如何刪除木馬(墨香被盜和會怕的人請用)2度聲明

藍月光

HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

以上這3個機馬代表木馬 不是正常運作的程式 所以殺掉沒關係

MoonElf

我來利用我的電腦說明好了..
我使用win2000 sp4 並使用軟硬體2道防火強,
利用賽門鐵克,卡巴斯基,驅勢,f-secure,Ad-aware找不到木馬病毒環境,
附近還有win xp sp1和sp2 2台電腦,
3台電腦皆有svchost.exe和那3條機碼,
正常來說只要是windows就算是封閉型電腦,也都會有這4樣東西.

再來看圖說故事..
了解一下這3條機碼做什麼?
HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

1..HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run


你們可以核對藍箭頭地方,看我有沒有找錯.
這裡面只有1個,他是做什麼用?以下是網路找的資料.
「internat.exe」是 windows 為了非英語的 windows 版本能顯示鍵盤配置狀況(也就是輸入法切換)，所提供的一常駐程式。
後面還有嘩啦啦一堆,有興趣自己找.

2..HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


這東西多了點,編號解釋一下..
   1和6是賽門鐵克防火強和防毒的一些東西
     2和3是windows運算用的東西
     4是顯示卡工具程式
     5是音效卡工具程式
     7是RealPlayer的東西
本來裡面還有印表機工具.系統備份,磁碟監控等等,好幾個機碼,
覺得佔記憶體,都被我砍掉了.

3..HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run


同上..自己看.


所以要砍光光?再考慮看看吧...

另外告訴一個小知識..
假設..今天你利用掃毒程式找到一個木馬叫"木馬A.EXE"
而且"木馬A"是利用以上機碼來做載入,
那你可能在機碼內看到這樣的東西..


你可以把"木馬A"這條機碼刪除,
那開機"木馬A"就不會運作,但是"木馬A.EXE"這木馬仍存在,只是不會動.
反過來說..
如果一開始找到就把"木馬A.EXE"這程式給砍了,
那機碼內的"木馬A"那個機碼,不管他也無所謂,因為程式都沒了.

木馬載入方式非常多,上面是打比方,必須依實際狀況來處理才是正確的.

[ 本文最後由 MoonElf 於 06-8-14 10:31 PM 編輯 ]

藍月光

沒錯~這位朋友電腦也不錯...像我就半調子˙ˇ˙
不過請放心 我是有經過查證的

barock00

原文由 MoonElf 於 06-8-14 01:02 AM 發表
建議最好不要這樣做!!

首先..
svchost.exe為windows重要的系統檔案,
但是木馬病毒也很愛冒用這檔名,
當你無法確定該檔案是正常檔案還是假檔案,
全� ...

沒有錯
這些svchost.exe是電腦本身的
擬砍了之後
嘿嘿
會無法上網,無法正常關機...等

木馬應該是
svhost32.exe
如果沒記錯應該是這個
反正沒有c而且有多一個32,跟svchost.exe跟長的很像的

[ 本文最後由 barock00 於 06-8-22 10:47 PM 編輯 ]

pigod86

我很少發文，也不會加聲望...不過我會多學一下，多常常來的，等我會了，一定幫你加