7.4.10　手動(dòng)清除木馬的方法總結(jié)

（1）利用注冊(cè)表加載運(yùn)行。

如下所示的注冊(cè)表位置都是木馬的藏身之處：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion下所有以“run”開(kāi)頭的鍵值；

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion下所有以“run”開(kāi)頭的鍵值；

HKEY_USERS\.Default\ Software\Microsoft\ Windows\CurrentVersion下所有以“run”開(kāi)頭的鍵值。

（2）在System.ini中啟動(dòng).System.ini位于Windows的安裝目錄下，其“boot”字段的Shell=Explorer.exe是木馬喜歡的隱蔽加載之所，木馬通常的做法是將該句變?yōu)镾hell= Explorer.exefile.exe，這里的file.exe就是木馬服務(wù)端程序。

另外，在System.ini中的[386Enh]字段，要注意檢查在此段內(nèi)的“Driver=路徑\程序名”，這里也有可能被木馬所利用。再有，在System.ini中的“mic”、“crivers”、“drivers32”這三個(gè)字段，它們起到加載驅(qū)動(dòng)程序的作用，但也是添加木馬程序的好場(chǎng)所。

（3）在Win.ini的“windows”字段中有啟動(dòng)命令“l(fā)oad=”和“run=”，在一般情況下“=”后面是空白的，如果后面跟著程序，則有可能是木馬。比如：

run=c:\windows\file.exe

load=c:\windows\file.exe

（4）修改文件關(guān)聯(lián)。修改文件關(guān)聯(lián)是木馬常用手段，比方說(shuō)在正常情況下TXT文件的打開(kāi)方式為Notepad.exe文件，但一旦中了文件關(guān)聯(lián)木馬，則TXT文件打開(kāi)文件就會(huì)被修改為用木馬程序打開(kāi)，如冰河?！氨印本褪峭ㄟ^(guò)修改HKEY_CLASSES _ROOT\txtfile\shell\open\command下的鍵值，將“C:\Windows\Notepad.exe%1”改為“C:\Windows\System\Sysexplr.exe%1”，這樣當(dāng)你雙擊一個(gè)TXT文件時(shí)，原本應(yīng)用Notepad打開(kāi)該文件的，現(xiàn)在卻變成啟動(dòng)木馬程序了。不僅僅是TXT文件，其他諸如HTM、EXE、ZIP、COM等都是木馬的目標(biāo)。對(duì)付這類(lèi)木馬，只能經(jīng)常檢查HKEY_ CLASSES_ROOT\文件類(lèi)型\Shell\Open\Command主鍵，查看其鍵值是否正常。

（5）在Autoexec.bat和Config.sys中加載運(yùn)行。

請(qǐng)大家注意，在C盤(pán)根目錄下的這兩個(gè)文件也可以啟動(dòng)木馬。但這種加載一般都需要控制用戶(hù)與服務(wù)端建立連接后，將已添加木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這兩個(gè)文件才行，而且采用這種方式不是很隱蔽，容易被發(fā)現(xiàn)。所以在Autoexec.bat和Config.sys中加載木馬程序的并不多見(jiàn)，但也不能因此而掉以輕心。

（6）在Winstart.bat中啟動(dòng)。

Winstart.bat具有系統(tǒng)特殊性，絲毫不亞于批處理文件，它也是一個(gè)能啟動(dòng)并被Windows加載運(yùn)行的文件。它多數(shù)情況下為應(yīng)用程序及Windows自動(dòng)生成，在執(zhí)行了Win.com并加載了多數(shù)驅(qū)動(dòng)程序之后開(kāi)始執(zhí)行（這一點(diǎn)可通過(guò)啟動(dòng)時(shí)按“F8”鍵再選擇逐步跟蹤啟動(dòng)過(guò)程的啟動(dòng)方式得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被加載運(yùn)行。

（7）郵件感染木馬的文件。

實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過(guò)木馬建立連接，然后控制端用戶(hù)用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，上傳到服務(wù)端覆蓋原文件。這樣即使木馬被刪除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬又會(huì)被安裝上去了。綁定到某一應(yīng)用程序中，如綁定到系統(tǒng)文件，那么每一次Windows啟動(dòng)均會(huì)啟動(dòng)木馬。

經(jīng)過(guò)了這七步檢測(cè)，大多數(shù)的木馬應(yīng)該已經(jīng)無(wú)處藏身了。如果你仍然覺(jué)得機(jī)器異樣，建議再使用木馬專(zhuān)殺工具或者殺病毒軟件查殺，以保萬(wàn)無(wú)一失。使用軟件清除木馬會(huì)在后邊的章節(jié)中討論。