[转帖] 手动拒绝木马入侵

lfspecter

一、开机自动运行解决方法

??1、Windows优化大师：打开“开机速度优化”是否发现某项是与你的程序无关，在它的前面格里单击（程序是空的而有可选项那它一定是木马！）再单击优化即可。最好先用“系统安全优化”右上角“扫描”单击看看。

??2、超级兔子魔法设置：原理与Windows优化大师相同，打开“自动运行”单击左上角的“十”（注：4.2版起“十”将改为可选项）在“进程管理”扫描一下，然后在“自动运行”里看看（特别注意没文字标出的项，可能是木马，但也要小心匆删重要项！）

??3、杀毒软件：最简单！把所有硬盘扫描一下便OK，但注意病毒库更新，推荐杀毒软件：木马黑星、金山毒霸2002、金山网镖2002、KV3000、瑞星2002……

??4、注册表法：在windows的运行里输入“regedit”进入后按地址：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，进入开机运行的注册表项，是否发现某项是与你的程序无关（程序是空的而有可选项那它一定是木马！），按右键删除即可。但也要小心。

??二、捆绑WINDOWS程序解决方法

　　解决捆绑须先安装一个进程管理工具，只要可以查看进程的什么工具也可（本文以“Windows优化大师”的“Windows进程管理”为例）。

　　捆绑WINDOWS程序的木马可分为以下几种：

??1、通过写入注册表的文件关联进行捆绑。清除方法：

　　当TXT扩展名被捆绑——先打开“Windows进程管理”记下进程打开TXT扩展名的文件后再关闭，刷新一下“Windows进程管理”是否发现多了一项，没错了那就是木马（如果没多了一项的话证明TXT扩展名没被捆绑）！被捆绑了就在任何窗口下打开：查看→文件夹选项→文件类型→文本文档→编辑→再按编辑，在“用于执行操作的应用程序”下输入“C:\WINDOWS\NOTEPAD.EXE”单击确定，退出即可。

??当Run的值没有存在木马而又自动运行——在windows的运行里输入“Msconfig”，进入“系统配置实用程序”，在“system.ini”的页面下的“[boot]”里看看某程序的后面是否还有其他程序。例如“shell=Explorer.exe net.exe”那么net.exe就是木马，可以通过“编辑”来删除net.exe。如果“system.ini”没发现木马可检查“Win.ini”的“[windows]”默认为:“load= ”、“ run= ”、“NullPort=None”，如果有不同之处可能那个就是木马把它删除即可

??2、真真正正的Windows文件被捆绑了。

　　清除方法：先打开“Windows进程管理”记下进程，呈现：当运行某程序时发现多出一个程序（除自己运行的程序除外），因为Windows文件已被真真正正的捆绑了，所以只有以没捆绑覆盖已捆绑。

??如果该程序正在运行而无法覆盖，可用以下方法：在windows的主盘（大多为C:\）下的Autoexec.bat右键按下编辑，假如正常的文件为EXPLORER.EXE放于D盘，带木马的文件在c:\windows的目录下，侧加入语句：“Copy d:\EXPLORER.EXE c:\windows”，保存后重启，已把正常的文件为EXPLORER.EXE放于c:\windows了。

??免疫：好简单！只要定时给注册表备份，windows下所有的EXE文件备份，system.ini备份，win.ini备份，boot.ini备份，Config.ini备份，Autoexec.bat备份……有需要时可就地取材（旁人：这倒不如把Windows都备份，哈哈）。

??强烈推荐使用金山网镖2002，即使中了木马，末经你同意，木马也毫无作用。

??文章已到了尾声，最后送给大家常见木马的清除方法：

??1、冰河的几种清除方法：

??①自带的卸载功能。 ??②部分杀毒软件。（推荐：金山毒霸还不错，能查杀2.2、5.0、6.0冰河） ??③修改注册表。运行regedit，查找下面的键值： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservice

??第一步，删除相对的可疑键值（不熟悉的朋友不要乱动）。第二步，重新启动时转到DOS下，删除冰河服务端（一般默认为"c:\windows\c_server.exe"，会变更），这一步很重要，下面再重启计算机即可。

??2、广外女生的清除方法：

??①杀毒软件。（这个不好说，较真起来还真不清楚谁能杀掉谁） ??②广外女生自带的卸载功能。（这个最方便。自机试过，没有后遗症） ??③修改注册表。运行regedit，查找下面的键值，先查看

??HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\，但是先不要修改，因为如果这时就修改注册表的话，DIAGCFG.EXE进程仍然会立刻把它改回来的。打开“任务管理器”，找到DIAGCFG.EXE这个进程，选中它，按“结束进程”来关掉这个进程。注意，一定也不要先关进程再打开注册表管理器，否则执行regedit.exe时就又会启动DIAGCFG.EXE。把HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\的键值由原来的C:\WINNT\System32\DIAGCFG.EXE "%1" %*改为"%1" %*。这时就可以删除C:\WINNT\System32\目录下的DIAGCFG.EXE。

??3、无赖小子2.5版清除方法：

??①自带的卸载功能。 ??②木马克星。 ??③修改注册表：打开regedit，查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，删除它在注册表中的键值，再重启转如DOS下删除C：\windows\system下的msgsvc.exe这个文件（如果服务端已经和可执行文件捆绑在一起了，那就只有将那个可执行文件也删除了！在删除前请做好备份）。