木马病毒清除的通用解法

“特洛伊木马”程序会尽力隐藏自己。主要的方式有:把自己藏在任务栏里，这是最基本的。只要Form的Visible属性设置为False，ShowInTaskBar设置为False，程序运行时就不会出现在任务栏中。在任务管理器中隐形:将程序设置为“系统服务”很容易伪装自己。当然，也会悄悄开始。当然，你不会期望用户每次启动时都点击“特洛伊木马”图标来运行服务器。特洛伊木马会在用户每次启动时自动加载服务器。特洛伊木马会在Windows系统启动时自动加载应用程序。比如startup group、win.ini、system.ini、registry等。都是特洛伊人藏身的好地方。先说木马是如何自动加载的。

在win.ini文件中，在[WINDOWS]下，“run=”和“load=”是加载“木马”程序的可能方式，一定要小心注意。一般来说，它们的等号后面没有什么。如果您发现它们后面的路径和文件名不是您熟悉的启动文件，您的计算机可能中了特洛伊木马。当然，你要看清楚，因为很多“木马”，比如“AOL木马”，都是把自己伪装成command.exe文件，如果你不注意，可能不会发现它们不是真正的系统启动文件。

在system.ini文件中，[BOOT]下有一个“shell=文件名”。正确的文件名应该是“explorer.exe”。如果不是“explorer.exe”而是“shell = explorer.exe程序名”，那么后面的程序就是“木马”程序，说明你已经被木马攻击了。

注册表中的情况是最复杂的。用regedit命令打开注册表编辑器，点击到目录:“HKEY-local-machine \ software \ Microsoft \ windows \ current version \ run”看看有没有你不熟悉的键值中的自动启动文件，扩展名为EXE。这里要记住:有些“木马”程序生成的文件与系统自带文件非常相似，想通过伪装蒙混过关，比如“酸电池1.0版木马”，将注册表“HKEY-local-machine \ software \ Microsoft \ windows \ current version \ Run”下的Explorer键值改为Explorer = " c:\ windows \ Explorer . exe”，“木马”程序与真正的Explorer只有“I”和“L”的区别。当然，注册表中还有很多地方可以隐藏“木马”程序，比如“HKEY-当前-用户\软件\微软\ windows \当前版本\运行”和“HKEY-用户\ * * * \软件\微软\ windows \当前\运行”目录都有可能。唯一的办法就是在“HKEY-local-machine \ software \ Microsoft \ windows \ current version \ Run”下找到“木马”程序的文件名，然后搜索整个注册表。

了解了“木马”的工作原理，就很容易查杀“木马”。如果发现了“木马”，最安全有效的方法就是立即断开电脑与网络的连接，防止黑客通过网络攻击你。然后编辑win.ini文件，将[WINDOWS]下的“run= "特洛伊木马程序”或“load= "特洛伊木马程序”改为“run=”和“load =”；编辑system.ini文件，将[BOOT]下的“shell =' trojan' file”改为“shell = explorer . exe”；在注册表中，使用regedit编辑注册表。先在“HKEY-本地-机器\软件\微软\ windows \当前版本\运行”下找到“木马”程序的文件名，然后在整个注册表中搜索替换“木马”程序。有时候需要注意的是，有些木马程序并不只是删除HKEY-local-machine \ software \ Microsoft \ Windows \ current version \ run下的木马键值，因为有些木马，比如BladeRunner，你删除了会立刻自动添加。重新启动计算机，然后删除注册表中所有木马文件的键值。至此，我们完成了。