自己动手删除时常来袭的 木马、病毒
Seraph Chutium; 2002.2; ANSI
中了个破木马，于是简单分析了一下。写这篇小文作一总结。
我用IDA对它的分析结果和清除病毒的bat文件。可到这里下载：http://abcn.net/programming.htm#codes

http://com.6to23.com/


前一阵我中了一个小破木马，开了个鬼端口。
于是我开始自己手动删除，我一般不用杀毒软件，那些软件都是哄人的，
比如一个简简单单的happy time都不能很好的清除！最后还是要靠我自己来~

我建议有能力的话，时刻注意系统的变化，奇怪端口、可疑进程等等。
现在的病毒都不象以前那样对系统数据破坏很严重，也好发现的多， 所以尽量
自己杀毒，杀毒（较简单的病毒、木马）大致要分几步：

1. 检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地址，
   再将可疑的删除。

2. 删除上述可疑键在硬盘中的执行文件。

3. 一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，
   很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat
   文件，有则删除之。

4. 检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft   Internet Explorer\Main中的几项（如Local Page），如果被修改了，改回来就可以。

5. 检查HKEY_CLASSES_ROOT\inifile\shell\open\command和
   HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序
   是否被更改。这个一定要改回来。很多病毒就是通过修改.txt，.ini等的默认打开程序让
   病毒“长生不老，永杀不尽”的。

6. 如果有可能，对病毒的母文件进行反汇编，比如我上次中的那个病毒，通过用IDA反汇编，
   发现它还偷窃系统密码并建立 %systemroot%\system\mapis32a.dll 文件把密码送到一个
   邮箱中，由于我用的是W2K，所以它当然没有得手。

至此，病毒完全删除！

这个木马“abc.exe”可以在这里下：http://chutium.top263.net/software/trojan.abc.zip
里面附带了我用IDA对这个木马分析的结果和一份清除此病毒的批处理文件。

[此贴子已经被作者于2004-1-2 9:47:14编辑过]

AD:一氧化氮气体检测仪、探测器、报警器

嘻嘻~~~

好用不？？

呵呵，自己动手，丰衣足食。一些简单的木马知识还是要掌握的。先学习一下楼主的经验~~