❤ 教學帖 - 如何清除 掃毒程式掃瞄不出來的隱藏式木馬

鬼〃娃娃°

>★)) 1 惡 意 病 毒 ： hookit 『 鍵 盤 側 錄 程 式 』
視 窗 左 下 → 按 開 始 → 按 尋 找 → 選 檔 案 或 資 料 夾 → 名 稱 輸 入 hookit
查 詢 那 邊 先 找 C 槽 然 後 d . e . f ( 看 你 有 幾 個 都 要 找 一 次 ) ，
然 後 按 立 即 搜 尋 讓它 搜 尋 一 下 ， 如 有 找 到 此 檔 ， 代 表 你 的 電 腦 內 有 『 鍵 盤 側 錄 程 式 』 。
♥ 處 理 方 式 ：
對 著 他 點 一 下 ， 然 後 按 一 下 Delete 那 顆 把 它 刪 掉 。
以下內容需要回復才能看到

>★)) 2 惡 意 程 式 ： smcsvr 『 木 馬 程 式 』
視 窗 左 下 → 按 開 始 → 按 尋 找 → 選 檔 案 或 資 料 夾 → 名 稱 輸 入 smcsvr
如 有 找 到 此 檔 則 代 表 您 中 了 『 木 馬 』， 找 到 smcsvr 按 Delete 是 無 法 刪 除 的 ，
因 為 它 會 說 他 正 在 執 行 。
♥ 處 理 方 式 ：
開 始 → 執 行 → 輸 入 msconfig → 按 確 定 → 選 擇 最 右 邊 的 『 啟 動 』 → 把 SMCsvr.exe
( 有 時 候 有 好 幾 個 ) 打 勾 取 消 ( 然 後 先 不 要 按 確 定 或 是 套 用 ) ，
到 視 窗 左 下 → 按 開 始 → 按 尋 找 → 選 檔 案 或 資 料 夾 → 名 稱 輸 入 smcsvr →
然 後 搜 尋 smcsvr 找 到 後 把 它 刪 除 ， 需 重 新 開 機 。


>★)) 3 惡 意 程 式 ： peep
此 為 木 馬 程 式 則 用 做 遠 端 遙 控 並 可 傳 遞 受 感 染 之 電 腦 內 任 何 檔 案 資 料 。

用 同 樣 步 驟 把 換 成 poop 再 搜 尋 一 次 ， 通 常 會 存 放 在 c:winntsystem32 目 錄 之 下 。
♥ 處 理 方 式 ：
找 到 的 檔 案 不 在 正 常 目 錄 下 的 都 按 Delete 刪 除 掉 ，
（ 正 常 之 explorer.exe 是 存 放在 c:winnt 之 目 錄 之 下 ） ，
peep.exe 木 馬 程 式 則 用 做 遠 端 遙 控 並 可 傳 遞 受 感 染 之電 腦 內 任 何 檔 案 資 料 。

>★)) 4 惡 意 程 式 ： service
於 網 路 連 線 後 以 T C P 方 式 連 線 至 跳 版 主 機 之 5 3 port ， 一 般 5 3 port 為 D N S 之 用 。

用 同 樣 步 驟 把 換 成 service 再 搜 尋 一 次 ， 常 之 系 統 檔 為 services.exe ，
存 放 於 c:winntsystem32 目 錄 之 下 ， 若 電 腦 有 service 或 非 位 於 c:winntsystem32 目錄 下 ，
檔 案 則 可 能 受 到 感 染 。
♥ 處 理 方 式 ：
把 不 在 正 常 目 錄 下 的 檔 案 ， 對 著 他 點 一 下 ， 然 後 按 一 下 Delete 那 顆 把 它 刪 掉 。

>★)) 5 惡 意 程 式 ： iexplore
該 程 式 改 編 自 知 名 偷 密 碼 程 式 之 passwordspy 、 Backdoor.PowerSpider 及 PWSteal.Netsnake ，
為 知 名 收 集 密 碼 資 訊 程 式 的 變 種 ， 會 蒐 集 受 害 者 所 輸 入 的 帳號 密 碼 後 以 電 子 郵 件 方
式 傳 送 至 中 國 大 陸 的 某 個 郵 件 主 機 。

用 同 樣 步 驟 把 換 成 iexplore 再 搜 尋 一 次 ， iexplore.exe 被 置 於 c:windowssystem32 目 錄 中 （ 正 常 位 於 c:programFilesInternetExplorer ）
♥ 處 理 方 式 ：
把 不 在 正 常 目 錄 下 的 檔 案 ， 對 著 他 點 一 下 ， 然 後 按 一 下 Delete 那 顆 把 它 刪 掉 。

>>>《 特 別 注 意 》<<<
其 他 異 常 程 式 ：
包 括 exec3.exe 、 r_server.exe 、 hiderun.exe 、
gatec.exe 、 gates.exe 、 gatew.exe 、 nc1.exe 、
radmin.exe 、 hbulot.exe
等 已 知 檔 名 之 惡 意 程 式 ， 另 需 人 工 檢 核 是 否 有 異 常 程 式 ， 如 「 *.bat 」 及 「 *.reg 」
通 常 為 駭 客 入 侵 後 安 裝 惡 意 程 式 使 用 之 檔 案 ， 及 pslist.exe 、 pskill.exe 、 pulist.exe
等 p 開 頭 之 檔 案 『 則 為 駭 客 工 具 檔 案 』 ， 以 上 檔 案 通 常 存 放 於 c:winntsystem32 目 錄 之 下 。

12121232

介紹的很完整@@
只是惡意程式的名稱是可以改變的
例如灰鴿子在生成客戶端的時候都可以改(其他也可以)
以目前遠程技術都有雙重近程
就算防毒殺掉他被用的也會自動複製過去
加上目前暗組技術已經可以寄生程序
自己本身是有在玩那些 多少也有點了解

abca8990183

我都不懂ㄟ  我以為用防毒就可以了 謝謝喔 學了很多

珍珠紅茶

先來看看囉 謝謝

devil9999s

很怕那種刪不掉的ˇˇ就是刪掉瞬間出現有程式在使用中？（我來亂的

apa4901

我也很怕刪除不掉的 又怕刪到系統檔 所以都不太敢亂刪除東西 聽你的解說 又懂了一些

s8923411

好險有大大的這一帖就了我~~

wdw22497

恩恩!~
說明的很仔細
但是 不是有一些名稱都可以改嗎?
剛剛照了上面的指示打了一次
都找不到任何東西!
哈!

12121232

恩恩!~
說明的很仔細
但是 不是有一些名稱都可以改嗎?
剛剛照了上面的指示打了一次
都找不到任何東西!
...
wdw22497 發表於 2010-8-24 12:47 AM

    一定找不到阿
名稱是生成時想改就改
加上現在都有雙重進程
要刪也不是很容易
以目前病毒技術能讓防毒無法啟動

劉小劉

回家查一下我電腦有沒有中毒..呵呵

wing6106

感謝分享哦∼
我電腦的病毒一直讓我不知道怎麼辦
直接重新安裝電腦，怕麻煩

蟑螂哥

現在最好的摻毒方式因該就剩下重灌了@@因為現在病毒刪不完的...