RSS

查看自己的电脑有无盗号木马并清除


4.查看auto文件
  当系统中了SoundMan.exe木马后,只要有新的可移动存储接入,此木马便会写入auto.exe和autorun.inf 文件,所以我们在鼠标右键菜单中发现有auto、autorun任何一个选项,或是在移动硬盘或闪存根目录下查看发现auto.exe和autorun.inf 这两个文件,则证明中毒。
  提示:现在的木马一般都会利用移动存储设置的自动播放功能进行病毒的写入和传播,所以如果在硬盘分区以及移动存储设备根目录下发现auto.exe和autorun.inf 这两个文件,则电脑与移动硬盘都已经中毒。
  除了检查上面那些地方外,我们还可以从以下几个木马喜欢喜欢藏身的地方来查找蛛丝马迹。
  一是从“Win.ini”文件判断是否中毒。利用记事本打开“C:\Windows”目录下的Win.ini文件。在文件的[windows]字段中查找启动命令“load=”和“run=”后面是否跟有程序,在一般情况下“=”后面是空白的,如果在“=”号后面跟着程序(图2),那一般是中了木马病毒。

  二是从“System.ini”文件判断是否中毒。利用记事本方式打开位于“C:\Windows”目录下的“System.ini”文件,如果发现[boot]字段中“shell=Explorer.exe”后添加了程序,一般都是木马服务端程序。另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,它们起到加载驱动程序的作用,但也是添加木马程序的好场所,所以也需要进行检查。
  三是打开注册表编辑器进行查找。木马一般会利用注册表中的Run、RunServices、RunOnce等子项来加载,在“开始”/“运行”中输入“regedit”进入注册表编辑器,在以下几个地方进行查看。
[时间:2008-12-28]
相关文章