LV. 27
GP 136

【心得】判斷木馬存在與否&解木馬教學!!(圖已捕)

樓主 心靈控制大師 sc024500
GP95 BP-
本文為解除木馬基本概念,但這不代表病毒永遠不會改變
因此當本文內容已無法解決你的問題時
就多詢問版友吧!

在開始動作之前『一定要』把網路線拔掉!!

要不然就前功盡棄了...

首先~檢查木馬程式有無存在於你的電腦
一、判斷方式

1.檢查防毒程式或防木馬程式:
最簡單就是看看防毒程式或防木馬程式有沒有BeBe叫摟~








防毒程式無法更新!?那請到這裡找到一個檔案...
C:/WINDOWS/system32/drivers/etc
理頭有一個叫做"host"的檔案
把它用記事本打開...
然後把"127.0.0.1 localhost"這一行以後的文字刪除即可!

但是如果防毒程式或防木馬程式都沒有異狀,為何系統還是異常的緩慢呢?

2.檢查網路線路、設備






其實~你可以檢查看看接你電腦網路線的HUB、IP分享器、小烏龜(ADSL主機)的上下載燈有沒有一直閃爍不停
(因為電腦在沒有瀏覽網頁、或是開IM軟體時,並不會時時下載資料,如果發生這種狀況,那百分之80就是中木馬了)

3.系統是否有部分功能無法開啟:
聰 明一點的木馬都知道要如何防身,最常用的方式就是鎖死系統服務,包括開始→執行指令、msconfig(系統公用程式)、系統管理元件之所有工具、工作管 理員、regedit(登錄編輯器)以及cmd(命令字元)甚至防毒程式或防木馬程式,而當這些系統關鍵服務通通被鎖定了怎麼辦?

二、解木馬方式



1.將系統啟動至安全模式
木馬程式就是這點比病毒還好處理,你的系統絕對可以進去安全模式,只要進入安全模式,木馬就馬上就出現了~

如何啟動安全模式呢?請在開機時狂按鍵盤上的"F8"鍵,直到出現開機選單,然後選擇"安全模式"就可以進入安全模式
(木馬的藏身之處就是在regidit(登錄編輯器)中的"run"裡面,因為安全模式只會載入基本的系統服務,也就是說系統根本不會去載入regedit(登錄編輯器)中的"run"裡面相關的值,而木馬當然就不會被啟動啦!)

2.找出木馬所在
這大家都知道了吧?正常模式中的防毒程式或防木馬程式也許在木馬的阻饒下不能發揮作用,但是到了安全模式就一定能啟用摟~趕快搬出它們來大掃特掃吧!





3.終結木馬
只要找到木馬的檔案之後,也許防毒程式或防木馬程式無法自動解除,但是你這個時候也可以自己解決了~

此處以"狀況"類型分別處理方式,當然可混搭使用XD
1.常見DLL+EXE搭配(藉助unlocker以及ProcessViewer)



















2.以服務、Drivers掛入系統(Drivers/xxxx.sys)
這種的就相當麻煩了,因Drivers是系統啟動便會載入,再加上服務啟用的話,將導致在一般視窗模式下完全無法動這些SYS檔的手腳

因此這個時候必須透過SREng將服務關閉並且刪除,重啟系統確定服務沒有啟動即可刪除檔案



註1:這個步驟對初學者比較危險,所以動作之前請先備分原先的機碼

開始->執行->鍵入regedit,接下來選擇"檔案"->"匯出",將匯出範圍改為"全部",日後如發生問題可直接透過此檔復原

3.防護軟體找不到病毒或是找到病毒刪除了卻再生(rootkit植入)
這裡稍為解釋一下rootkit是什麼
Rootkit(全稱為A program for hacking root. ,多半時候會因為發音省略"T")
顧名思義便是一種黑客用來植入於使用者電腦中的程式
利用這個假程式隱藏並執行一般木馬該做的動作(如竊取封包、紀錄鍵盤等)
甚至當附掛之木馬遭移除時可以提供開啟後門的管道,透過建立新帳戶讓黑客重新取得系統權限
Rootkit並不是一個程式,而是集合許多工具的雜燴,再透過包裝隱藏惡意代碼來達到迴避防護軟體追查的目的

上面的解釋看不懂也沒關係,只是要跟你表示防護軟體不是萬能的(延伸閱讀->靠防護軟體救你!?多靠自己吧!)
此時該怎麼辦?用剛剛的SREng掃描份系統的報表給會看以及解決問題的人看就好啦~
SREng報表會掃描你系統目前的狀況,將開機時會啟動的程式、服務、驅動,hosts組態、IE ActiveX插件、系統目前啟動的程序等等訊息,絕對有助於問題徹底根除









4.我沒辦法上網或正常更新防毒程式!(Winsock遭修改)
當系統連線發生異常(包含已取得IP卻無法開啟網頁或是根本無法取得IP)
可以嘗試以下工具
無法連線的問題請使用這個工具->WinSockFix
至於無法正常更新防毒程式請參考上面有關hosts的項目

5.防毒軟體無法正常啟動!(遭設檔案鏡射或服務遭關閉、刪除)
請參考上面第三點掃瞄SREng報表,此問題無法單靠手動處理

6.所有EXE檔甚至SREng也無法啟動!(EXE執行目標遭竄改)
首先~請先到控制台->資料夾選項->檢視->勾選"顯示已知檔案類型之副檔名"
之後把SREngPS.EXE的"EXE"改成BAT或COM就可以正常執行了
之後請到系統修復->文件關聯的部份,選擇EXE類型並且修復

7.雖然知道病毒檔名了,但是我卻找不到!(隱藏檔案項目啟動)
請先到控制台->資料夾選項->檢視->勾選"顯示系統保護檔案"以及選擇"顯示所有隱藏資料夾及檔案"兩個項目,有出現訊息按下確定就好了
如果做了以上動作依然無效的話...那就代表你開啟隱藏檔案的功能被鎖定了
很多時候病毒為了隱藏方便會將系統此功能關係,使得隱藏檔案無法顯示
造成清理病毒上的困擾
雖然有一大堆額外的檔案管理工具,但總沒有直接在系統操作來的直覺
因此這裡提供一個小東西給大家使用
請將以下內容複製到記事本(不含分隔線)
==============我是分隔線==============
Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001

==============我是分隔線==============
並且另存為.REG檔(如檔案名稱命名為FolderHidden.reg)
最後直接對該檔案點擊兩下,確認匯入登錄編輯器即可開啟顯示隱藏檔案功能
(但可能會因為有病毒執行阻饒值寫入或將此值重新寫為隱藏,因此在動作前請先確認程序列表無病毒執行)

8.我毫無頭緒該從哪裡開始做....
請參考上面第三點掃瞄SREng報表,此問題無法單靠這篇文處理XD[/color] [/color] [/color] [/color]
95
-
LV. 27
GP 314
2 樓 噗噗寶貝 zmark0902
GP0 BP-

作者標示-非商業性

本授權條款允許使用者重製、散布、傳輸以及修改著作,但不得為商業目的之使用。使用時必須按照著作人指定的方式表彰其姓名。

※ 引述《sc024500 (心靈控制大師)》之銘言:
已收入精華區&置頂區5天!
0
-
LV. 19
GP 133
3 樓 星光☆〃 jerrylee8899
GP0 BP-
感謝提供

寫的非常詳細

GP+1
0
-
LV. 10
GP 13
4 樓 瓊月 limi30108
GP0 BP-
麻煩板主把這篇文章放在置頂好嗎?

這篇文章也很實用,讓其他人也受益!

謝謝!麻煩囉!
0
-
LV. 27
GP 314
5 樓 噗噗寶貝 zmark0902
GP0 BP-
※ 引述《limi30108 (瓊月)》之銘言:
> 麻煩板主把這篇文章放在置頂好嗎?
> 這篇文章也很實用,讓其他人也受益!
> 謝謝!麻煩囉!

我想讓板友知道精華區的用處。

為什麼要有精華區? ....

為了自己電腦好 吸收知識,不妨去看看精華區,而不是"懶惰"

而選擇"不爬文" "不看精華區" 直接發文。

已置頂過5天,收入精華區,任何要解答的可以去精華區找,才耗幾秒鐘時間而已,為何自己不爬文或是點選精華區呢!?

PS:而且有點佔空間了,來去整理置頂區項目,
0
-
LV. 26
GP 127
6 樓 筱楓兒 v760930
GP0 BP-
刪..
不錯呦!
寫的很多而且又很詳細
連初學者都看的懂啦^ ^

GP+1
0
-
LV. 14
GP 14
7 樓 明日 es2045
GP0 BP-
我是一個學生
也是一個電腦初學者
剛剛我依照上面下載了
建議搭配防諜軟體-
Spy Sweeper Spy Sweeper -30天試用版 (強力間諜程式防護軟體)

之後我點選桌面上的捷徑
他就給我電腦從新開機
請問這是正常狀態媽
因為都是外國語言 我看不懂
如果遇到有什麼問題
這個軟體 還會有什麼樣的反應呢

請知道的人 可以跟我說明一下嗎
在此尤終的感謝你

0
-
LV. 7
GP 1
8 樓 BIG玟子 zx25811110
GP0 BP-
謝謝你給我這麼好的建議
但是我沒有魔法兔子
可以告訴我在哪裡可以抓的道嗎?
0
-
LV. 34
GP 631
9 樓 水漣之光 elidnydia
GP0 BP-
※ 引述《zx25811110 (BIG玟子)》之銘言:
> 謝謝你給我這麼好的建議
> 但是我沒有魔法兔子
> 可以告訴我在哪裡可以抓的道嗎?
這兒有
可多加善用搜尋引擎即可覓得。
0
-
LV. 8
GP 1
11 樓 Kuso 夜神★ water4569
GP0 BP-
謝謝摟

連我這個初學者都看的一清二楚

GP發射~
0
-
LV. 12
GP 103
12 樓 和風散月 jerrychai25
GP0 BP-

呵呵,小紅傘配上卡巴啊,這樣確實防的蠻大的,我用來掃木馬的軟體是用Anti-Spyware,版大所用的軟體我好像沒看過,不知道功能如何,來試用看看XD,而且還要感謝大大分享了這麼詳盡的教學呢

以上

0
-
LV. 14
GP 21
13 樓 月楓小子 godmanivan
GP0 BP-

作者標示-非商業性

本授權條款允許使用者重製、散布、傳輸以及修改著作,但不得為商業目的之使用。使用時必須按照著作人指定的方式表彰其姓名。

0
-
LV. 9
GP 2
14 樓 囫圣乂卍万 jason58681
GP1 BP-

可是圖片掛了...
叉燒包 雖然知道 但是對新手來說...恐怕~

1
-
LV. 28
GP 182
16 樓 心靈控制大師 sc024500
GP1 BP-
我就是本人啦...這篇足以證明
www.twbbs.net.tw/2213671.html
翻修後才貼回台論的

圖片稍晚補回...
倒是語法亂七八糟的Orz

1
-
LV. 3
GP 0
18 樓 Mr榦 tom851019
GP0 BP-
版大 太神啦!!!!!
幫助我許多ˊˋ
神秘的第3行
0
-
LV. 44
GP 1k
19 樓 ◤★ 掠過無痕 ★◢ wellss
GP0 BP-

作者標示-非商業性

本授權條款允許使用者重製、散布、傳輸以及修改著作,但不得為商業目的之使用。使用時必須按照著作人指定的方式表彰其姓名。


第 15 篇內容這部份內容我先詢問作者本人是否同意轉貼。
感謝星大 star000star提醒。

0
-
LV. 1
GP 0
20 樓 MainFire mainfire41
GP0 BP-
※ 引述《sc024500 (心靈控制大師)》之銘言

木馬或者病毒大於10或15個以上通常就可以選擇重灌了吧

就算刪掉了木馬或病毒

木馬或病毒所連結的一些檔案還是存在

如果那些檔案一樣跟伺服端連線

木馬或病毒還是一樣進來   (這是我在電腦維修後的心得)

也感謝詳細的解說


0
-
未登入的勇者,要加入 21 樓的討論嗎?
板務人員:歡迎申請板主

183 筆精華,04/15 更新
一個月內新增 0
歡迎加入共同維護。


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】