内里找吧。） 3.但凡能机动加载的场合，跷跷板都爱好安家。winstart.bat也是一个能机动被windows加载运转的文献，他普遍情景为运用步调及windows机动天生，在实行了win.com并加载了普遍启动步调之后发端实行（这一点可经过启用时按f8健在采用渐渐盯梢启用进程办法得悉）。因为autoexec.bat的功效不妨由winstart.bat包办实行，所以跷跷板实足不妨像在autoexec.bat中那么被加载运转，伤害由此而来！ 4.内置到备案表中 因为湮没到之上本领跷跷板很快就会被人审查处理，所以跷跷板又打起了备案表的提防。备案表自己就特殊宏大搀杂，稠密的启用名目及易狡兔三窟。常常很多书中城市少见多怪的告戒读者群万万别动备案表，那很伤害。我自己就很不承诺这一看法！利害常不承诺！！即使你学不会步行你就长久长不大！你怕摔交你就长久成长在婴孩期！！在windows体例有很多功效惟有经过窜改备案表本领安排。我倡导在窜改备案表之前先备份备案表或用ghost给所有体例备份，基础就可万事大吉了。仍旧言归正传吧： 湮没性强的跷跷板都爱好在备案内外做作品，以是确定要查看以次键值： hkey_local_machine\software\microsoft\windows\currentversion\run …………………………………………………………………………………\runonce …………………………………………………………………………………\runonceex …………………………………………………………………………………\runservices …………………………………………………………………………………\runservicesonce hkey_current_user\software\microsoft\windows\currentversion\run …………………………………………………………………………………\runonce …………………………………………………………………………………\runonceex …………………………………………………………………………………\runservices …………………………………………………………………………………\runservicesonce hkey_users\.default\software\microsoft\windows\currentversion\run …………………………………………………………………………………\runonce …………………………………………………………………………………\runonceex …………………………………………………………………………………\runservices …………………………………………………………………………………\runservicesonce 上头那些主键底下的启用名目都不妨变成跷跷板的藏生之处，可要提防哦！即使是windows nt，那还的提防以次键值： hkey_local_machine\software\sam ，平常情景sam内里该当是空的。 二.细工废除广外女生本领。 1.广外女生跷跷板是一个驻留、启用本领比拟典范性的跷跷板，我以win2000为例径直切入正字。 即使一不提防运转了广外女生跷跷板效劳端会在c:\winnt\system32目次下减少一个文献“diagcfg.exe”，你也不妨翻开工作处置器察看，会创造个中有一个diagcfg。exe的过程，这即是跷跷板原身。但这时候万万不许径直简略diagcfg.exe，要不体例就没辙平常运转了。 再到备案表看看他究竟藏在哪儿。（用备案表检察东西regsnap查出，在此不在累述进程，由于这不是正文中心） hkey_local_machine\software\classes\exefile\shell\open\command\ old value:string""%1" %*" new value:string:"c:\winnt\system32\diagcfg.exe "%1" %*" 这个键值由从来的"%1" %*被窜改为了c:\winnt\system32\diagcfg.exe "%1" %*,广外女生干什么要如许窜改呢？有什么效率呢？ 这即是运转可实行文献方法，被改为c:\winnt\system32\diagcfg.exe "%1" %*之后历次再运转可实行文献时都要先实行c:\winnt\system32\diagcfg.exe 这个步调。 他的启用本领与普遍跷跷板不太一律，普遍跷跷板是在hkey_\software\microsoft\windows\currentversion\run键值里加载本人的启用名目，但这种办法被杀毒软硬件所熟知，以是很简单查杀。而广外女生就比拟刁滑了，他把启用名目设在了其余的场所，这也即是杀毒软硬件不简单查杀他的因为之一。 2.好了，此刻就发端细工废除他了，睁大眼睛看着！ 提防：废除广外女生跷跷板的办法步骤不许反常，要不没辙完全领会此跷跷板！！！ ⑴.发端/运转/“regedit”/决定。翻开备案表。 hkey_local_machine\software\classes\exefile\shell\open\command\，先不要窜改，由于即使这时候窜改备案表的话，diagcfg.exe过程仍旧会登时把他改回顾。 ⑵.翻开“工作处置器”，找到diagcfg.exe过程，选中他按“中断过程”来关掉这个过程。提防：确定也不要先关过程再翻开备案表，要不实行regedit.exe时又会启用diagcfg.exe。半途而废！ ⑶.把hkey_local_machine\software\classes\exefile\shell\open\command\的键值由从来的 c:\winnt\system32\diagcfg.exe "%1" %*改为“%1” %* 。 ⑷.这时候就不妨简略c:\winnt\system32\目次下的diagcfg.exe了。牢记不行先简略这个文献，要不，就没辙在体例中运转任何可实行文献了。 后述：广外女生跷跷板后盾监听端口为6267（默许），至于怎样用fport搜索广外女生跷跷板端口和该跷跷板怎样搜索snfw.exe、kav9x.exe的过程，也即是“天网风火墙”和“金山毒霸”的过程，而后将其杀掉。在此我就不多罗嗦了，由于自己很笨，于今还在用“一指禅”在键盘上乱戳，太劳累了……………… 欢送转贴，即使承诺转贴就请保持我的名字。有不对的场合请伙伴们指出，感谢！ 2.把灰鸽子斩草除根 提防：以次废除程序不不妨随便安排。 1.简略灰鸽子效劳端步调 因为在windows情况下灰鸽子的效劳端是居于运奇迹态，没辙径直简略，以是必需加入纯dos状况简略，简略吩咐如次： cd c:\windows\system attrib-r-s-h kernel32.exe attrib-r-s-h notepod.exe del kernel32.exe del notepod.exe 还要提防，即使灰鸽子效劳端树立了exe 文献关系的话，将会引导备案表编纂器没辙运转，以是在简略效劳端之前，先将备案表编纂珍视定名，再不此后对备案表举行变动，操纵吩咐如次： ren c:\windows\regedit.exe regedit.com 2.简略备案表中启用键 因为咱们改了备案表编纂器称呼，以是要翻开备案表编纂器应为：翻开”发端“菜单”中的“运转”而后输出“regedit.com".启用备案表编纂器后，顺序翻开“hkey—local—machine\software\microsoft\windows\current version\run"，在右边的窗口中简略称呼为”loadwindows"的键值就不妨了。 -------------------------------------------------------------------- 废除文献关系 灰鸽子不妨树立4种文献关系：exe关系，txt关系，ini关系，inf关系，个中exe关系不妨和其余三种典型同声生存。 1.废除exe关系： 启用备案表编纂器，而后找到hkey—classes—root\exefile\shell\open\cpmmand主键，察看起默许的键值是否体例默许的“%1%*”，即使被窜改，则改成默许值. 2.废除txt关系： 翻开备案表的hkey—classes—root\txtfile\shell\open\command主键，其默许值的平常参数该当为“c：\windows\notepad.exe%1",即使不是，请窜改为精确数据。 3.废除ini关系： ini文献的的关系摆设生存在备案表hkey—classes—root\inffile\shell\open\cpmmand主键下，其默值数据也是“c：\windows\notepad.exe%1”，即使被窜改的话，也要改回顾。 4废除inf关系： 翻开备案表的hkey—classes—root\inffile\shell\open\cpmmand主键，和ini,txt文献关系一律，其默许值也是“c：\windows\notepad.exe%1”，即使被窜改，也要连忙改回精确的数据。 至此，灰鸽子仍旧被你完全扫地外出了，你不复担忧变成旁人"盘中餐”了。