這篇是教大家簡單的去刪除一些「殺傷力」不大的木馬。不過這算是去除威脅,有可能無法完整刪除,建議擔心的人還是乖乖的下載工具才好。本篇就提供給沒有用防毒軟體又不想上網抓人家所提供的破解軟體(這種用心值得嘉獎,不過還有很多免費的可以用,加減用也好)
其實一般(如即時通傳的訊息等)偷帳號的木馬都很簡單,最少大約兩個檔案,多也不會超過太多。相信大家看過我簡略解析一隻橘子木馬後看到的檔案吧?沒問題的檔案一個,有毒的感染物一個。而那個有毒感染檔的會產生一個 DLL 檔以及一個 EXE 執行檔,然後順便偷偷修改註冊碼。
因此要解決就只有按照原路修改回來。請欣賞以下的刪除方法。
基本上刪除之前都會先關閉系統還原,所以請乖乖的關閉,反正只是暫時的,刪除完後就可以開啟。
首先要知道的第一件事情是「感染的 dll 檔」為何。其實也不是很重要,只是先知道是什麼名稱要刪除會比較方便。根據網路上的受害者發問時都會在
%system32%
之下找到被植入的 DLL 檔。另外也有可能在 Windows 之內發現,不過機率比較小,因為很少有 DLL 檔會放在這,而且一被人掃到發現在這大概就知道是木馬了。所以他們會設定放在系統的資料夾內,讓比較不知道的人不敢去刪除。
再來開啟 Windows 工作管理員。檢查有沒有不對勁的程序(若有中木馬應該都會有),而且是在使用者的權限之下出現的。當然也可以用本部落格找到並提供的「ProcessExplorer」來檢查。
附加連結:系統程序查詢(英) 可以檢查電腦中的任何檔案,看看是不是正確執行檔或者是木馬檔案,一般來說找不到的大概都是木馬產生的。資料很多,甚加使用的話效果會很好。
當你發現有奇怪的執行檔時,立刻關閉掉它。因為它是執行木馬的程序,當它啟動時就會開始盜取你的資料。另外避免再開,後面會繼續有教學。
基本上你若有發現有木馬的 DLL 檔,並且程序中有木馬執行檔的話,這兩個是有關聯的啦。不過同時被多個木馬找上就不一定刪除到相關連了。可以用上面說的 Pro… 事先找找看該執行檔是連到哪個 DLL 檔,以方便刪除(若需要的話以後我做個那個程式的教學)。
當你關閉後立刻去找木馬的執行檔以及 dll 檔,這時候若已經關閉木馬執行檔那必定可以刪除掉。如果怕麻煩不想一個一個找的話,可以利用電腦搜尋來幫你找 dll 檔。
最後刪除掉可疑的檔案後大概就算是處理完畢了。接下來的動作是還原一點可能被木馬修改的註冊碼。主要只需修改一個地方,而這個地方通常都是自動執行區。
執行 > Regedit ,找到以下的一些機碼
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run-
看看有沒有自動執行檔,名稱是連接到你所感染的木馬執行檔,若有的話資料消除就可以了。
基本上的基本上,按照上面的步驟可以刪除掉一些偷遊戲帳號密碼的木馬,例如天堂木馬、橘子木馬。然而最重要的還是安裝一款功能好的防火牆,否則遇到強大的木馬也沒用了。