如何手動移除木馬or病毒

 

有很多朋友說,中毒了清不掉怎辦?自己電腦爆慢…氣的快把電腦砸了,但是防毒軟體完全都查不出來有毛病,一般而言

某些人會建議你重新安裝系統,可是安裝系統既麻煩又浪費時間,沒關係!今天要來講如何手動移除木馬的課題!

※現在我故意執行一個木馬程式來當做範例,與你電腦的情況可能不同,但移除方法大同小異

(一)首先,我們按 Ctrl+Alt+Del或是Ctrl+shift+esc Windows管理員給叫出來,點選處理程序的標籤,

按一下影像名稱,仔細的看了一下,發現多一個 explorer.exe,正常的時候 explorer.exe只有一個

只要是無緣無故多出來或者是沒看過的或是佔用CPU使用率高的程序名稱,都要額外的注意,有可能是病毒或者是木馬,

系統的 explorer.exe通常記憶體都會比較大,記憶體必較小的可能就是木馬,我們先把它結束處理程序,再進行刪除他的動作。

 

 

(二)按左下角的 開始 執行→ 輸入regedit

 

 

(三)開啟登錄編輯程式,尋找木馬最常登錄的路徑 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

在這邊尋找他的相關機碼,有的話就把刪除,

可是範例的木馬似乎不是登錄在這邊,也沒有其他可疑的機碼存在。

 

(四)找不到該機碼的時候,我們還有一個絕招--搜尋

但是這個木馬跟系統內原有的程式名稱取的太相近了,要找到可能要花上一段時間。

 


 

 

 

(五)偽裝的名稱相近,但路徑一定會不相同,很多木馬都會把自己藏在C:\WINDOWS

我們就往這個資料夾進行搜尋,發現系統原有的跟木馬偽裝的,而且很明顯,

系統原有的是有圖案的,而木馬程式卻是一個白窗,但我想說的是,木馬程式不一定像範例這樣,只是其中之一。

ps:有些木馬不一定藏在C:\WINDOWS,有些會藏在C:\Program Files,額外注意。

 

 

 

(六)很好,我們已經找到木馬的正確位置,接下來用登錄編輯程式把它找出來。

 

 

 

(七)ok!大功告成,看到啟動木馬的機碼了,用力的把它刪了!不用怕!

剩下的就是把剛在c:\windows\system32\ 的木馬檔案刪除,跟木馬說掰掰吧!

 

2006.04.07

在台南的某個小地方完成

by 賀大炳

 

回到首頁

 

 

賀大炳的資訊工作室 版權所有 © 2006 賀大炳 Inc.