手动清除木马的方法总结

7.4.10　手动清除木马的方法总结

（1）利用注册表加载运行。

如下所示的注册表位置都是木马的藏身之处：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion下所有以“run”开头的键值；

HKEY_USERS\.Default\ Software\Microsoft\ Windows\CurrentVersion下所有以“run”开头的键值。

（2）在System.ini中启动.System.ini位于Windows的安装目录下，其“boot”字段的Shell=Explorer.exe是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为Shell= Explorer.exefile.exe，这里的file.exe就是木马服务端程序。

另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“Driver=路径\程序名”，这里也有可能被木马所利用。再有，在System.ini中的“mic”、“crivers”、“drivers32”这三个字段，它们起到加载驱动程序的作用，但也是添加木马程序的好场所。

（3）在Win.ini的“windows”字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果后面跟着程序，则有可能是木马。比如：

run=c:\windows\file.exe

load=c:\windows\file.exe

（4）修改文件关联。修改文件关联是木马常用手段，比方说在正常情况下TXT文件的打开方式为Notepad.exe文件，但一旦中了文件关联木马，则TXT文件打开文件就会被修改为用木马程序打开，如冰河。“冰河”就是通过修改HKEY_CLASSES _ROOT\txtfile\shell\open\command下的键值，将“C:\Windows\Notepad.exe%1”改为“C:\Windows\System\Sysexplr.exe%1”，这样当你双击一个TXT文件时，原本应用Notepad打开该文件的，现在却变成启动木马程序了。不仅仅是TXT文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马，只能经常检查HKEY_ CLASSES_ROOT\文件类型\Shell\Open\Command主键，查看其键值是否正常。

（5）在Autoexec.bat和Config.sys中加载运行。

请大家注意，在C盘根目录下的这两个文件也可以启动木马。但这种加载一般都需要控制用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，容易被发现。所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心。

（6）在Winstart.bat中启动。

Winstart.bat具有系统特殊性，丝毫不亚于批处理文件，它也是一个能启动并被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行（这一点可通过启动时按“F8”键再选择逐步跟踪启动过程的启动方式得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行。

（7）邮件感染木马的文件。

实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原文件。这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

经过了这七步检测，大多数的木马应该已经无处藏身了。如果你仍然觉得机器异样，建议再使用木马专杀工具或者杀病毒软件查杀，以保万无一失。使用软件清除木马会在后边的章节中讨论。