windows主机手动木马查杀

      因为手动查杀木马、病毒的帖子网上一抓就是一大把,往往都是些很久很老的帖子,win2k、win9x下的那些方法,要不就是xp、win7里面找不到的方法,这里是针对个人PC,经过本人测试xp和win7可以按照的方法,下面的方法是总结的,不是某一个或某几个的方法,过时的方法已经去掉了,留下了可能能用到的方法,即使是这样手动查杀也是显得费时费力,除非精通windos内核,或者天才的把windows里所有系统文件都几个八九不离十,还是专业的杀毒软件和查杀工具比较迅速可靠,但是如果能够耐心的进行一次手动杀毒并且成功的话,对自身的帮助不是用杀毒软件用的精通了就能对等价的。
方法:
1.检测本地网络连接,cmd下netstat –ano 这个可以显示所有的网络连接,还能显示PID值,在任务管理器中可以对照相应的PID值进行查看相应的进程
2.用户检查,打开“我的电脑”-“管理”-“计算机用户和组”查看是否有多余的用户,管理员组都是那些用户,这些用户是否安全
3.查看服务选项,cmd中services.msc打开服务面版,查看状态为“开启的服务”排除正常服务,寻找是否有可疑的服务。
4.检查系统中拥有启动方式的文件system.ini和win.ini,在“运行”中输入这2个文件的名字即可打开(路径在system32下),system.ini中查看有[boot]的字段,查看下面shell=Explorer.exe,如果Explorer.exe后面还有exe或cmd、com等执行文件就要进行检查这些文件了,通常Explorer.exe后没有东西的。在[386Enh]下的“driver=路径”以及[mic]、[drivers]、[drivers32]字段下也可能加载木马。
另外在win.ini中注意[windows]下的“load=路径”,“run=路径”,一般情况下是空白
5.启动组的检查,假设系统安装在C盘,路径为C:\Documents and Settings\用户名\“开始”菜单\程序\启动\...。或者在C:\Documents and Settings\All Users\“开始”菜单\程序\启动\...
6.修改文件关联的木马。在注册表中查看文件关联,
EXE文件的关联:HKEY_CLASSES_ROOT\exefile\shell\open\command,正常值为"%1" %*
TXT文件的关联: HKEY_CLASSES_ROOT\txtfile\shell\open\command,正常为C:\WINDOWS\notepad.exe %1
INF文件的关联: HKEY_CLASSES_ROOT\inffile\shell\open\command,正常为%SystemRoot%\System32\NOTEPAD.EXE %1
INI文件的关联: HKEY_CLASSES_ROOT\inifile\shell\open\command C:\WINDOWS\System32\NOTEPAD.EXE %1
7.dll样式木马,用木马的dll代替系统的dll,系统需要调用正常dll函数的时候,木马dll就会先被调用执行,然后再由木马dll去调用系统正常的dll,这时,系统运行正常,但是木马也随之启动.
8.捆绑exe文件的木马,利用开机自启动的exe程序进行捆绑自身或将自身伪装成正常exe程序的图标,如QQ,MSN,PPS等,这样开机后会先启动木马,然后由木马调用正常的程序,在正常的程序启动的时候木马也悄然启用,于dll木马类似的方式.
9.注册表中的大众启动项.HKLM\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等项
还有HKCU\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等项
以及 HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等项
       如果找到木马进程却不能结束的话,说明木马进程之间有守护作用,不止一个进程,在cmd用taskkill –T –PID “进程PID”来判断进程之间的守护关系,然后找到写一个批处理用taskkill –PID “进程PID”结束多有的守护进程即可,如果木马嵌套在某个系统进程中,如services.exe、svchost.exe中的话只有用专业的工具(比如“冰刃”等)进行内部dll模块的卸载了。如果是因为木马运行程序无法删除的话,进入cmd下,cd切换到木马所在目录,用attrib –s –h –r “木马运行程序” 命令消除木马的系统属性,然后再用delete “木马运行程序”命令来删除木马程序。

      后记:所谓未雨绸缪说的就是提前做好准备,以便应对突发状况,在不用任何外界工具的情况下,可以再刚装好系统的时候备份系统目录下的所有文件的名字,cmd进入system32目录下运行
dir *.exe>c:\exeback.txt
dir *.dll>c:dllback.txt
这样记录了系统目录下所有的exe程序和dll文件,等需要查杀的时候,可以再用dir命令将现在的exe文件和dll文件的名称全比导出到txt文本,然后在cmd下用
fc exeback.txt exeback1.txt>bijiaoexe.txt比较exe文件
fc dllback.txt dllback1.txt>bijiaodll.txt 比较dll文件
就可以发现多出来的exe文件和dll文件了

      当然,用电脑就免不了要装一些软件,安装软件自然会使system32目录中的文件发生较大的变化,多出不少文件,就算是用了fc进行比较也还是不方便,这时就可以利用对照已加载的正常软件的模块的方法来缩小杀找范围。运行中输入msinfo32.exe依次展开“软件环境”-“加载的模块”,然后选择“文件”-导出,之后再与前面比较的那份txt文档进行比较,排除正常的模块文件。

windows主机手动木马查杀_第1张图片


另外,查看进程中的模块的命令式cmd下tasklist /svc


windows主机手动木马查杀_第2张图片




你可能感兴趣的:(Windows)