» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点软件使用交流 » 彻底清除木马程序不完全攻略--- 微点试用日记   作者: 标题: 彻底清除木马程序不完全攻略--- 微点试用日记 zhaojpn 注册用户 积分 89 发帖 85 注册 2007-8-18 #1  彻底清除木马程序不完全攻略--- 微点试用日记 被木马折腾了一天，硬是没有重新安装系统，-_-!@@   表现形式：在磁盘根目录内产生*.exe,rav.exe和auturun.inf等文件,点击任何一个目录木马都会重生 在system32目录下面存在大串数字开头的.exe文件。无法查看隐藏文件，所以无法直接找到这些隐藏文件。 解决方法：   1、首先当然是找个好工具了，说实话对于瑞星在防木马方面我实在失望透了，这个并不是我排斥瑞星， 太被动了，看到一个杀一个，其他的查不出来。。我郁闷 ，推荐使用微点主动防御软件，基本上能根据当前查到的病毒找到对应的system32下面的连接文件提示杀掉， 这个是第一步，一定要先进行这一步，至少让病毒暂时瘫痪，如果发现删除不了，看看进程里面有没有和system32里面同样的.exe文件正在执行，一般系统带的文件都是dll文件，大部分在进程里面驻留运行都不会显示为.exe文件的，右键，结束进程树   2、因为每个目录下面都会有隐藏的病毒文件，而且每个文件都能再生病毒，千万不能双击打开，点右键就能看到有auto选项，不要点它，点"打开"选项 还是看不到啊，这个时候没有办法，隐藏文件选项都被锁定，改注册表也没有用，我用的比较苯的方法 开始-》运行 ->cmd 一个一个磁盘根目录查，先dir  然后再建立一个cmd窗口 dir /a 显示所有文件，这就可以看到隐藏文件了，比较下看看多出了哪些隐藏文件，System Volume Information RECYCLER两个文件夹不用管，看其他的，不要在系统盘下面操作，这样就不会误删除系统文件了，找到autorun.inf和*.exe隐藏属性文件，我中的毒居然以rav.exe命名，我日，然后建立批处理 建立一个文本文档，输入 @echo off del /a /f /s /q d:\Cmzxs.exe del /a /f /s /q d:\kdjdl.exe del /a /f /s /q d:\OPJjD.exe del /a /f /s /q d:\RECYCLER del /a /f /s /q d:\WQkMu.exe del /a /f /s /q d:\autorun.inf del /a /f /s /q e:\Cmzxs.exe del /a /f /s /q e:\kdjdl.exe del /a /f /s /q e:\OPJjD.exe del /a /f /s /q e:\RECYCLER del /a /f /s /q e:\WQkMu.exe del /a /f /s /q e:\autorun.inf del /a /f /s /q f:\Cmzxs.exe del /a /f /s /q f:\kdjdl.exe del /a /f /s /q f:\OPJjD.exe del /a /f /s /q f:\RECYCLER del /a /f /s /q f:\WQkMu.exe del /a /f /s /q f:\autorun.inf del /a /f /s /q c:\Cmzxs.exe del /a /f /s /q c:\kdjdl.exe del /a /f /s /q c:\OPJjD.exe del /a /f /s /q c:\RECYCLER del /a /f /s /q c:\WQkMu.exe del /a /f /s /q c:\autorun.inf echo .&pause 看到了吧，我中了好多，日，就是这个变种让我弄了一天时间，保存为*.bat,*随便用什么字母代替够可以，别太懒，这个是我的，你自己的病毒自己找，我的不一定能用 3、运行，我的只有四个盘，再双击，打不开了，只能用右键选择打开才能开，如果还是能开，就再运行一次.bat， 不过一般正常进行了第一步的话都能够一次删除掉，然后要做的就是把磁盘名称改一下名字，改不改回来就随便你了，再看，auto不见了 HOHO~~ 4、然后改文件夹选项，？？？还是不能显示隐藏文件，我在网上查了很多，照着做没有用，不知道为什么，然后把这些更改写成.reg文件导入，晕，这次可以了，我不明白为什么，自己改和导入有什么不同，高手知道的望指导，我后悔没有把改过去以前的注册表保留了，无法对比，要我再中一次毒来体验，还是算了白。 5、我就不告诉怎么改的过程了，直接给注册表导入文件吧，省得麻烦，装高手真的是累，不如直接导入痛快。测试xp 2000 2003都可以用 改完再去看隐藏文件，嘿嘿，可以了，不过让我傻眼的是我的里面居然还有rav.exe文件，把鼠标点上去，马上就被微点发现并删除（微点微点我爱你！！！），为了确保安全，我又再逛了一次system32,把所有的.exe文件排序，明显为系统文件的就不管了，那些看着不爽的一个一个点，-0-,我也是第一步没有做到位诶。-_-!!@ 突然发现系统突然快了好多，爽快，好象微点一点都不带系统速度，就是为人太低调而已，发现原来一个好的杀毒软件也能够让我发狂额。。·#￥ 有点乱 呵呵~~高手勿笑 ※ ※ ※ 本文纯属【zhaojpn】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-11-22 12:52 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #2   谢谢楼主对微点的支持，如果可以，请楼主将您遇到的病毒样本和技术支持信息（辅助功能--生产技术支持信息）一起发到virus@micropoint.com.cn，我们帮您分析一下，请楼主在邮件中附带本链接。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2007-11-22 13:01 zhaojpn 注册用户 积分 89 发帖 85 注册 2007-8-18 #3   这是我给客户修电脑时，使用的方法，样本可惜呀，客户机已拿走 ※ ※ ※ 本文纯属【zhaojpn】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-11-22 13:07 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号