中财网中国音乐学院赵玉娥:一招杀木马
来源:百度文库 编辑:中财网 时间:2024/05/07 04:15:55
一招杀木马
这个方法是告诉大家如何在用第三方工具无效的情况下,用手工操作,摆平那些连杀毒软件也无法搞定的顽固木马(病毒)。自从发表有关Rootkit木马清除方法的帖子以来,http://softbbs.pconline.com.cn/topic.jsp?tid=6066133
有部分网友给我留言说,按那帖子介绍的方法去处理还是杀不掉病毒。系统每次启动时杀毒软件都仍然发现病毒,但也总杀不了,只能“隔离”。
经过研究发现,原来这些木马隐藏得更加深,把自己伪装成了系统的底层设备的驱动程序,这样,就算在安全模式下也系统同样加载这些木马程序,杀毒软件奈何它不得,只好“隔离”了事。也许有人会想到用Unlocker等的工具去删除它们,但实际上根本不行,这些工具会提示说“重启后删除”,但重启后木马程序“岿然不动”。
既然杀毒软件和第三方工具都无效,那就只有靠我们自己啦。俗话不是说“物是死的、人是活的”嘛,人总该比杀毒软件要聪明些吧。要删除这些木马,方法只剩两个了,一是重装系统,一是手工清除。如果不喜欢重装系统的话,那么手工清理自然是唯一选择。
当然,手工清理也是颇有难度的,因为这些木马变成了最底层的系统设备,一旦系统启动(包括安全模式),这个设备(木马程序)也被启用,木马文件不能删除(因为正在被系统使用),它在系统中注册的服务也是不可以被删除的。别以为这是“权限”不够,即使赋予Everyone“完全控制”权限,也是无济于事的,只可以删除其中一部份“键值”,但那个“默认”键值总是删除不了的,而且,刷新注册表后那些被删掉的东西又会恢复过来。
要搞定它们,就必须用“釜底抽薪”的办法——删除木马伪装的系统设备。可是,说的容易,做的难,因为木马作者也不是傻子,不再像http://softbbs.pconline.com.cn/topic.jsp?tid=6066133这个帖子中的那样,虚拟的系统设备的名称跟木马程序的名称相同,他会给虚拟设备另起一个名字,在众多的虚拟系统设备中,你看得晕乎乎的,很难分别出哪个是木马伪装的设备(除非你平时对这些设备非常了解)。
难道就没办法了吗?当然不是啦,因为“人是活的”啊!我们可以用“枚举”法,这是高中时代老师教我们的逻辑推理方法!呵呵,就用这个,虽然方法有点笨,但非常简单、有用。
方法是这样的:右击“我的电脑”→属性→硬件→设备管理→查看→显示隐藏的设备,点一下“非即插即用驱动程序”前边的+号,就会列出所有的虚拟设备。找到你认为可疑的设备,然后右击→属性→驱动程序→驱动程序详细信息,就可以看到它是在调用哪一个设备驱动程序。(本例要找的是gxsynw98.sys)如下图:
一个一个地找……,哈哈!功夫不负有心人,终于找到了!
接下来就好办啦。回过头来再右击那个设备,然后选“停用”或“卸载”,一般应选“卸载”,为保险起见,也可以先选“停用”,待确认后再“卸载”。
“ 停用”或“卸载”这些虚拟设备后,重启系统。这样就可以到相应的文件夹里手工删除这些木马的源程序;再打开注册表,也能够顺利地删除木马在系统中注册的服务。至此,顽固的木马就被彻底清除掉了。
最后,再教大家一招:如何删除木马在系统中注册的服务。因为有好多网友不是很清楚这个,所以顺带说一下。
说明:这个是以删除hilkon50.sys木马为例的,你中的木马源程序的名称不会是这个,所以不要完全照搬,要懂得举一反三的哦。
1、单击“开始”→运行,输入regedit,然后确定,打开注册表编辑界面;
2、点击“编辑”→查找,输入hilkon50,点“查找下一个”,开始查找;
3、好,找到了第一个,右击它,选“删除”时,出错,因为“权限”不够;
4、提升权限:右击,选“权限”→点用户“Everyone”→点“完全控制”的“允许”;
5、提升了权限后,再像第3步那样右击那个“项”,选“删除”,就可以删掉了;
6、删除第一个后,按F3键(或者“编辑”→查找下一个),继续查找,把找到的删除掉(如果提示出错,按第4步的方法提升权限),然后再继续查找、删除,直至查找完毕。
这样,木马在系统中注册的服务就被删除干净了,重启系统后,木马源程序就再也不会被调用,你就可以顺利地删除木马文件了。
补充:
总觉得教大家“赤手空拳”的太“危险”,还是手里有样东西拿着心里踏实些。
经过试验,现在找到一款可以显示各设备的驱动程序名称,而且也能停用设备的软件。
它叫utoruns,下载地址:http://www.crsky.com/soft/5285.html
用了它,就不用一个一个地查看设备的驱动程序这样麻烦了。
