註冊表修改之電腦病毒清除

來源:互聯網
上載者:User

  木馬藏身地及通用排查技術

  木馬取自古希臘神話的特洛伊木馬記,是一種基於遠端控制的駭客工具,具有很強的隱藏性和危害性。為了達到控制服務端主機的目的,木馬往往要採用各種手段達到啟用自己,載入啟動並執行目的。這裡,我們簡要的介紹一下木馬通用的啟用方式,它們的藏身地,並通過一些執行個體來讓您體會一下手動清除木馬的方法。

  ●在Win.ini中啟動木馬:

  在Win.ini的[Windows]小節中有啟動命令“load=”和“run=”,在一般的情況下“=”後面是空的,如果後面跟有程式,比如:

  run=C:Windows ile.exe

  load=C:Windows ile.exe

  則這個file.exe很有可能就是木馬程式。

  ●在Windows XP註冊表中修改檔案關聯:

  修改註冊表中的檔案關聯是木馬常用的手段,如何修改的方法已在本系列的前幾文中有過闡述。舉個例子,在正常情況下txt檔案的開啟檔案為Notepad.exe(記事本),但一旦感染了檔案關聯木馬,則txt檔案就變成條用木馬程式開啟了。如著名的國產木馬“冰河”,就是將註冊表HKEY_CLASSES_ROOT xtfileshellopencommand子鍵分支下的索引值項“預設”的索引值“C:Windows otepad.exe %1”修改為“C:WindowsSystemSysexplr.exe”,這樣,當你雙擊一個txt檔案時,原本應該用記事本開啟的檔案,現在就成了啟動木馬程式了。當然,不僅是txt 檔案,其它類型的檔案,如htm、exe、zip、com等檔案也都是木馬程式的目標,要小心。

  對這類木馬程式,只能檢查註冊表中的HKEY_CLASSES_ROOT中的檔案類型shellopencommand子鍵分支,查看其值是否正常。

  ●在Windows XP系統中捆綁木馬檔案:

  實現這種觸發條件首先要控制端和服務端已通過木馬建立串連,控制端使用者使用工具軟體將木馬檔案和某一應用程式捆綁在一起,上傳到服務端覆蓋原有檔案,這樣即使木馬被刪除了,只要運行捆綁了木馬的應用程式,木馬又會被重新安裝了。如果捆綁在系統檔案上,則每次Windows XP啟動都會啟動木馬。

  ●在System.ini中啟動木馬:

  System.ini中的[boot]小節的shell=Explorer.exe是木馬喜歡的藏身之所,木馬通常的做法是將該語句變為這樣:

  Shell=Explorer.exe file.exe

  這裡的file.exe就是木馬服務端程式。

  另外,在[386enh]小節,要注意檢查在此小節的“driver=path程式名”,因為也有可能被木馬利用。[mic]、[drivers]、[drivers32]這三個小節也是要載入驅動程式的,所以也是添加木馬的理想場所。

  ●利用Windows XP註冊表載入運行:

  註冊表中的以下位置是木馬偏愛的藏身之所:

  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的索引值項資料。

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的索引值項資料。

  HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的索引值項資料。

  ●在Autoexec.bat和Config.sys中載入運行木馬:

  要建立控制端與服務端的串連,將已添置木馬啟動命令的同名檔案上傳到服務端覆蓋著兩個檔案才能以這種方式啟動木馬。不過不是很隱蔽,所以這種方式並不多見,但也不能掉以輕心。

  ●在Winstart.bat中啟動木馬:

  Winstart.bat也是一個能自動被Windows XP載入啟動並執行檔案,多數時由應用程式及Windows自動產生,在執行了Win.com或者Kernel386.exe,並載入了多數驅動程式之後開始執行(這可以通過在啟動時按F8選擇逐步跟蹤啟動過程的啟動方式得知)。由於Autoexec.bat的功能可以由 Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被載入運行。

  木馬病毒的通用排查技術

  現在,我們已經知道了木馬的藏身之處,查殺木馬自然就容易了。如果您發現電腦已經中了木馬,最安全最有效方法就是馬上與網路段開,防止電腦駭客通過網路對您進行攻擊,執行如下步驟:

  l 編輯Win.ini檔案,將[Windows]小節下面的“run=木馬程式”或“load=木馬程式”更改為“run=”,“load=”。

  l 編輯System.ini檔案,將[boot]小節下面的“shell=木馬檔案”更改為“shell=Explorer.exe”。

  l 在Windows XP註冊表中進行修改:先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支下找到木馬程式的檔案名稱刪除,並在整個註冊表中尋找木馬程式,將其刪除或替換。但可惡的是,並不是所有的木馬程式都只要刪除就能萬事大吉的,有的木馬程式被刪除後會立即自動添上,這時,您需要記下木馬的位置,即它的路徑和檔案名稱,然後退到DOS系統下,找到這個檔案並刪除。重啟電腦,再次回到註冊表中,將所有的木馬檔案的索引值項刪除。

  電腦木馬清除執行個體

  ●冰河v1.1的註冊表清除執行個體:

  在登錄編輯程式中開啟HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支,在右邊的視窗中找到並刪除C:WINNTSystem32Kernel32.exe,C:WINNTSystem32sysexplr.exe,再重新啟動到MS-DOS方式後,刪除C:WINNTSystem32Kernel32.exe和C:WINNTSystem32sysexplr.exe木馬程式。

  AOL Trojan的註冊表清除執行個體:

  首先到MS-DOS方式下,刪除以下檔案:

  C:command.exe

  C:Americ~1.0uddyl~1.exe

  C:Windowssystem orton~1 egist~1.exe

  開啟Win.ini檔案,在[Windows]小節下面將特洛伊木馬程式的路徑清除掉,改為“run=”,“load=”,儲存Win.ini檔案。

  然後開啟Windows XP註冊表,開啟HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支,將右表視窗中的索引值項“WinProfile=C:Command.exe”刪除,關閉註冊表,重啟電腦即可。

  ●Doly v1.1-v1.5的註冊表執行個體(v1.6和v1.7類似):

  首先進入MS-DOS方式,刪除以下三個木馬程式,但v1.35版還多一個木馬檔案Mdm.exe。

  C:WindowsSystem esk.sys

  C:WindwosStart MenuProgramsStartupmstesk.exe

  C:Program FilesMStesk.exe

  C:Program FilesMdm.exe

  重新啟動Windows,開啟Win.ini檔案,將[windows]小節下的“load=C:WindowsSystem esk.exe”刪除,即改為“load=”,儲存Win.ini檔案。

  然後,在註冊表中開啟HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支,將右邊的視窗中的索引值項“Mstesk=”C:Program FilesMStesk.exe””刪除,開啟HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionss子鍵分支,將其下的全部內容都刪除(全為木馬參數選擇和設定的伺服器);再開啟HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支,將右邊的視窗中的索引值項“Mstesk=”C:Program FilesMStesk.exe””刪除。

  關閉註冊表,開啟C:Autoexec.bat檔案,刪除如下兩行:

  @echo off copy c:sys.lon C:WindowsStart MenuStartup Items

  Del c:win.reg

  儲存並關閉Autoexec.exe檔案。

  ●IndocTrination v0.1-v0.11註冊表清除執行個體:

  在註冊表中開啟如下子鍵:

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once

  將這些子鍵右邊視窗中的如下索引值項刪除:

  Msgsrv16=“Msgsrv16”,關閉註冊表後重啟Windows,刪除C:WindowsSystemmsgserv16.exe檔案。

  ●SubSeven-Introduction v1.8註冊表清除執行個體:

  開啟HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子鍵分支,在右視窗中尋找到含有“C:WindowsSystem.ini”的索引值項資料,將它刪除。

  開啟Win.ini檔案,將其中的“run=kernel16.dl”改為“run=”,儲存並關閉Win.ini檔案。

  開啟System.ini檔案,將其中的“shell=explorer.exe kernel32.dl”改為“shell=explorer.exe”,儲存並關閉System.ini檔案,重啟Windows,刪除C:Windowskernel16.dl檔案。

  ●廣外女生註冊表清除執行個體:

  退到MS-DOS模式下,刪除System目錄下的diagcfg.exe。由於該病毒關聯的是exe檔案,因此,現在刪除它後Windows環境下任何exe檔案都將無法運行。我們先找到Windows目錄下的登錄編輯程式“Regedit.exe”,將其改名為“Regedit.com”。

  回到Windows模式下,運行“Regedit.com”。開啟HKEY_CLASSES_ROOTexefileshellopencommand,將其預設值改為“%1 %*”,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的索引值項“Diagnostic Configuration”。關閉註冊表。

  回到Windows目錄,將“Regedit.com”改回“Regedit.exe”。

  ●Netbull(網路公牛)註冊表清除執行個體:

  該病毒在Windows 9X下:捆綁notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆綁:notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。開啟:

  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

  HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun

  在這些子鍵下刪除索引值項“CheckDll.exe”=“C:WindowsSystemCheckDll..exe”。

  另外,要察看自己的機器是否中了該病毒,可以察看上面列出的檔案,如果發現該檔案長度發生變化(大約增加了40K左右),就刪除它們。然後點擊[開始]|[附件]|[系統工具]|[系統檔案檢查器],在彈出的對話方塊中選擇“從安裝磁碟片提取一個檔案”,在框中填入要提取的檔案(前面你刪除的),點“確定”,按工具提示將這些檔案恢複即可。如果是開機時自動啟動並執行第三方軟體,如realplay.exe、QQ等被捆綁上了,那就必須把這些檔案刪除後重新安裝了。

  ●聰明基因註冊表清除執行個體:

  刪除C:Windows下的MBBManager.exe和Explore32.exe,再刪除C:WindowsSystem下的editor.exe檔案。如果服務端已經運行,則要先用進程管理軟體終止MBBManager.exe這個進程後才能將它刪除。

  開啟HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,刪除索引值項“MainBroad BackManager”。將HKEY_CLASSES_ROOT xtfileshellopencommand的預設值改為“C:WindowsNotepad.exe %1”,恢複txt檔案關聯。將HKEY_CLASSES_ROOThlpfileshellopencommand的預設值改為“C:Windowswinhlp32.exe %1”,恢複hlp檔案關聯。

  以上是一些比較典型的手動清除特洛伊木馬操作步驟,希望大家能在動手的過程中得到啟發,慢慢摸索木馬的藏身和啟用規律,以達到以不變應萬變的境地。

相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。