淺談ＷＩＮＤＯＷＳ下如何查殺木馬病毒

【摘要】 如今木馬病毒、下載器對用戶的破壞十分嚴(yán)重，雖然很多廠商提供了這樣或那樣的清除工具，但是一些基本原理還是值得用戶了解掌握的，這里介紹一些簡單的清楚木馬技巧……

【關(guān)鍵詞】 木馬；病毒；查殺

【中圖分類號】 TP311.1【文獻標(biāo)識碼】 B【文章編號】 1005-1074(2008)04-0123-01

一般情況下，如果發(fā)現(xiàn)后面跟有路徑與文件名不是你熟悉的啟動文件，或正確的啟動文件和路徑出現(xiàn)錯誤，又或者文件后綴和正常的文件后綴不同，這是你必須警惕，你的計算機就可能中“木馬”了。例如：“AOLTrojan”，它把自身偽裝成command．exe(真正的系統(tǒng)文件為command．com)文件，如果不注意可能不會發(fā)現(xiàn)它不是真正的系統(tǒng)啟動文件(特別是在Windows窗口下)。在System．ini文件中，在boot下面有個“shell=文件名”。正確的文件名應(yīng)該是“explorer．exe”，如果出現(xiàn)其他的情況，那么后面跟著的那個程序很可能就是“木馬”程序。注冊表中的情況最復(fù)雜，通過regedit命令打開注冊表編輯器，點擊“HKEY—LOCAL—MACHINE Soft ware Microsoft Windows Current Version Run”目錄下，查看鍵值中有沒有自己不熟悉的自動啟動文件，擴展名為EXE。有的“木馬”程序生成的文件很像系統(tǒng)自身文件，想通過偽裝蒙混過關(guān)，如：“AcidBatteryvl．0木馬”，它將注冊表“HKEY—LOCAL—MACHINESOFTWARE Microsoft Windows Current Version Run”]：的Explorer鍵值改為Explorer=“C：＼Windows＼expiorer．exe”，“木馬”程序與真正的Explorer之間只有“i”與“L”的差別。當(dāng)然在注冊表中還有很多地方都可以隱藏“木馬”程序，如：“HKEY-CURRENTUSER Software Microsoft Windows Current Version Run”、“HKEY—USERS…．Soft ware Microsoft Windows Current Version Run”的目錄下都有可能，最好的辦法就是在“HKEY—LOCAL—MACHINE Soft ware Micros ofwindows Current Version Run”]：找至0“木馬”程序的文件名，再在整個注冊表中搜索即可。

1 木馬查殺

知道了“木馬”的工作原理，查殺“木馬”就變得很容易，如果發(fā)現(xiàn)有“木馬”存在，最有效的方法就是馬上將計算機與網(wǎng)絡(luò)斷開，防止黑客通過網(wǎng)絡(luò)對你進行攻擊。然后編輯win．ini文件，將WINDOWS下面，“run=“木馬”程序”或“l(fā)oad=“木馬”程序”更改為“run=”和“l(fā)oad=”：編輯system．ini文件，將BOOT下面的“shell=‘木馬’文件”，更改為：“shell=explorer．exe”；在注冊表中，用regedit對注冊表進行編輯，先在“HKEY—LOCAL—MACHINESoftware Microsoft Windows Current Version Run”]：找至0“木馬”程序的文件名，再在整個注冊表中搜索并替換掉“木馬”程序，有時候還需注意的是：有的“木馬”程序并不是直接將“HKEY-一LOCAL—MACHINESoftwareiicrosoft Windows Current Version Run”下的“木馬”鍵值刪除就行了，因為有的“木馬”如：BladeRunner“木馬”，如果你刪除它，“木馬，會立即自動加上，你需要的是記下“木馬”的名字與目錄，然后退回到MS—DOS下，找到此“木馬”文件并刪除掉。重新啟動計算機，然后再到注冊表中將所有ct木馬，文件的鍵值刪除。至此，我們就大功告成了。

2 發(fā)現(xiàn)病毒，無法清除怎么辦?

2.1 帶毒文件在＼TemporaryInternetFi les目錄下 由于這個目錄下的文件，Windows會對此有一定的保護作用(未經(jīng)證實)。所以對這個目錄下的帶毒文件即使在安全模式下也不能進行清除，對于這種情況，請先關(guān)閉其他一些程序軟件，然后打開IE，選擇IET_具欄中的”工具”＼”Internet選項”，選擇”刪除文件”刪除即可，如果有提示”刪除所有脫機內(nèi)容”，也請選上一并刪除。

2.2 帶毒文件在＼一Restore目錄下，或者System VolumeInformation目錄下 這是系統(tǒng)還原存放還原文件的目錄，只有在裝i'Windows Me／XP操作系統(tǒng)上才會有這個目錄，由于系統(tǒng)對這個目錄有保護作用。對于這種情況需要先取消”系統(tǒng)還原”功能，然后將帶毒文件刪除，甚至將整個目錄刪除也是可以的。關(guān)閉系統(tǒng)還原方法。WindowsMe的話，禁用系統(tǒng)還原，DOS下刪除。XP關(guān)閉系統(tǒng)還原的方法：右鍵單擊“我的電腦”，選“屬性”一“系統(tǒng)還原”～在“在所有驅(qū)動器上關(guān)閉系統(tǒng)還原”前面打勾一按“確定”退出。

2.3 帶毒文件在rar、zip、cab等壓縮文件中 如今對壓縮文件查殺的反病毒軟件已經(jīng)相對成熟，但很多反病毒軟件對一些加密了的壓縮文件就不能很好的清除。要清除壓縮文件中的病毒，建議解壓縮后清除，或者借助壓縮工具軟件的外掛殺毒程序的功能，對帶毒的壓縮文件進行殺毒。但相信隨著反病毒軟件嵌入殺毒技術(shù)的發(fā)展，壓縮格式的病毒不會對系統(tǒng)產(chǎn)生太大的威脅。

2.4 病毒在引導(dǎo)區(qū)或者SUHDLOG．DAT或SUHDLOG．BAK文件中這種病毒一般是引導(dǎo)區(qū)病毒，報告的病毒名稱一般帶有boot、wyx等字樣。如果病毒只是存在于移動存儲設(shè)備，如U盤、移動硬盤上，就可以借助本地硬盤上的反病毒軟件直接進行查殺：如果這種病毒是在硬盤上，則需要對引導(dǎo)區(qū)進行查殺。此類殺毒如今很多殺毒軟件已經(jīng)提供了引導(dǎo)區(qū)殺毒功能，用戶可以嘗試一下。對于這類病毒建議用干凈軟盤啟動進行查殺，不過在查殺之前一定要備份原來的引導(dǎo)區(qū)，特別是原來裝有別的操作系統(tǒng)的情況，如日文Windows、Linux等

2.5 帶毒文件的后綴名是vir、．kay、．kbk等 這些文件一般是一些防毒軟件對原來帶毒的文件做的備份文件，一般情況下，如果確認這些文件已經(jīng)無用了，那就將這些文件刪除即可。

2.6 帶毒文件在一些郵件文件中，lcldbx、eml、box等 有些防毒軟件可以直接檢查這些郵件文件中的文件是否帶毒，但往往不能對這些帶毒的文件直接的進行操作，對于一些郵箱中的帶毒的信件，可以根據(jù)防毒軟件提供的信息找到那帶毒的信件，刪除信件中的附件或者刪除該信件：如果是eml、nwS一些信件文件帶毒，可以用相關(guān)的郵件軟件打開，確認該信件及其附件，然后刪除相關(guān)內(nèi)容。一般有大量的eml、nws的帶毒文件的話，都是病毒自動生成的文件，建議都直接刪除。

2.7 文件中有病毒的殘留代碼 這種情況比較多見的就是帶有CIH、Funlove、宏病毒，包括Word、Excel、Powerpoint并i]Wordpro等文檔中的宏病毒和個別網(wǎng)頁病毒的殘留代碼，通常防毒軟件對這些帶有病毒殘留代碼的文件報告的病毒名稱后綴通常是int、app等結(jié)尾，而且并不常見，女lJW32／FunLove．a(chǎn)pp、W32．Funlove．int。一般情況下，這些殘留的代碼不會影響正常程序的運行，也不會傳染，如果需要徹底清除的話，要根據(jù)各個病毒的實際情況進行清除。

2.8 文件錯誤 這種情況出現(xiàn)的并不多，通常是某些防毒軟件將原來帶毒的文件并沒有很干凈地清除病毒，也沒有很好的修復(fù)文件，造成文件無法正常使用，同時造成剮的防毒軟件的誤報。這些文件可以直接刪除。

2.9 加密的文件或目錄 對于一些加密了的文件或目錄，請在解密后再進行病毒查殺。

2.10 共享目錄 這里包括兩種情況：本地共享目錄和網(wǎng)絡(luò)中遠程共享目錄(其中也包括映射盤)。遇到本地共享的目錄中的帶毒文件不能清除的情況，通常是局域網(wǎng)中別的用戶在讀寫這些文件，殺毒的時候表現(xiàn)為無法直接清除這些帶毒文件中的病毒，如果是有病毒在對這些目錄在寫病毒操作，表現(xiàn)為對共享目錄進行清除病毒操作后，還是不斷有文件被感染或者不斷生成病毒文件。以上這兩種情況，都建議取消共享，然后針對共享目錄進行徹底查殺，恢復(fù)共享的時候，注意不要開放太高的權(quán)限，并對共享目錄加設(shè)密碼。對遠程的共享目錄(包括映射盤)查殺病毒的時候，首先要保證本地計算機的操作系統(tǒng)是干凈的，同時對共享目錄也有最高的讀寫權(quán)限。如果是遠程計算機感染病毒的話，建議還是直接在遠程計算機進行查殺病毒。特別的，如果在清除別的病毒的時侯都建議取消所有的本地共享，再進行殺毒操作。在平時的使用中，也應(yīng)注意共享目錄的安全性，加設(shè)密碼，同時，非必要的情況下，不要直接讀取遠程共享目錄中的文件，建議拷貝到本地檢查過病毒后再進行操作。