簡單判斷木馬是否存在以及解除基礎

鬼〃娃娃°

這篇文實際上已經"很老"了...
但是最近發現被巴哈挖出來當好文用...所以想說既然公開了...那多少也要盡些責任
就對這篇文大幅翻修了一番

==========================================
在開始動作之前『一定要』把網路線拔掉!!
要不然就前功盡棄了...

首先~檢查木馬程式有無存在於你的電腦
一、判斷方式

1.檢查防毒程式或防木馬程式：
最簡單就是看看防毒程式或防木馬程式有沒有BeBe叫摟~








防毒程式無法更新!?那請到這裡找到一個檔案...
C:/WINDOWS/system32/drivers/etc
理頭有一個叫做"host"的檔案
把它用記事本打開...
然後把"127.0.0.1 localhost"這一行以後的文字刪除即可!

但是如果防毒程式或防木馬程式都沒有異狀，為何系統還是異常的緩慢呢?

2.檢查網路線路、設備






其實~你可以檢查看看接你電腦網路線的HUB、IP分享器、小烏龜(ADSL主機)的上下載燈有沒有一直閃爍不停
(因為電腦在沒有瀏覽網頁、或是開IM軟體時，並不會時時下載資料，如果發生這種狀況，那百分之80就是中木馬了)

3.系統是否有部分功能無法開啟：
聰明一點的木馬都知道要如何防身，最常用的方式就是鎖死系統服務，包括開始→執行指令、msconfig(系統公用程式)、系統管理元件之所有工具、工作管理員、regedit(登錄編輯器)以及cmd(命令字元)甚至防毒程式或防木馬程式，而當這些系統關鍵服務通通被鎖定了怎麼辦?

二、解木馬方式



1.將系統啟動至安全模式
木馬程式就是這點比病毒還好處理，你的系統絕對可以進去安全模式，只要進入安全模式，木馬就馬上就出現了~

如何啟動安全模式呢?請在開機時狂按鍵盤上的"F8"鍵，直到出現開機選單，然後選擇"安全模式"就可以進入安全模式
(木馬的藏身之處就是在regidit(登錄編輯器)中的"run"裡面，因為安全模式只會載入基本的系統服務，也就是說系統根本不會去載入regedit(登錄編輯器)中的"run"裡面相關的值，而木馬當然就不會被啟動啦!)

2.找出木馬所在
這大家都知道了吧?正常模式中的防毒程式或防木馬程式也許在木馬的阻饒下不能發揮作用，但是到了安全模式就一定能啟用摟~趕快搬出它們來大掃特掃吧!





3.終結木馬
只要找到木馬的檔案之後，也許防毒程式或防木馬程式無法自動解除，但是你這個時候也可以自己解決了~

此處以"狀況"類型分別處理方式，當然可混搭使用XD
1.常見DLL+EXE搭配(藉助unlocker以及ProcessViewer)



















2.以服務、Drivers掛入系統(Drivers/xxxx.sys)
這種的就相當麻煩了，因Drivers是系統啟動便會載入，再加上服務啟用的話，將導致在一般視窗模式下完全無法動這些SYS檔的手腳

因此這個時候必須透過SREng將服務關閉並且刪除，重啟系統確定服務沒有啟動即可刪除檔案



註1:這個步驟對初學者比較危險，所以動作之前請先備分原先的機碼

開始->執行->鍵入regedit,接下來選擇"檔案"->"匯出"，將匯出範圍改為"全部"，日後如發生問題可直接透過此檔復原

3.防護軟體找不到病毒或是找到病毒刪除了卻再生(rootkit植入)
這裡稍為解釋一下rootkit是什麼
Rootkit(全稱為A program for hacking root. ，多半時候會因為發音省略"T")
顧名思義便是一種黑客用來植入於使用者電腦中的程式
利用這個假程式隱藏並執行一般木馬該做的動作(如竊取封包、紀錄鍵盤等)
甚至當附掛之木馬遭移除時可以提供開啟後門的管道，透過建立新帳戶讓黑客重新取得系統權限
Rootkit並不是一個程式，而是集合許多工具的雜燴，再透過包裝隱藏惡意代碼來達到迴避防護軟體追查的目的

上面的解釋看不懂也沒關係，只是要跟你表示防護軟體不是萬能的(延伸閱讀->靠防護軟體救你!?多靠自己吧!)
此時該怎麼辦?用剛剛的SREng掃描份系統的報表給會看以及解決問題的人看就好啦~
SREng報表會掃描你系統目前的狀況，將開機時會啟動的程式、服務、驅動，hosts組態、IE ActiveX插件、系統目前啟動的程序等等訊息，絕對有助於問題徹底根除









4.我沒辦法上網或正常更新防毒程式!(Winsock遭修改)
當系統連線發生異常(包含已取得IP卻無法開啟網頁或是根本無法取得IP)
可以嘗試以下工具
無法連線的問題請使用這個工具->WinSockFix
至於無法正常更新防毒程式請參考上面有關hosts的項目

5.防毒軟體無法正常啟動!(遭設檔案鏡射或服務遭關閉、刪除)
請參考上面第三點掃瞄SREng報表，此問題無法單靠手動處理

6.所有EXE檔甚至SREng也無法啟動!(EXE執行目標遭竄改)
首先~請先到控制台->資料夾選項->檢視->勾選"顯示已知檔案類型之副檔名"
之後把SREngPS.EXE的"EXE"改成BAT或COM就可以正常執行了
之後請到系統修復->文件關聯的部份，選擇EXE類型並且修復

7.雖然知道病毒檔名了，但是我卻找不到！(隱藏檔案項目啟動)
請先到控制台->資料夾選項->檢視->勾選"顯示系統保護檔案"以及選擇"顯示所有隱藏資料夾及檔案"兩個項目，有出現訊息按下確定就好了
如果做了以上動作依然無效的話...那就代表你開啟隱藏檔案的功能被鎖定了
很多時候病毒為了隱藏方便會將系統此功能關係，使得隱藏檔案無法顯示
造成清理病毒上的困擾
雖然有一大堆額外的檔案管理工具，但總沒有直接在系統操作來的直覺
因此這裡提供一個小東西給大家使用
請將以下內容複製到記事本(不含分隔線)
==============我是分隔線==============
Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001

==============我是分隔線==============
並且另存為.REG檔(如檔案名稱命名為FolderHidden.reg)
最後直接對該檔案點擊兩下，確認匯入登錄編輯器即可開啟顯示隱藏檔案功能
(但可能會因為有病毒執行阻饒值寫入或將此值重新寫為隱藏，因此在動作前請先確認程序列表無病毒執行)

8.我毫無頭緒該從哪裡開始做....
請參考上面第三點掃瞄SREng報表，此問題無法單靠這篇文處理XD

06061010

好詳細的教學
謝謝版大了