关于病毒,教你一手

Simen.Jam`

手工查杀木马的通用方法
一、关于木马
   木马，其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序称为守护进程。就我们前面所讲的木马来说，被控制端相当于一台服务器，控制端则相当于一台客户机，被控制端为控制端提供服务。
二、发现木马
   由于木马是基于远程控制的程序，因此中木马的机器会开有特定的端口。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网冲浪会有其他端口，这是本机与网上主机通讯时打开的，IE一般会打开连续的端口:1025，1026，1027……，QQ会打开4000、4001……等端口。
   在DOS命令行下用netstat -na命令可以看到本机所有打开的端口。如果发现除了以上所说的端口外，还有其他端口被占用（特别是木马常用端口被占用），那可要好好查查了，你很有可能“中彩”了！比方说木马“冰河”所占用的端口是7626，黑洞2001所占用的端口是2001，网络公牛用的是234444端口……如果发现这些端口被占用了，基本上就可以判定: 你中木马了！
三、查找木马
   首先要使你的系统能显示隐藏文件，因为一些木马文件属性是隐藏的。
   多数木马都会把自身复制到系统目录下并加入启动项（如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马就不执行了），启动项一般都是加在注册表中的，具体位置在：
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值; HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值;HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值。
   如木马冰河的启动键值是:
   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]@="C:\\WINDOWS\\SYSTEM\\KERNEL32.EXE"
   广外女生1.51版的启动键值是:
   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
   "Diagnostic Configuration"="C:\\WINDOWS\\SYSTEM\\DIAGCFG.EXE"
   蓝色火焰0.5的启动键值是:
   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
   "Network Services"="C:\\WINDOWS\\SYSTEM\\tasksvc.exe"
   不过，也有一些木马不在这些地方加载，它们躲在下面这些地方:
   ①在Win.ini中启动
   在Win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有后跟程序，比方说是这个样子:
   run=c:\windows\file.exe
   load=c:\windows\file.exe
   要小心了，这个file.exe很可能是木马。
   ②在System.ini中启动
   System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe 是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样:shell=Explorer. exe window.exe，注意这里的window.exe就是木马程序。
   另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver= 路径\程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、 [drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所。
   ③在Autoexec.bat和Config.sys中加载运行
   但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种方法并不多见，但也不能因此而掉以轻心哦。
   ④在Winstart.bat中启动
    Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。
   ⑤启动组
   木马隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C: \Windows\Start Menu\Programs\StartUp，在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。
   ⑥*.INI
   即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的了。
   ⑦修改文件关联
   修改文件关联是木马常用手段（主要是国产木马，老外的木马大都没有这个功能），比方说正常情况下txt文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的。“冰河”就是通过修改
   HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值，将“C: \Windows\Notepad.exe %1”改为“C:\Windows\System\SYSEXPLR.EXE %1”，这样一旦你双击一个txt文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了，好狠毒哦！请大家注意，不仅仅是txt文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马，只能检查HKEY_CLASSES_ROOT\文件类型\shell\open\command 主键，查看其键值是否正常。
   ⑧捆绑文件
   实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。
   当发现可疑文件时，你可以试试能不能删除它，因为木马多是以后台方式运行的，通过按Ctrl+Alt+Del是找不到的，而后台运行的应是系统进程。如果在前台进程里找不到，而又删不了（提示正在被使用）那就应该注意了。
四、手工清除
   如果你发现自己的硬盘总是莫明其妙地读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象，很可能就是因为有木马潜伏在你的机器里面，此时就应该想办法清除这些家伙了。
   那么如何清除木马而不误删其他有用文件呢？当你通过上述方法找到可疑程序时，你可以先看看该文件的属性。一般系统文件的修改时间应是1999年或1998年而不应该是最近的时间（安装最新的Win2000、 WinXP的系统除外），文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前，那八成就有问题了。
   首先查进程，检查进程可以借助第三方软件，如Windows优化大师，利用其“查看进程”功能把可疑进程杀掉后，然后再看看原来怀疑的端口还有没有开放（有时需重启），如果没有了那说明你对了，再把该程序删掉，这样你就手工删除了这匹木马了。
   如果该木马改变了TXT、EXE或ZIP等文件的关联，那你应把注册表改过来，如果不会改，那就把注册表改回到以前的就可以恢复文件关联，可通过在DOS下执行scanreg/restore命令来恢复注册表，不过这条命令只能恢复前五天的注册表（这是系统默认的）。此举可轻松恢复被木马改变的注册表键值，简单易用。

有效防御病毒的十大忠告
   近日全球计算机病毒猖獗，怎样有效防御计算机病毒、蠕虫和特洛伊木马呢？请详细阅读以下十大忠告：
   1、用常识进行判断。
   决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不予打开。千万不可受骗，认为你知道附件的内容，即使附件看来好象是.jpg文件 -- 因为Windows允许用户在文件命名时使用多个后缀，而许多电子邮件程序只显示第一个后缀，例如，你看到的邮件附件名称是wow.jpg，而它的全名实际是wow.jpg.vbs，打开这个附件意味着运行一个恶意的VBScript病毒，而不是你的.jpg察看器。
   2、安装防病毒产品并保证更新最新的病毒定义码。
   建议你至少每周更新一次病毒定义码，因为防病毒软件只有最新才最有效。需要提醒你的是，你诺是购买的诺顿防病毒软件，不仅是更新病毒定义码，而且同时更新产品的引擎，这是与其它防病毒软件所不一样的。这样的好处在于，可以满足新引擎在侦破和修复方面的需要，从而有效地抑制病毒和蠕虫。例如，赛门铁克的所有产品中都有“实时更新”（LiveUpdate）功能。
   3、首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描。
   当你首次在计算机上安装防病毒软件时，一定要花费些时间对机器做一次彻底的病毒扫描，以确保它尚未受过病毒感染。功能先进的防病毒软件供应商现在都已将病毒扫描做为自动程序，当用户在初装其产品时自动执行。
   4、插入软盘、光盘和其他可插拔介质前，一定对它们进行病毒扫描。
   确保你的计算机对插入的软盘、光盘和其他的可插拔介质，及对电子邮件和互联网文件都会做自动的病毒检查。
   5、不要从任何不可靠的渠道下载任何软件。
   这一点比较难于做到，因为通常我们无法判断什么是不可靠的渠道。比较容易的做法是认定所有较有名气的在线图书馆未受病毒感染，但是提供软件下载的网站实在太多了，我们无法肯定它们一定都采取了防病毒的措施，所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。
   6、警惕欺骗性的病毒。
   如果你收到一封来自朋友的邮件，声称有一个最具杀伤力的新病毒，并让你将这封警告性质的邮件转发给你所有认识的人，这十有八九是欺骗性的病毒。建议你访问防病毒软件供应商，如赛门铁克的网站www.symantec.com/avcenter，证实确有其事。这些欺骗性的病毒，不仅浪费收件人的时间，而且可能与其声称的病毒一样有杀伤力。
   7、使用其它形式的文档，如.rtf（Rich Text Format）和.pdf（Portable Document Format）。
   常见的宏病毒使用Microsoft Office的程序传播，减少使用这些文件类型的机会将降低病毒感染风险。尝试用Rich Text存储文件，这并不表明仅在文件名称中用.rtf后缀，而是要在Microsoft Word中，用“另存为”指令，在对话框中选择Rich Text形式存储。尽管Rich Text Format依然可能含有内嵌的对象，但它本身不支持Visual Basic Macros或Jscript。而pdf文件不仅是跨平台的，而且更为安全。当然，这也不是能够彻底避开病毒的万全之计。
   8、不要用共享的软盘安装软件，或者更为糟糕的是复制共享的软盘。
   这是导致病毒从一台机器传播到另一台机器的方式。同时，该软件没有注册也会被认为是非正版软件，而我们基本可以较为合理地推断，复制非法软件的人一般对版权法和合法使用软件并不在乎，同样，他们对安装和维护足够的病毒防护措施也不会太在意。盗版软件是病毒传染的最主要渠道。
   9、禁用Windows Scripting Host。
   Windows Scripting Host(WSH) 运行各种类型的文本，但基本都是VBScript或Jscript。换句话说，Windows Scripting Host在文本语言之间充当翻译的角色，该语言可能支持ActiveX Scripting界面，包括VBScript, Jscript或Perl，及所有Windows的功能，包括访问文件夹、文件快捷方式、网络接入和Windows注册等。许多病毒/蠕虫，如Bubbleboy和KAK.worm使用Windows Scripting Host，无需用户点击附件，就可自动打开一个被感染的附件。
   10、使用基于客户端的防火墙或过滤措施。
   如果你使用互联网，特别是使用宽带，并总是在线，那就非常有必要用个人防火墙保护你的隐私并防止不速之客访问你的系统。如果你的系统没有加设有效防护，你的家庭地址、信用卡号码和其它个人信息都有可能被窃取。
邮件防毒九招
   进入新千年以来，病毒与反病毒之间的正邪较量非但没有停止，昨天还是"求职信"，今天已经是"伪调式机"了。不少朋友一定都遇见过邮件病毒，也许对去年的“妮姆达”、今年的“求职信”变种等病毒还心有余悸，大家或者使用很多杀毒软件，要不收到新邮件不敢打开，产生恐惧心理。想让自己的机器速度更快吗，其实对付邮件病毒是要讲技巧的，办法很简单，但非常实用，现在就让我来告诉大家九招防邮件病毒。
   第一式：选择一款可靠的防毒软件。要对付邮件病毒，在邮件接收过程中对其进行病毒扫描过滤有害病毒是非常有效的手段。用户可以借杀毒软件中的邮件监视功能来实现,设置了邮件监视功能，可以在接收邮件过程中对病毒进行处理，有效防止邮件病毒的侵入。
   第二式：定期升级病毒库。特别是防病毒软件厂商提供的升级服务是非常周到的，其软件病毒库都处在时时更新状态中，厂商会根据最近流行病毒的情况，随时更新病毒代码到病毒库中，如果用户不及时升级，就很难对新病毒进行查杀，这时就不能怪杀毒软件找不到病毒了。
   第三式：识别邮件病毒。一些邮件病毒具有广泛的共同特征，找出它们的共同点可以防止一部门病毒的破坏。当收到邮件时，先看邮件大小，如果发现邮件中无内容，无附件，邮件自身的大小又有几十K或者更大，那么此邮件中极有可能包含有病毒，可直接从电脑中删除，然后再清空废件箱；记住，下一步的操作非常重要，在清空废件箱后，一定要压缩一遍邮箱，不然杀毒软件在下次查毒时还会报有病毒；如果发现收到的邮件对方地址非常陌生，域名对极不像正常的国内邮箱，那就很有可能是收到病毒了，这个时候，也可以选择直接删除。看附件的后缀名，如果是双后缀那么极有可能是病毒，因为邮件病毒会选择隐藏在附件中，直接删除即可。
   第四式：让邮件监视功能起作用。很多用户在购买了杀毒软件后，会因为一些原因而不打开实时监控防火墙，因为杀毒软件在运行中会占用一些系统资源，不过这是不可避免的，就看用户怎么调节使用了。如果不打开实时监视功能，会让邮件病毒和其他病毒趁机钻电脑的空子，没有保护措施的电脑在病毒面前几乎没有抵挡能力。因此，要安全保护电脑，病毒监视功能就一定要运行。
   第五式：投石问路。当遇到带有附件的邮件时，如果附件为可执行文件（*.exe、*.com）或带有宏功能的word文档时，不要选择打开，可以用两种方法来检测是否带有病毒。一种方法是，利用杀毒软件的邮件病毒监视功能来过滤掉邮件中的病毒。另一种方法是，把附件先另存在硬盘上，然后利用杀毒软件进行进行查毒。
   第六式：尽量不在“地址薄”中设置联系名单。因为一但被病毒感染，病毒会通过邮件“地址薄”中的联系人来传播。如果要发送邮件，可以进入收件箱，打开对方发来的邮件，利用“回复”功能来发送新邮件，这么多客户与朋友，进行回复当然会有点不方便，可以新建一个文本文件，把客户的邮件地址全都列入其中，要发新邮件的时候，利用复制、粘贴快捷键把地址送到收件人栏中，这样是麻烦了一点，不过可以把最要客户与朋友的名单列进去，万一在病毒爆发的时候，也不会造成不必要的损失。用此方法可以避免病毒的扩散，特别是有商业关系的客户不会因为病毒事件而使公司受到损失。
   第七式：少使用信纸模块。大部分邮件收发软件如中国用户常用的foxmail，都提供了信纸模块，使得人们在发信中可以选择更美丽的界面，但是，美丽过后隐藏着病毒的威胁。往往信纸模块都是一些脚本文件，如果模块感染了脚本病毒例如VBS/KJ、欢乐时光等，那用户使用信纸发出去的邮件都带有病毒了。
   第八式：设置邮箱自动过滤功能。通过WEB上网收发邮件的朋友可以使用邮箱提供的自动过滤邮件功能，这样不仅能够防止垃圾邮件，还可以过滤掉一些带病毒邮件不进行收件箱中，这样也减少了病毒感染的机会。做法是，把陌生的邮件发送人地址列入自动过滤，以后就不会再有相同地址的邮件出现了。
   第九式：不使用邮件软件邮箱中的预览功能。当今，一些传播与破坏力比较大的病毒，往往都是通过邮件预览时进行感染，并不需要打开邮件。如果使用outlook收发邮件，建议用户关掉邮箱工具的预览项；或者升级微软的最新补丁，可以预防outlook接收邮件时进行感染。如果使用的是foxmail，在当前帐户属性中模块项选择纯文本格式。
   总之，如果掌握电脑使用中的一些小技巧，特别是在网上畅游的同时，会大大减少邮件病毒或者其它病毒对计算机的破坏。

查注册表　帮您手工清除电脑里的病毒和木马
   现在上网的朋友越来越多了，其中有一点不可避免的就是如何防范和查杀病毒和恶意攻击程序了。但是，如果不小心中了病毒而身边又没有杀毒软件怎么办？没有关系，今天我就来教大家怎样轻松地手工清除藏在电脑里的病毒和木马。
   查注册表
   注册表一直都是很多木马和病毒“青睐”的寄生场所，注意在检查注册表之前要先给注册表备份。
   1、 检查注册表中  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice， 查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为EXE，然后记住木马程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要删除，接着到电脑中找到木马文件的藏身地将其彻底删除。比如“爱虫”病毒会修改上面所提的第一项，BO2000木马会修改上面所提的第二项。
   2、 检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page)，如果发现键值被修改了，只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。
   3、检查HKEY_CLASSES_ROOT\inifile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来，很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。例如“罗密欧与朱丽叶”、BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的默认打开程序。
   检查你的系统配置文件
   其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe)，在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini，并且可以选择启动系统的时间。
   1、检查win.ini文件(在C:\windows下)，打开后，在“WINDOWS”下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。在一般情况下，在它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。比如攻击QQ的“GOP木马”就会在这里留下痕迹。
   2、检查system.ini文件(在C:\windows下)，在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，然后你就要在硬盘找到这个程序并将其删除了。

SiMen.Naomi

转贴的时候先看下.....


有好几个地方不对......