註冊表修改之電腦病毒清除

　　木馬藏身地及通用排查技術

　　木馬取自古希臘神話的特洛伊木馬記，是一種基於遠端控制的駭客工具，具有很強的隱藏性和危害性。為了達到控制服務端主機的目的，木馬往往要採用各種手段達到啟用自己，載入啟動並執行目的。這裡，我們簡要的介紹一下木馬通用的啟用方式，它們的藏身地，並通過一些執行個體來讓您體會一下手動清除木馬的方法。

　　●在Win.ini中啟動木馬：

　　在Win.ini的[Windows]小節中有啟動命令“load=”和“run=”，在一般的情況下“=”後面是空的，如果後面跟有程式，比如：
　　run=C:Windows ile.exe
　　load=C:Windows ile.exe
　　則這個file.exe很有可能就是木馬程式。

　　●在Windows XP註冊表中修改檔案關聯：

　　修改註冊表中的檔案關聯是木馬常用的手段，如何修改的方法已在本系列的前幾文中有過闡述。舉個例子，在正常情況下txt檔案的開啟檔案為Notepad.exe（記事本），但一旦感染了檔案關聯木馬，則txt檔案就變成條用木馬程式開啟了。如著名的國產木馬“冰河”，就是將註冊表HKEY_CLASSES_ROOT xtfileshellopencommand子鍵分支下的索引值項“預設”的索引值“C:Windows otepad.exe %1”修改為“C:WindowsSystemSysexplr.exe”，這樣，當你雙擊一個txt檔案時，原本應該用記事本開啟的檔案，現在就成了啟動木馬程式了。當然，不僅是txt 檔案，其它類型的檔案，如htm、exe、zip、com等檔案也都是木馬程式的目標，要小心。

　　對這類木馬程式，只能檢查註冊表中的HKEY_CLASSES_ROOT中的檔案類型shellopencommand子鍵分支，查看其值是否正常。

　　●在Windows XP系統中捆綁木馬檔案：
　　實現這種觸發條件首先要控制端和服務端已通過木馬建立串連，控制端使用者使用工具軟體將木馬檔案和某一應用程式捆綁在一起，上傳到服務端覆蓋原有檔案，這樣即使木馬被刪除了，只要運行捆綁了木馬的應用程式，木馬又會被重新安裝了。如果捆綁在系統檔案上，則每次Windows XP啟動都會啟動木馬。

　　●在System.ini中啟動木馬：
　　System.ini中的[boot]小節的shell=Explorer.exe是木馬喜歡的藏身之所，木馬通常的做法是將該語句變為這樣：
　　Shell=Explorer.exe file.exe
　　這裡的file.exe就是木馬服務端程式。
　　另外，在[386enh]小節，要注意檢查在此小節的“driver=path程式名”，因為也有可能被木馬利用。[mic]、[drivers]、[drivers32]這三個小節也是要載入驅動程式的，所以也是添加木馬的理想場所。

　　●利用Windows XP註冊表載入運行：
　　註冊表中的以下位置是木馬偏愛的藏身之所：
　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的索引值項資料。
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的索引值項資料。
　　HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的索引值項資料。

　　●在Autoexec.bat和Config.sys中載入運行木馬：
　　要建立控制端與服務端的串連，將已添置木馬啟動命令的同名檔案上傳到服務端覆蓋著兩個檔案才能以這種方式啟動木馬。不過不是很隱蔽，所以這種方式並不多見，但也不能掉以輕心。

　　●在Winstart.bat中啟動木馬：
　　Winstart.bat也是一個能自動被Windows XP載入啟動並執行檔案，多數時由應用程式及Windows自動產生，在執行了Win.com或者Kernel386.exe，並載入了多數驅動程式之後開始執行（這可以通過在啟動時按F8選擇逐步跟蹤啟動過程的啟動方式得知）。由於Autoexec.bat的功能可以由 Winstart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被載入運行。

　　木馬病毒的通用排查技術

　　現在，我們已經知道了木馬的藏身之處，查殺木馬自然就容易了。如果您發現電腦已經中了木馬，最安全最有效方法就是馬上與網路段開，防止電腦駭客通過網路對您進行攻擊，執行如下步驟：

　　l 編輯Win.ini檔案，將[Windows]小節下面的“run=木馬程式”或“load=木馬程式”更改為“run=”，“load=”。
　　l 編輯System.ini檔案，將[boot]小節下面的“shell=木馬檔案”更改為“shell=Explorer.exe”。
　　l 在Windows XP註冊表中進行修改：先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支下找到木馬程式的檔案名稱刪除，並在整個註冊表中尋找木馬程式，將其刪除或替換。但可惡的是，並不是所有的木馬程式都只要刪除就能萬事大吉的，有的木馬程式被刪除後會立即自動添上，這時，您需要記下木馬的位置，即它的路徑和檔案名稱，然後退到DOS系統下，找到這個檔案並刪除。重啟電腦，再次回到註冊表中，將所有的木馬檔案的索引值項刪除。

　　電腦木馬清除執行個體

　　●冰河v1.1的註冊表清除執行個體：
　　在登錄編輯程式中開啟HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支，在右邊的視窗中找到並刪除C:WINNTSystem32Kernel32.exe，C:WINNTSystem32sysexplr.exe，再重新啟動到MS-DOS方式後，刪除C:WINNTSystem32Kernel32.exe和C:WINNTSystem32sysexplr.exe木馬程式。

　　AOL Trojan的註冊表清除執行個體：

　　首先到MS-DOS方式下，刪除以下檔案：
　　C:command.exe
　　C:Americ~1.0