一剑封喉 用系统的权限法清理dll木马

新手也能对付病毒如何清除插入式木马

目前网络上最猖獗的病毒估计非木马程序莫数了，2005年木马程序的攻击性也有了很大的加强，在进程隐藏方面，做了较大的改动，不再采用独立的EXE可执行文件形式，而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等，这些木马也是目前最难对付的。本期就教你查找和清除线程插入式木马。

一、通过自动运行机制查木马

一说到查找木马，许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”，具体的地方一般有以下几处:

1)注册表启动项

在“开始/运行”中输入“regedit.exe”打开注册表编辑器，依次展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]，查看下面所有以Run开头的项，其下是否有新增的和可疑的键值，也可以通过键值所指向的文件路径来判断，是新安装的软件还是木马程序。另外[HKEY_LOCAL_MACHINE\Software\classes\exefile\shell\open\command\]键值也可能用来加载木马，比如把键值修改为“X:\windows\system\ABC.exe %1%”。

2)系统服务

有些木马是通过添加服务项来实现自启动的，大家可以打开注册表编辑器，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑键值，并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑主键。然后禁用或删除木马添加的服务项:在“运行”中输入“Services.msc”打开服务设置窗口，里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找到木马所启动的服务，双击打开它，把启动类型改为“已禁用”，确定后退出。也可以通过注册表进行修改，依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服务显示名称”键，在右边窗格中找到二进制值“Start”，修改它的数值数，“2”表示自动，“3”表示手动，而“4”表示已禁用。当然最好直接删除整个主键，平时可以通过注册表导出功能，备份这些键值以便随时对照。

3)开始菜单启动组

现在的木马大多不再通过启动菜单进行随机启动，但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项，可以右击它选择“查找目标”到文件的目录下查看一下，如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看，它的位置为[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]，键名为Startup。

4)系统INI文件Win.ini和System.ini

系统INI文件Win.ini和System.ini里也是木马喜欢隐蔽的场所。选择“开始/运行”，输入“msconfig”调出系统配置实用程序，检查Win.ini的[Windows]小节下的load和run字段后面有没有什么可疑程序，一般情况下“=”后面是空白的;还有在System.ini的[boot]小节中的Shell=Explorer.exe后面也要进行检查。

5)批处理文件

如果你使用的是Win9X系统，C盘根目录下“AUTOEXEC.BAT”和WINDOWS目录下的“WinStart.bat”两个批处理文件也要看一下，里面的命令一般由安装的软件自动生成，在系统默认会将它们自动加载。在批处理文件语句前加上“echo off”，启动时就只显示命令的执行结果，而不显示命令的本身;如果再在前面加一个“@”字符就不会出现任何提示，以前的很多木马都通过此方法运行。

二、通过文件对比查木马

最近新出现的一种木马。它的主程序成功加载后，会将自身做为线程插入到系统进程SPOOLSV.EXE中，然后删除系统目录中的病毒文件和病毒在注册表中的启动项，以使反病毒软件和用户难以查觉，然后它会监视用户是否在进行关机和重启等操作，如果有，它就在系统关闭之前重新创建病毒文件和注册表启动项。下面的几招可以让它现出原形(下面均以Win XP系统为例):

1)对照备份的常用进程

大家平时可以先备份一份进程列表，以便随时进行对比查找可疑进程。方法如下:开机后在进行其他操作之前即开始备份，这样可以防止其他程序加载进程。在运行中输入“cmd”，然后输入“tasklist /svc >X:\processlist.txt”(提示:不包括引号，参数前要留空格，后面为文件保存路径)回车。这个命令可以显示应用程序和本地或远程系统上运行的相关任务/进程的列表。输入“tasklist /?”可以显示该命令的其它参数。

2)对照备份的系统DLL文件列表

对于没有独立进程的DLL木马怎么办吗?既然木马打的是DLL文件的主意，我们可以从这些文件下手，一般系统DLL文件都保存在system32文件夹下，我们可以对该目录下的DLL文件名等信息作一个列表，打开命令行窗口，利用CD命令进入system32目录，然后输入“dir *.dll>X:\listdll.txt”敲回车，这样所有的DLL文件名都被记录到listdll.txt文件中。日后如果怀疑有木马侵入，可以再利用上面的方法备份一份文件列表“listdll2.txt”，然后利用“UltraEdit”等文本编辑工具进行对比;或者在命令行窗口进入文件保存目录，输入“fc listdll.txt listdll2.txt”，这样就可以轻松发现那些发生更改和新增的DLL文件，进而判断是否为木马文件。

3)对照已加载模块

频繁安装软件会使system32目录中的文件发生较大变化，这时可以利用对照已加载模块的方法来缩小查找范围。在“开始/运行”中输入“msinfo32.exe”打开 “系统信息”，展开“软件环境/加载的模块”，然后选择“文件/导出”把它备份成文本文件，需要时再备份一个进行对比即可。

4)查看可疑端口

所有的木马只要进行连接，接收/发送数据则必然会打开端口，DLL木马也不例外，这里我们使用netstat命令查看开启的端口。我们在命令行窗口中输入“netstat -an”显示出显示所有的连接和侦听端口。Proto是指连接使用的协议名称，Local Address是本地计算机的IP地址和连接正在使用的端口号，Foreign Address是连接该端口的远程计算机的IP地址和端口号，State则是表明TCP连接的状态。Windows XP所带的netstat命令比以前的版本多了一个-O参数，使用这个参数就可以把端口与进程对应起来。输入“netstat /?”可以显示该命令的其它参数。接着我们可以通过分析所打开的端口，将范围缩小到具体的进程上，然后使用进程分析软件，例如“Windows优化大师”目录下的WinProcess.exe程序，来查找嵌入其中的木马程序。有些木马会通过端口劫持或者端口重用的方法来进行通信的，一般它们会选择139、80等常用端口，所以大家分析时要多加注意。也可以利用网络嗅探软件(如:Commview)来了解打开的端口到底在传输些什么数据。

驱除毒源双击无法打开驱动器的杀毒方法

作者：db19851217　来源：赛迪网技术社区

昨天将U盘插到电脑后双击无法打开，紧接着双击所有驱动器盘符都没有办法打开，试验以后发现只有使用资源管理器可以。但终究不爽，鬼知道病毒在电脑里还干了些什么，决定彻底杀掉。

症状描述

1.双击驱动器盘符无法打开，资源管理器可以使用。

2.在开始→运行里输入cmd进入命令行模式，输入 C:回车 ，进入C盘根目录，输入 dir /a 查看所有文件，发现存在如下两个文件： Autorun.inf RavMon.exe。

3.在开始→运行里输入msconfig，进入系统配置程序，选择“启动”标签，里面有一个叫做 “MDM”的项指向“C:\windows\mdm.exe”。

解决方法

1.重新启动，开机时按F8，进入带命令行的安全模式，选择Administrator账号登陆。

2.在命令行下输入regedit进入注册表，查找"RavMon.exe"，如果发现匹配项就删除(我 没有发现，这样做是保险起见)。注意RsRavMon是瑞星杀毒软件，不用删除。

3.在命令行下输入msconfig，进入系统配置程序，选择“启动”标签，将所有“MDM”项前面 的勾去掉保存。

4.在命令行下输入以下指令

del C:\Autorun.inf /f /s /q /a del

C:\RavMon.exe /f /s /q /a del

D:\Autorun.inf /f /s /q /a del

D:\RavMon.exe /f /s /q /a ……

有多少盘符输多少个。注意这个指令会删除根目录往下所有目录的对应文件，所以大家看 到删除了根目录下的以后马上按Ctrl+C中断。

5.重新启动，OK啦。

6.要彻底清楚，主要还是要把U盘里的毒源杀掉。我没有试别的办法，直接偷懒进Linux下 用rm删了个干净。如果大家认识的人有装Linux的可以请他帮忙，个人认为这样做是最安全的。在Windows/Dos平台下怎么做还请高手出招。

说明

1.MDM是微软的Machine Debug Manager，系统进程;病毒伪装成了mdm.exe。

2.本杀毒方法思想可用于清除类似病毒


一剑封喉　用系统的权限法清理dll木马

作者：db19851217　来源：赛迪网技术社区

相信大家对Dll木马都是非常熟悉了。它确实是个非常招人恨的家伙。它不像普通的exe木马那样便于识别和清理，这个家伙的隐蔽性非常强，它可以嵌入到一些如rundll32.exe,svchost.exe等正常的进程中去，让你找不到，即使找到了也难以清除，因为正常的进程正在调用它嘛。

我用的是Mcafee的杀毒软件，比如说它现在报告

defds.dll:C:\ Documents and Settings\Administrator\Local Settings\ Temp\ defds.dll删除失败

fdgeg.com:C:\Windows\ime\fdgeg.com删除失败

那么可以知道defds.dll应该是个dll木马 我们可以通过冰刃IceSword来查看系统的进程，找到调用该dll文件的进程 比如说是notepad.exe 我们可以先尝试着终止该进程 该进程如果终止后过不了多久又重新运行（而我并没有运行记事本）那么我们可以判定fdgeg.com就是notepad.exe的的守护进程 当它发现它所监视的notepad.exe进程被终止后会立刻将notepad.exe重新启用

现在我们可以：我的电脑-----工具----文件夹选项-----查看在高级设置的选项下去掉”简单文件共享”的钩子(我的电脑是XP操作系统，NTFS磁盘格式)然后到C:\Windo0ws\ime下找到fdgeg.com 右键选择属性 在属性中选择”安全” 单击”高级” 在弹出的窗口中使”从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”不被选中，再在弹出的窗口中单击”删除”,再依次单击”确定”。这样就没有任何用户可以使fdgeg.com工作了。通过IceSword终止notepad.exe 然后到

C:\ Documents and Settings\Administrator\Local Settings

中删除defds.dll 然后到C:\Windows\ime中再找到Tempfdgeg.com右键属性在属性中选择”安全” 单击”高级” 在弹出的窗口中选中”从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目” 然后删除它即可

最后别忘了在注册表的启动项中将这个dll木马删除这样 我们就彻底将这个讨厌的dll木马从我们的电脑中清除了。

高手详解　木马和病毒清除的通用解法

作者：hanbin　来源：赛迪网技术社区

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY-LOCAL-MACHINE”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE”下的 Explorer 键值改为Explorer=“C:.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER”、“HKEY-USERS\u65290***”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”;在注册表中，用regedit对注册表进行编辑，先在“HKEY-LOCAL-MACHINE”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将HKEY-LOCAL-MACHINE”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS-DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。

安全小妙招 WinRAR硬盘杀毒绝技

笔者的电脑最近在使用时出现一个怪现象，双击D盘无法直接打开(其他盘符均正常)，总是弹出窗口提示“找不到pagefile.pif，指定位置”， 因此每次只有通过右键的“打开”菜单来打开，而仔细查看右键菜单发现里面多了一个“自动播放”的项目。

　　故障分析:上网搜索了一下，根据查到的资料基本上可以确定笔者是在浏览网页或传输文件的过程中中木马毒引起的。于是笔者开启杀毒软件NOD32(已经升级到最新版本)对硬盘进行了一次深度杀毒，奇怪的是一个病毒也没有找到。由于本人每天都进行病毒扫描，估计病毒早已经被本人杀掉了。根据查到的资料分析，很可能是病毒在D盘残留了一个文件autorun.inf(某些病毒便常常借助此文件在电脑中自动运行)，但它本身并无病毒特征，杀毒软件杀毒时未能将它彻底清除干净，但它残留后却给电脑带来了后遗症——导致硬盘无法正常打开。

　　故障解决:由于autorun.inf是一个隐藏较深的文件，当笔者将文件夹选项中的选项选择为“显示所有文件和文件夹”也没能在D盘发现此文件的身影，所以在这里笔者将巧妙地利用最常用的WinRAR来进行清除。首先运行WinRAR软件，在界面中我们点击地址栏右侧下拉列表，将路径切换到D盘根目录，这个时候我们发现D盘下面的隐藏文件“autorun.inf”终于出现了，不用多说了，在文件上点右键选择“删除文件”。现在试一下，D盘果然可以正常打开了。不过还没完，下面别忘了清除注册表项目，打开注册表，查找“pagefile.pif”内容，找到一个shell键，其下级的键值为“D:pagefile.pif”，将此键删除，至此病毒残留清理完毕。

如何清除无法显示隐藏文件病毒的绝招

作者：done　来源：赛迪网技术社区

选择“显示隐藏文件”这一选项后，发现U盘有个文件闪出来一下就马上又消失了，而再打开文件夹选项时，发现仍就是“不显示隐藏文件”这一选项。而且刚发现点击C、D等盘符图标时会另外打开一个窗口!

总结

I、病情描述

1、无法显示隐藏文件;

2、点击C、D等盘符图标时会另外打开一个窗口;

3、用Winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个恶心的文件;

4、任务管理器中的应用进程一栏里有个莫明其妙的kill;

5、开机启动项中有莫明其妙的SocksA.exe。

II、解决办法

用了一些专杀工具和DOS下的批处理文件，都不好使，只好DIY。注意在以下整个过程中不要双击硬盘分区，需要打开时用鼠标右键—>打开。

一、关闭病毒进程

在任务管理器应用程序里面查找类似kill等你不认识的进程，右键—>转到进程，找到类似SVOHOST.exe(也可能就是某个svchost.exe)的进程，右键—>结束进程树。

二、显示出被隐藏的系统文件

开始—>运行—>regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\

CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL

删除CheckedValue键值，单击右键 新建—>Dword值—>命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

三、删除病毒

在分区盘上单击鼠标右键—>打开，看到每个盘跟目录下有autorun.inf 和tel\.xls\.exe 两个文件，将其删除，U盘同样。

四、删除病毒的自动运行项

开始—>运行—>msconfig—>启动—>删除类似sacksa.exe、SocksA.exe之类项，或者打开注册表运行regedit

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

删除类似C:\WINDOWS\system32\SVOHOST.exe 的项。

五、删除遗留文件

C:\WINDOWS\ 跟 C:\WINDOWS\system32\ 目录下删除SVOHOST.exe(注意系统有一个类似文件，图标怪异的那个类似excel的图标的是病毒)session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件，每个文件夹两个，不要误删哦，自己注意。重启电脑后，基本可以了。