瑞星卡卡安全论坛

如果你中了木马，也不必惊慌失措，可以用反木马软件查杀。对于新木马，假如反木马软件也不能查杀，你可以手工查杀，自己动手找到木马的藏身之处，然后清除之，具体方法是：

　　一、启动任务管理器

　　按Ctrl+Alt+Del键启动任务管理器，点击“进程”选项卡（如下图8），查看其中是否有陌生进程，记录下来，暂时别动它。
　二、使用进程查看工具
有些木马运行后，你在任务管理器中看不到它的进程，这时候你可以使用专门的进程查看工具，例如进程杀手、IceSword、柳叶擦眼、系统查看大师、WinProc等，用它们来检查系统中的进程，看看有没有可疑的进程，如果发现可疑进程立刻封杀之，例如常见的木马进程如下:

木马名    自动运行的进程名    木马文件的位置
WAY2.4    CWAY                C:\windows\system\msgsvc.exe
Nethief                        C:\windows\system\Internet.exe
(网络神偷)
netbull                        C:\windows\system\CheckDLL.exe
冰河                          C;\windows\system\kerne.exe和
                              C;\windows\system\Sysexpir文件
传奇幽灵  Internet            C:\windows\internet.exe
传奇终结者 scanrew            C:\windows\scanrew.exe


　　进程查看工具下载地址：

　　WinProcV1.32 http://ks.onlinedown.net/down/winproc1.32.zip

　　系统查看大师V1.0 http://xj-http.skycn.net:8080/down/xpprocess.exe

　　柳叶擦眼V4.0 http://www.skycn.com/soft/4507.html

　　IceSwordV1.04 http://download.pchome.net/php/dl.php?sid=18523

　　进程杀手V2.5 http://sc-down.downloadsky.com/down/prockiller_25.rar
三、用Tcpview观察连接情况
  使用Tcpview （下载地址http://xj-http.skycn.net:8080/down/tcpview.zip）、Active Ports等软件，观察计算机的进程和端口。一旦发现可疑的进程，有可疑的端口打开了，就要立即关闭它。建议你经常用Tcpview检查连接情况（如下图9），这样就能随时发现哪个连接有可能是非法连接。
四、检查与启动相关的文件
1）检查启动组

　　启动组是木马藏身的好地方，WinXP启动组对应的文件夹为：C:\Documents and Settings\帐户\「开始」菜单\程序\启动，在注册表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders，右边窗口中Startup的值为"C:\Documents and Settings\帐户\「开始」菜单\程序\启动"，你应该检查这些地方。

　　（2）检查Autoexec.bat、Config.sys和Winstart.bat

　　Autoexec.bat和Config.sys都位于C盘根目录下，在它们中也可以加载木马程序，但这并不多见，你不能掉以轻心，最好检查一下。

　　Winstart.bat通常由应用程序及Windows自动生成。它是一个类似Autoexec.bat的批处理文件，在执行了Win.com并加载了多数驱动程序之后开始执行。Winstart.bat中也可以隐藏木马，因此你要打开它检查。

　　（3）检查Win.ini和System.ini

　　Win.ini位于Windows的安装目录下，其[windows]字段中有启动命令“load=”和“run=”，通常“=”后面是空白的，如果后面跟着程序，比如：run=c:\windows\spy.exe load=c:\windows\spy.exe ，这个spy.exe很可能就是木马程序！

　　System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的加载之处，木马通常会将该句变为这样：shell=Explorer.exe spy.exe，注意这里的spy.exe就是木马服务端程序！ 检查System.ini中的[386Enh]字段，此段内的“driver=路径\程序名”，也是木马经常隐藏的地方；检查System.ini中的[mic]、[drivers]、[drivers32]三个字段，它们也是添加木马的好场所。

　　五、检查系统目录中文件

　　木马也可能藏在系统目录中。启动资源管理器，点击“工具”/文件夹选项/查看，设置显示全部文件（包括受保护文件），不要隐藏已知文件的扩展名，然后打开Windows\ 及 Windows\system32目录中的文件，按建立时间排序，找出建立时间或修改时间异常的程序，记录下来。
六、在注册表中检查

　　单击“开始”/运行，键入Regedit打开注册表，检查其中是否有木马，记录下来，暂时不要更改。

　　（1）检查自启动项

　　查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值，检查其中是否有程序，木马喜欢藏在这些位置。

　　此外，使用组策略也能让木马在系统登录时自动启动（方法如下），该方法添加的自启动程序也被记录在注册表中，但是非以上介绍的那些注册表位置。如果你怀疑自己中了木马，在上面的注册表项中又找不到它，建议你检查注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run项，或是进入“组策略”的“在用户登录时运行这些程序”，看看其中有无启动的程序。

　　组策略添加自启动木马程序的方法：在“开始→运行”中执行“Gpedit.msc”打开“组策略”，展开“本地计算机策略→用户配置→管理模板→系统→登录”，双击“在用户登录时运行这些程序”子项，选定“设置”项中的“已启用”项，单击“显示”按钮弹出“显示内容”窗口，再单击“添加”按钮，在“添加项目”窗口内的文本框中，输入要自启动的木马程序路径即可。

　　（2）检查文件关联是否被修改

　　国产木马还喜欢修改文件关联，例如TXT文件通常是由记事本（Notepad.exe）来打开的，如果你中了国产木马冰河之后，则会被修改为用木马程序打开，因此只要你一打开文本文件，就会自动启动木马。

　　木马修改文件关联的方法是：修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值，将“C:\WINDOWS\NOTEPAD.EXE %1”改为“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”来完成的。

　　注意：木马不仅仅只会修改TXT文件的关联，有时还可能修改HTM、EXE、ZIP、COM等文件的关联。因此对付这类木马，你应该检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键，查看其键值是否正常。
  检查项目    检查位置                      正确的键值是
是否有EXE文件  HKEY_CLASSES_ROOT\exefile\shell "%1"%*
关联型木马程序 \open\command
　　
是否有inf文件  HKEY_CLASSES_ROOT\inffile\shell  %SystemRoor%\system32
关联型木马程序 \open\command                    \NOTEPAD.exe %1

是否有ini文件  HKEY_CLASSES_ROOT\inifile\shell  %SystemRoor%\system32
关联型木马程序  　\open\command　                \NOTEPAD.exe %1

是否有txt文件  HKEY_CLASSES_ROOT\txtfile\shell    %SystemRoor%\system32
关联型木马程序 \open\command　                    \NOTEPAD.exe %1