如何徹底刪除木馬小技巧:
1、由木馬的客戶端程序
由先前在win.ini����、system.ini和注冊表中查找到的可疑文件名判斷木馬的名字和版本���。比如“netbus”�、“netspy”等,很顯然對應的木馬就是NETBUS和NETSPY��。從網上找到其相應的客戶端程序����,下載并運行該程序,在客戶程序對應位置填入本地計算機地址: 127.0.0.1和端口號,就可以與木馬程序建立連接���。再由客戶端的卸除木馬服務器的功能來卸除木馬。端口號可由“netstat -a”命令查出來。
這是最容易��,相對來說也比較徹底載除木馬的方法���。不過也存在一些弊端�����,如果木馬文件名給另外改了名字,就無法通過這些特征來判斷到底是什么木馬���。如果木馬被設置了密碼,既使客戶端程序可以連接的上�,沒有密碼也登陸不進本地計算機����。當然要是你知道該木馬的通用密碼�,那就另當別論了。還有��,要是該木馬的客戶端程序沒有提供卸載木馬的功能���,那么該方法就沒什么用了���。當然�,現在多數木馬客戶端程序都是有這個功能的。
2�����、手工刪除木馬
不知道中的是什么木馬�、無登陸的密碼、找不到其相應的客戶端程序��、......�����,那我們就手工慢慢來刪除這該死的木馬吧�����。
用msconfig打開系統配置實用程序���,對win.ini�����、system.ini和啟動項目進行編輯���。屏蔽掉非法啟動項�����。如在win.ini文件中,將將[WINDOWS]下面的 “run=xxx”或“load=xxx”更改為“run=”和“load=”;編輯system.ini文件,將 [BOOT]下面的“shell=xxx”��,更改為:“shell=Explorer.exe”�����。
用regedit打開注冊表編輯器���,對注冊表進行編輯��。先由上面的方法找到木馬的程序名�����,再在整個注冊表中搜索,并刪除所有木馬項目�。由查找到的木馬程序注冊項����,分析木馬文件在硬盤中的位置(多在C:WINDOWS和C:WINDOWSCOMMAND目錄下)���。啟動到純MS-DOS狀態(而不是在Windows環境中開個MS-DOS窗口)�����,用del命令將木馬文件刪除。如果木馬文件是系統、隱藏或只讀文件���,還得通過“attrib -s -h -r”將對應文件的屬性改變,才可以刪除�����。
為保險起見�����,重新啟動以后再由上面各種檢測木馬的方法對系統進行檢查�����,以確保木馬的確被刪除了。
目前也有一些木馬是將自身的程序與Windows的系統程序進行了綁定(也就是感染了系統文件)。比如常用到的Explorer.exe,只要 Explorer.exe一得到運行,木馬也就啟動了��。這種木馬可以感染可執行文件�����,那就更象病毒了����。由手工刪除文件的方法處理木馬后�����,一運行 Explorer.exe,木馬又得以復生!這時要刪除木馬就得連Explorer.exe文件也給刪除掉����,再從別人相同操作系統版本的計算機中將該文件 Copy過來就可以了��。
