万能木马查杀方法

1、木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的办 法。只要把Form的Visible属性设为False，ShowInTaskBar设为False，程序运行时就不会出现 在任务栏中了。在任务管理器中隐形：将程序设为系统服务可以很轻松地伪装自己。当然它也 会悄无声息地启动，黑客当然不会指望用户每次启动后点击木马图标来运行服务端，木马会 在每次用户启动时自动装载。Windows系统启动时自动加载应用程序的方法，木马都会用上， 如：启动组、Win.ini、System.ini、注册表等都是木马藏身的好地方。下面具体谈谈木马是怎样自动加载的。在Win.ini文件中，在WI

2、NDOWS下面，run= 和load=是可能加载木马程序的途径，必须仔细留心它们。一般情况下，它们的等号后面应 该什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中木 马了。当然你也得看清楚，因为好多木马”，如%01 Trojan木马”，它把自身伪装成 command.exe（真正的系统文件为）文件，如果不注意可能不会发现它不是真正的 系统启动文件（特别是在Windows窗口下）。在System.ini文件中，在BOOT下面有个shell=文件名。正确的文件名应该是 explorer.exe，如果不是explorer.exe，而是shell= explorer.e

3、xe 程序名，那么后面跟着的那 个程序就是木马程序，就是说你已经中木马了。注册表中的情况最复杂，通过regedit命令 打 开 注 册 表 编 辑 器， 在 点 击 至： HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun目录下，查看键值中有 没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的木马程序生成的文件很像系 统自身文件，想通过伪装蒙混过关，如Acid Battery v1.0木马，它将注册表 HKEY-LOCAL-MACHINESO FTWAREMicrosoftWindowsCurrentVersionR

4、unT的 Explorer 键值改 为Explorer= CWINDOWSexpiorer.exe，木马程序与真正的Explorer之间只有丫与l的差别。 当然在注册表中还有很多地方都可以隐藏 木马程序，如： HKEY-CURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun、HKEY-USERS*SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能，最好的办 法就是在HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun下找到木马程序

5、的文件 名，再在整个注册表中搜索即可。知道了木马的工作原理，查杀木马就变得很容易，如果发现有木马存在，最有效的方 法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将 WINDOWS下面，run=木马”程序”或load=木马”程序”更改为run=和load=；编辑 system.ini 文件，将BOOT下面的shell=木马文件，更改为：shell=explorer.exe；在注册表 中， 用 regedit 对 注 册 表 进 行 编 辑， 先 在 HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVers

6、ionRun下找到木马程序的文 件名，再在整个注册表中搜索并替换掉木马程序，有时候还需注意的是：有的木马程序并不 是直接 将HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun下的木马键 值删除就行了，因为有的木马如：BladeRunner木马，如果你删除它，木马会立即自动加上， 你需要的是记下木马的名字与目录，然后退回到MS-DOS下，找到此木马文件并删除掉。重 新启动计算机，然后再到注册表中将所有木马文件的键值删除。至此，我们就大功告成了。发现病毒，无法清除怎么办?Q：发现病毒，但是无论在安全模式还是Windows下都无法清

7、除怎么办？A：由于某些目录和文件的特殊性，无法直接清除（包括安全模式下杀毒等一些方式杀毒）， 而需要某些特殊手段清除的带毒文件。以下所说的目录均包含其下面的子目录。1、带毒文件在Temporary Internet Files 目 录下。由于这个目录下的文件，Windows会对此有一定的保护作用（未经证实）。所以对这个目录 下的带毒文件即使在安全模式下也不能进行清除，对于这种情况，请先关闭其他一些程序软件， 然后打开IE，选择IE工具栏中的工具Internet选项，选择删除文件删除即可，如果有提 示删除所有脱机内容，也请选上一并删除。2、带毒文件在_Restore目录下，或者System Vo

8、lume Information目录下。这是系统还原存放还原文件的目录，只有在装了 Windows Me/XP操作系统上才会有这个目 录，由于系统对这个目录有保护作用。对于这种情况需要先取消”系统还原”功能，然后将带毒文 件删除，甚至将整个目录删除也是可以的。关闭系统还原方法。WindowsMe的话，禁用系统还 原，DOS下删除。XP关闭系统还原的方法：右键单击我的电脑”，选属性”一系统还原”一一 在在所有驱动器上关闭系统还原”前面打勾一一按确定退出。3、带毒文件在.rar、.zip、.cab等压缩文件中。现今能支持直接查杀压缩文件中带毒文件的反病毒软件还很少，即使有也只能支持常用的一 些压缩

9、格式；所以，对于绝大多数的反病毒软件来说，最多只能检查出压缩文件中的带毒文件， 而不能直接清除。而且有些加密了的压缩文件就更不可能直接清除了。要清除压缩文件中的病毒，建议解压缩后清除，或者借助压缩工具软件的外挂杀毒程序的功 能，对带毒的压缩文件进行杀毒。4、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中。这种病毒一般是引导区病毒，报告的病毒名称一般带有boot、wyx等字样。如果病毒只是 存在于移动存储设备（如软盘、闪存盘、移动硬盘）上，就可以借助本地硬盘上的反病毒软件直 接进行查杀；如果这种病毒是在硬盘上，则需要用干净的可引导盘启动进行查杀。对于这类病毒建议用干净软盘启

10、动进行查杀，不过在查杀之前一定要备份原来的引导区，特 别是原来装有别的操作系统的情况，如日文Windows、Linux等。如果没有干净的可引导盘，则可使用下面的方法进行应急杀毒：（1）在别的计算机上做一张干净的可引导盘，此引导盘可以在Windows 95/98/ME系统上通 过”添加/删除程序”进行制作，但要注意的是，制作软盘的操作系统须和自己所使用的操作系统相同；（2）用这张软盘引导启动带毒的计算机，然后运行以下命令：A:fdisk/mbrA:sys a: c:如果带毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中，那么直接删除即可。这是 系统在安装的时候对硬盘引导区做的一个

11、备份文件，一般作用不大，病毒在其中已经不起作用了。5、带毒文件的后缀名是.vir、.kav、.kbk等。这些文件一般是一些防毒软件对原来带毒的文件做的备份文件，一般情况下，如果确认这些 文件已经无用了，那就将这些文件删除即可。6、带毒文件在一些邮件文件中，如dbx、eml、box等。有些防毒软件可以直接检查这些邮件文件中的文件是否带毒，但往往不能对这些带毒的文件 直接的进行操作，对于一些邮箱中的带毒的信件，可以根据防毒软件提供的信息找到那带毒的信 件，删除信件中的附件或者删除该信件；如果是eml、nws一些信件文件带毒，可以用相关的邮 件软件打开，确认该信件及其附件，然后删除相关内容。一般有大

12、量的eml、nws的带毒文件的 话，都是病毒自动生成的文件，建议都直接删除。7、文件中有病毒的残留代码。这种情况比较多见的就是带有CIH、Funlove、宏病毒（包括Word、Excel、Powerpoint和 Wordpro等文档中的宏病毒）和个别网页病毒的残留代码，通常防毒软件对这些带有病毒残留代 码的文件报告的病毒名称后缀通常是int、app等结尾，而且并不常见，如W32/FunLove.app、 W32.F。一般情况下，这些残留的代码不会影响正常程序的运行，也不会传染，如果 需要彻底清除的话，要根据各个病毒的实际情况进行清除。8、文件错误。这种情况出现的并不多，通常是某些防毒软件将原来

13、带毒的文件并没有很干净地清除病毒， 也没有很好的修复文件，造成文件无法正常使用，同时造成别的防毒软件的误报。这些文件可以 直接删除。9、加密的文件或目录。对于一些加密了的文件或目录，请在解密后再进行病毒查杀。10、共享目录。这里包括两种情况：本地共享目录和网络中远程共享目录（其中也包括映射盘）。遇到本地 共享的目录中的带毒文件不能清除的情况，通常是局域网中别的用户在读写这些文件，杀毒的时 候表现为无法直接清除这些带毒文件中的病毒，如果是有病毒在对这些目录在写病毒操作，表现 为对共享目录进行清除病毒操作后，还是不断有文件被感染或者不断生成病毒文件。以上这两种 情况，都建议取消共享，然后针对共享目录进行彻底查杀，恢复共享的时候，注意不要开放太高 的权限，并对共享目录加设密码。对远程的共享目录（包括映射盘）查杀病毒的时候，首先要保 证本地计算机的操作系统是干净的，同时对共享目录也有最高的读写权限。如果是远程计算机感 染病毒的话，建议还是直接在