文档介绍：教你一招,赤手空拳摆平顽固木马
[复制本帖链接]
姚鉴洋
发表于 2006-12-15 20:00:07
[此帖被浏览 44832 次,回复 153 次]
最后由姚鉴洋于 2006-12-19 18:04:58 修改
本主题由 lainyin 于 2006-12-15 20:11:26 设为精华2
这个方法是告诉大家如何在用第三方工具无效的情况下,用手工操作,摆平那些连杀毒软件也无法搞定的顽固木马(病毒)。
    自从发表有关Rootkit木马清除方法的帖子以来,http://softbbs./?tid=6066133
有部分网友给我留言说,按那帖子介绍的方法去处理还是杀不掉病毒。系统每次启动时杀毒软件都仍然发现病毒,但也总杀不了,只能“隔离”。
    经过研究发现,原来这些木马隐藏得更加深,把自己伪装成了系统的底层设备的驱动程序,这样,就算在安全模式下也系统同样加载这些木马程序,杀毒软件奈何它不得,只好“隔离”了事。也许有人会想到用Unlocker等的工具去删除它们,但实际上根本不行,这些工具会提示说“重启后删除”,但重启后木马程序“岿然不动”。
    既然杀毒软件和第三方工具都无效,那就只有靠我们自己啦。俗话不是说“物是死的、人是活的”嘛,人总该比杀毒软件要聪明些吧。要删除这些木马,方法只剩两个了,一是重装系统,一是手工清除。如果不喜欢重装系统的话,那么手工清理自然是唯一选择。
    当然,手工清理也是颇有难度的,因为这些木马变成了最底层的系统设备,一旦系统启动(包括安全模式),这个设备(木马程序)也被启用,木马文件不能删除(因为正在被系统使用),它在系统中注册的服务也是不可以被删除的。别以为这是“权限”不够,即使赋予Everyone“完全控制”权限,也是无济于事的,只可以删除其中一部份“键值”,但那个“默认”键值总是删除不了的,而且,刷新注册表后那些被删掉的东西又会恢复过来。
    要搞定它们,就必须用“釜底抽薪”的办法——删除木马伪装的系统设备。可是,说的容易,做的难,因为木马作者也不是傻子,不再像http://softbbs./?tid=6066133这个帖子中的那样,虚拟的系统设备的名称跟木马程序的名称相同,他会给虚拟设备另起一个名字,在众多的虚拟系统设备中,你看得晕乎乎的,很难分别出哪个是木马伪装的设备(除非你平时对这些设备非常了解)。
    难道就没办法了吗?当然不是啦,因为“人是活的”啊!我们可以用“枚举”法,这是高中时代老师教我们的逻辑推理方法!呵呵,就用这个,虽然方法有点笨,但非常简单、有用。
    方法是这样的:右击“我的电脑”→属性→硬件→设备管理→查看→显示隐藏的设备,点一下“非即插即用驱动程序”前边的+号,就会列出所有的虚拟设备。找到你认为可疑的设备,然后右击→属性→驱动程序→驱动程序详细信息,就可以看到它是在调用哪一个设备驱动程序。()如下图:
    一个一个地找……,哈哈!功夫不负有心人,终于找到了!
    接下来就好办啦。回过头来再右击那个设备,然后选“停用”或“卸载”,一般应选“卸载”,为保险起见,也可以先选“停用”,待确认后再“卸载”。
   “ 停用”或“卸载”这些虚拟设备后,