木馬萬能查殺法 還我一個干淨系統

　　很多對安全知識了解不多的菜鳥們，在計算機中了“木馬之後就束手無策了。雖然現在市面上有很多新版殺毒軟件都可以自動清除大部分“木馬，但它們並不能防范新出現的“木馬程序。因此，查殺木馬，最關鍵的還是要知道“木馬的工作原理。相信你看了這篇文章之後，就會 成為一名查殺“木馬的高手了。

1、“木馬萬能查殺法

“木馬程序會想盡一切辦法隱藏自己，主要途徑有：在任務欄中隱藏自己，這是最基本的辦法。只要把Form的Visible屬性設為False，ShowInTaskBar設為False，程序運行時就不會出現在任務欄中了。在任務管理器中隱形：將程序設為“系統服務可以很輕松地偽裝自己。當然它也會悄無聲息地啟動，黑客當然不會指望用戶每次啟動後點擊“木馬圖標來運行服務端，“木馬會在每次用戶啟動時自動裝載。Windows系統啟動時自動加載應用程序的方法，“木馬都會用上，如：啟動組、Win.ini、System.ini、注冊表等都是“木馬藏身的好地方。

下面具體談談“木馬是怎樣自動加載的。在Win.ini文件中，在[WINDOWS]下面，“run=和 “load=是可能加載“木馬程序的途徑，必須仔細留心它們。一般情況下，它們的等號後面應該什麼都沒有，如果發現後面跟有路徑與文件名不是你熟悉的啟動文件，你的計算機就可能中“木馬了。當然你也得看清楚，因為好多“木馬，如“AOL Trojan木馬，它把自身偽裝成 command.exe(真正的系統文件為command.com)文件，如果不注意可能不會發現它不是真正的系統啟動文件(特別是在Windows窗口下)。

在System.ini文件中，在[BOOT]下面有個“shell=文件名。正確的文件名應該是“explorer.exe，如果不是“explorer.exe，而是“shell= explorer.exe程序名，那麼後面跟著的那個程序就是“木馬程序，就是說你已經中“木馬了。注冊表中的情況最復雜，通過regedit命令打開注冊表編輯器，在點擊至：“HKEY-LOCAL-MacHINESoftwareMicrosoftWindowsCurrentVersionRun目錄下，查看鍵值中有沒有自己不熟悉的自動啟動文件，擴展名為EXE，這裡切記：有的“木馬程序生成的文件很像系統自身文件，想通過偽裝蒙混過關，如“Acid Battery v1.0木馬，它將注冊表“HKEY-LOCAL-MACHINESO FTWAREMicrosoftWindowsCurrentVersionRun下的Explorer鍵值改為Explorer= “C:WINDOWSexpiorer.exe，“木馬程序與真正的Explorer之間只有“i與“l的差別。當然在注冊表中還有很多地方都可以隱藏“木馬程序，如：“HKEY-CURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun的目錄下都有可能，最好的辦法就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun下找到“木馬程序的文件名，再在整個注冊表中搜索即可。

知道了“木馬的工作原理，查殺“木馬就變得很容易，如果發現有“木馬存在，最有效的方法就是馬上將計算機與網絡斷開，防止黑客通過網絡對你進行攻擊。然後編輯win.ini文件，將[WINDOWS]下面，“run=“木馬程序或“load=“木馬程序更改為“run=和“load=；編輯system.ini文件，將[BOOT]下面的“shell=‘木馬’文件，更改為：“shell=explorer.exe；在注冊表中，用regedit對注冊表進行編輯，先在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun下找到“木馬程序的文件名，再在整個注冊表中搜索並替換掉“木馬程序，有時候還需注意的是：有的“木馬程序並不是直接 將“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun下的“木馬鍵值刪除就行了，因為有的“木馬如：BladeRunner“木馬，如果你刪除它，“木馬會立即自動加上，你需要的是記下“木馬的名字與目錄，然後退回到MS-Dos下，找到此“木馬文件並刪除掉。重新啟動計算機，然後再到注冊表中將所有“木馬文件的鍵值刪除。至此，我們就大功告成了。

2、發現病毒，無法清除怎麼辦

Q：發現病毒，但是無論在安全模式還是Windows下都無法清除怎麼辦？

A：由於某些目錄和文件的特殊性，無法直接清除（包括安全模式下殺毒等一些方式殺毒），而需要某些特殊手段清除的帶毒文件。以下所說的目錄均包含其下面的子目錄。

1、帶毒文件在/Temporary Internet Files目錄下

由於這個目錄下的文件，Windows會對此有一定的保護作用（未經證實）。所以對這個目錄下的帶毒文件即使在安全模式下也不能進行清除，對於這種情況，請先關閉其他一些程序軟件，然後打開IE，選擇IE工具欄中的"工具""Internet選項"，選擇"刪除文件"刪除即可，如果有提示"刪除所有脫機內容"，也請選上一並刪除。

2、帶毒文件在/_Restore目錄下，或者System Volume Information目錄下

這是系統還原存放還原文件的目錄，只有在裝了Windows Me/XP操作系統上才會有這個目錄，由於系統對這個目錄有保護作用。對於這種情況需要先取消"系統還原"功能，然後將帶毒文件刪除，甚至將整個目錄刪除也是可以的。 關閉系統還原方法。WindowsMe的話，禁用系統還原，Dos下刪除。FmID=33&SubjectID=2028691&page=1。XP關閉系統還原的方法：右鍵單擊“我的電腦，選“屬性——“系統還原——在“在所有驅動器上關閉系統還原前面打勾——按“確定退出。

3、帶毒文件在.rar、.zip、.cab等壓縮文件中

現今能支持直接查殺壓縮文件中帶毒文件的反病毒軟件還很少，即使有也只能支持常用的一些壓縮格式；所以，對於絕大多數的反病毒軟件來說，最多只能檢查出壓縮文件中的帶毒文件，而不能直接清除。而且有些加密了的壓縮文件就更不可能直接清除了。

要清除壓縮文件中的病毒，建議解壓縮後清除，或者借助壓縮工具軟件的外掛殺毒程序的功能，對帶毒的壓縮文件進行殺毒。

4、病毒在引導區或者SUHDLOG.DAT或SUHDLOG.BAK文件中

這種病毒一般是引導區病毒，報告的病毒名稱一般帶有boot、wyx等字樣。如果病毒只是存在於移動存儲設備（如軟盤、閃存盤、移動硬盤）上，就可以借助本地硬盤上的反病毒軟件直接進行查殺；如果這種病毒是在硬盤上，則需要用干淨的可引導盤啟動進行查殺。

對於這類病毒建議用干淨軟盤啟動進行查殺，不過在查殺之前一定要備份原來的引導區，特別是原來裝有別的操作系統的情況，如日文Windows、Linux等。

如果沒有干淨的可引導盤，則可使用下面的方法進行應急殺毒：

(1) 在別的計算機上做一張干淨的可引導盤，此引導盤可以在Windows 95/98/ME系統上通過"添加／刪除程序"進行制作，但要注意的是，制作軟盤的操作系統須和自己所使用的操作系統相同；

(2) 用這張軟盤引導啟動帶毒的計算機，然後運行以下命令：

A:/>fdisk/mbr

A:/>sys a: c:

如果帶毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中，那麼直接刪除即可。這是系統在安裝的時候對硬盤引導區做的一個備份文件，一般作用不大，病毒在其中已經不起作用了。

5、帶毒文件的後綴名是.vir、.kav、.kbk等

這些文件一般是一些防毒軟件對原來帶毒的文件做的備份文件，一般情況下，如果確認這些文件已經無用了，那就將這些文件刪除即可。

2、發現病毒，無法清除怎麼辦

Q：發現病毒，但是無論在安全模式還是Windows下都無法清除怎麼辦？

A：由於某些目錄和文件的特殊性，無法直接清除（包括安全模式下殺毒等一些方式殺毒），而需要某些特殊手段清除的帶毒文件。以下所說的目錄均包含其下面的子目錄。

1、帶毒文件在/Temporary Internet Files目錄下

由於這個目錄下的文件，Windows會對此有一定的保護作用（未經證實）。所以對這個目錄下的帶毒文件即使在安全模式下也不能進行清除，對於這種情況，請先關閉其他一些程序軟件，然後打開IE，選擇IE工具欄中的"工具""Internet選項"，選擇"刪除文件"刪除即可，如果有提示"刪除所有脫機內容"，也請選上一並刪