手工查杀病毒木马

 你的电脑安全吗？你的电脑可以防黑吗？
    在平时一不小心中病毒或木马的时候，对于高手来说，都采用手动查杀的方式，因为一方面，对于互联网上新出现的病毒或其变种，大多数的杀毒厂商往往都是被动的，这样就给那些病毒木马提供了时间上的有利条件；另一方面，用杀毒软件查杀的话，是很浪费宝贵的时间的。
    现在的杀毒软件那么多啊，为什么我们还要学习用手动来杀毒呢？你想想病毒的产生肯定是比你的杀毒软件的升级快很多的，既然是那个样子的话，我们学习手动杀毒就对我们很有帮助，也可以让我们更加熟悉计算机的进程以及对我们将来学习更多的计算机技术打下很好的基础。
    首先，对于自己的计算机要有洞悉力，说得通俗点就是如果发现什么不对的就要考虑下是什么原因了。因为是讲手工杀毒那就先讲中毒的几个特别征兆，例如：你的电脑在上网的时候自己会打开不知名的网站（恶意代码也是会这样的啊，我们也把它暂时当病毒吧）；你的电脑的速度变得很慢很慢，特别是开机的时候要很久；你的电脑文件有的开不了；有时候点一个陌生的文件突然一闪而过；有时候总跳出非法操作……可以说你觉得很可疑的时候，都可能是中了病毒。那么我们就要找到病毒。
    这时我们的第一步就是打开任务管理器，仔细查看有没有哪些异常或自己尚不清楚的进程，发现后，先不要急着结束它，先用纸和笔记录下来，这时我们可以在网上查下该进程的相关资料(比如*.exe)，这时如果上网不方便的话，可以在资源管理器中按F3打开“搜索”，首先确保将系统中的所有文件全部显示出来，包括重要的系统文件，并在“所有文件和文件夹”搜索，看看它到底藏在了哪里，也许有时候你会发现，这个你不熟悉的进程名正是系统中正常的一个程序的进程。
    如果从网上找到的资料里，发现这个确是病毒或木马的话，则毫无疑问的进行下一步骤。如果是在“搜索”中找到的，则右击查看它的属性，看看它是具体什么时间被建立的，如果与实际不符而相违背的，或明显带有迷惑用户性质的话，则可以肯定它们对我们是不利的。我们只有将它们赶尽杀绝了!!!
    下一步，我们就要毫不留情的在任务管理器中先结束其进程了。右击它选择“结束进程”，“确定”即可。如果中的病毒或木马很强的话，我们就要采取强制的方式结束它了。具体方法：首先“开始——运行”，输入CMD，打开命令提示符。输入“Tasklist”后就会看到我们各个程序的进程列表了，其中有一列叫PID(进程标识符)的，这对我们强制关闭某个进程时有用到。它的命令是这样的：“ntsd -c q -p PID号”(假如你看到我们刚才记下的可疑进程名，及其后面的PID号是1060(假如)，则可以，在提示符下输入“ntsd -c q -p 1060”就可以了)。
    一般来说，我们查找病毒和木马的基本方法有：
    ①、进程法：有的病毒在热启动（CTRL+ALT+DEL)就可以看出来，它们总是想隐藏自己成为系统里面的特殊文件，仔细看就可以看出猫腻了。什么把l(字母）写成1（数字）啦，把O（字母）变成了0的啊，更好笑的是连大小写都出来了，其实只要认真看问题就简单。如果你对进程不是很了解的话，建议把它名字记下来去百度找找，应该可以找到答案。特别要注意的是你在用热启动的时候，最好不要开任何文件和软件，这样比较好辨认。
　　②、启动法：现在的病毒和木马都会自己随系统而启动，那么我们就可以根据这个把它找到。开始——运行——输入msconfig在启动选项就可以看到启动的项目和命令还有位置，把你觉得十分可疑的前面的沟去掉就可以了。记下那些可疑的启动项命令的地址，将来杀的时候能够用到。这样可就看到病毒了，也可以在运行里面输入regedit（注册表），在HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion的Run、RunOnce，还有另外一个HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion的Run、RunOnce和RunOnceEx的位置上发现有与记录的相符的可疑键值，就可以右键选择删除，这样就取消了它们的开机自启动，以便下一步操作。
　　③、文件法：这个比较难麻烦，一步步来就好。我们先打开“我的电脑”工具栏里面的“工具选项”——“查看”——“隐藏受保护的操作系统文件（推荐）”的勾去掉，选择显示所有文件和文件夹，去以下的文件夹看看有没有可疑的文件。
    附上病毒木马喜欢隐藏的地方（系统盘用X：/表示）
X:\
X:\Program Files
X:\Program Files\Internet Explorer
X:\Program Files\Common Files
X:\WINOWS
X:\WINDOWS\SYSTEM
X:\WINDOWS\SYSTEM32
X:\WINDOWS\system32\drivers
X:\WINDOWS\Prefetch
X:\winows\temp
X:\windows\Downloaded Program Files
X:\Documents and Settings\Administrat\Local Settings\temp
X:\Documents and Settings\Administrat\Local Settings\Temporary Internet Files
X:\Documents and Settings\Administrator\Templates
    还有各个分区的这些文件夹里面都是病毒常常光顾的地方。有的文件很多，象SYSTEM32就有几百个，怎么找呢？建议使用右键排列图标——修改时间，这样就快很多了。
    前面说了几种的找毒的方法，根据上面的话，我们就可以知道病毒的名称和地址。那么还不开工，杀毒最好是在断网和在安全模式的时候，为什么呢？开机——按F8进入安全模式，使用文件法的前几步使隐藏文件显示，进去我的电脑按F3搜索界面，接着是搜索删文件。记得，在更多搜索选项要全选。删掉了之后还要记得在各个盘的回收站里面的东西全删去，每个盘的回收站都是叫Recycled的。
    首先进入到C:看看根目录是否存在不熟悉的文件，如果有，且日期为发现中毒现象当天，则删除之。
接着到c:\windows，首先按照修改时间顺序排列图标，查看最下面的文件，如果发现有当天新建的文件，且为没有见过的删除之。
    再进system32 同样按照修改时间顺序排列图标，查看最下面的文件，如果发现有当天新建的文件，且扩展名明显有问题的，比如“”msconfig.com”，别给它骗了，扩展名不对，又是当天新建的文件，肯定有鬼，删除之。
    再看看system32这儿有没有当天新建的文件夹，如果有且为不熟悉，同样删除之。
    退出到program files这个目录里，按照上面的方法进行查看。还需要查看的地方有IE文件夹(一定要进去看一看，这儿常常有问题)、common files文件夹。依次查看以上可能病毒木马隐藏的地方。
    最后，再查看注册表，在注册表中单击“编辑——查找”，输入可疑进程名，找到一处后，按F3进行进一步的查找，将查找到的所有可疑项删除。依次单击“开始——搜索”，再单击“所有文件和文件夹”按钮，在“全部或部分文件名”文本框中输入“*.exe”(*.exe指的是可疑进程名)。最后将找到的可疑文件(夹)全部选中，同时按住shift键，右击直接删除，不进回收站。
    最后清空临时文件夹。重启电脑，如果系统提示找不到文件，那么可能是注册表还有被改的地方，按照提示对注册表进行修改。当然有些病毒木马还会在其他盘下作怪，甚至破坏诸如.exe一类的文件，这些就需要进一步的清理和恢复工作了。

    近几年，木马活动越来越频繁。针对这些木马的查杀工具和方法也先后登场。反病毒、反黑客软件的反应速度远没有木马出现的速度快，所以，如果自己懂得手工查杀木马的方法，就可以应付自如了。　一、发现木马　　　
    由于木马是基于远程控制的程序，因此，中木马的机器会开有特定的端口。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网，会有其他端口，这是本机与网上主机通讯时打开的，如ie一般会打开连续的端口:1025，1026，1027等。　　　
    在dos命令行下用”netstat -na”命令可以看到本机所有打开的端口。如果发现除了以上所说的端口外，还有其他端口被占用(特别是木马常用端口被占用)，那可要好好查查了，很有可能中了木马。　　二、查找木马　　　
    要使你的系统能显示隐藏文件，因为一些木马文件属性是隐藏的。多数木马都会把自身复制到系统目录下并加入启动项(如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马就不执行了)，启动项一般都是加在注册表中的，具体位置在：hkey_local _machine\software\microsoft\windows\
currentversion下所有以“run”开头的键值;hkey_current_user\software\microsoft\windows\
currentversion下所有以“run”开头的键值;hkey_users\default\software\microsoft\windows\
currentversion下所有以“run”开头的键值。 　　　
    不过，也有一些木马不在这些地方加载，它们躲在下面这些地方: 　　　
●在win.ini中启动 　　　
   在win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有程序，比方说是: run=c:\windows\file.exe或load=c:\windows\file.exe，要小心了，这个file.exe很可能就是木马。　　　
●在system.ini中启动 　　　
   system.ini位于windows的安装目录下，其[boot]字段的shell=explorer.exe是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样:shell=explorer. exe window.exe，注意这里的window.exe就是木马程序。另外，在system.ini中的[386enh]字段，要注意检查在此段内的“driver=路径\程序名”，这里也有可能被木马所利用。再有，在system.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所。　　　
●在autoexec.bat和config.sys中加载运行 　　　
   这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种方法并不多见，但也不能因此而掉以轻心。　　　
●在winstart.bat中启动 　　　
   winstart.bat是一个特殊性丝毫不亚于autoexec.bat的批处理文件，也是一个能自动被windows加载运行的文件。它多数情况下为应用程序及windows自动生成，在执行了win.com并加载了多数驱动程序之后开始执行。由于autoexec.bat的功能可以由winstart.bat代替完成，因此木马完全可以像在autoexec.bat中那样被加载运行，危险由此而来。　　　　
●启动组 　　　
   木马隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此，还是有木马喜欢在这里驻留的。启动组对应的文件夹为:c: \windows\start menu\programs\startup，在注册表中的位置:hkey_current_user\software\microsoft\windows\ currentversion\explorer\shell folders startup=c:\windows\start menu\programs\startup。 　　　
●*.ini 　　　
   即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的了。　　　
●修改文件关联 　　　
   修改文件关联是木马常用手段(主要是国产木马，老外的木马大都没有这个功能)，比方说，正常情况下txt文件的打开方式为notepad.exe文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的冰河就是这样干的。一旦你双击一个txt文件，原本应用notepad打开该文件的，现在却变成启动木马程序了。请大家注意，不仅仅是txt文件，其他诸如htm、exe、zip、com等都是木马的目标。对付这类木马，只能检查hkey_classes_root\文件类型\shell\open\command主键，查看其键值是否正常。　　　
●捆绑文件 　　　
   实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后，控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样，即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么，每一次windows启动均会启动木马。　　　手工清除木马　　　如果发现自己的硬盘总是莫明其妙地读盘，软驱灯经常自己亮起，网络连接及鼠标、屏幕出现异常现象，很可能就是因为有木马潜伏在你的机器里面，此时，就应该想办法清除它们了。　　　当发现可疑文件时，可以试试能不能删除它，因为木马多是以后台方式运行，通过按“ctrl+alt+del”是找不到的，而后台运行的应是系统进程。如果在前台进程里找不到，而又删不了(提示正在被使用)，那就应该注意了。　　　那么，如何清除木马而不误删其他有用文件呢？当你通过上述方法找到可疑程序时，你可以先看看该文件的属性。一般系统文件的修改时间应是1999年或1998年，而不应该是最近的时间(安装最新的win2000、winxp的系统除外)，文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前，那八成就有问题了。　　　首先，查进程。检查进程可以借助第三方软件，如windows优化大师，利用其“查看进程”功能把可疑进程杀掉，然后，再看看原来怀疑的端口还有没有开放(有时需重启)，如果没有了，那说明杀对了，再把该程序删掉，这样，就手工删除了这个木马了。　　　如果该木马改变了txt、exe或zip等文件的关联，那应把注册表改过来，如果不会改，那就把注册表改回到以前的，就可以恢复文件关联，可通过在dos下执行“scanreg/restore”命令来恢复注册表，不过这条命令只能恢复前5天的注册表(这是系统默认的)。此举可轻松恢复被木马改变的注册表键值，简单易用。