如何快速清理木馬病毒

　　隨著病毒編寫技術的發展，木馬程式對使用者的威脅越來越大，尤其是一些木馬程式採用了極其狡猾的手段來隱蔽自己，使普通使用者很難在中毒後發覺，小編教你一些清理木馬病毒的相關知識吧。

　　一、檔案捆綁檢測

　　將木馬捆綁在正常程式中，一直是木馬偽裝攻擊的一種常用手段。下面我們就看看如何才能檢測出檔案中捆綁的木馬。

　　1.MT捆綁剋星

　　檔案中只要捆綁了木馬，那麼其檔案頭特徵碼一定會表現出一定的規律，而MT捆綁剋星正是通過分析程式的檔案頭特徵碼來判斷的。程式執行後，我們只要單擊“瀏覽”按鈕，選擇需要進行檢測的檔案，然後單擊主介面上的“分析”按鈕，這樣程式就會自動對新增進來的檔案進行分析。此時，我們只要檢視分析結果中可執行的頭部數，如果有兩個或更多的可執行檔案頭部，那麼說明此檔案一定是被捆綁過的!

　　2.揪出捆綁在程式中的木馬

　　光檢測出了檔案中捆綁了木馬是遠遠不夠的，還必須請出“Fearless Bound File Detector”這樣的“特工”來清除其中的木馬。

　　程式執行後會首先要求選擇需要檢測的程式或檔案，然後單擊主介面中的“Process”按鈕，分析完畢再單擊“Clean File”按鈕，在彈出警告對話方塊中單擊“是”按鈕確認清除程式中被捆綁的木馬。

　　二、清除DLL類後門

　　相對檔案捆綁執行，DLL插入類的木馬顯的更加高階，具有無程序，不開埠等特點，一般人很難發覺。因此清除的步驟也相對複雜一點。

　　1.結束木馬程序

　　由於該型別的木馬是嵌入在其它程序之中的，本身在程序檢視器中並不會生成具體的專案，對此我們如果發現自己系統出現異常時，則需要判斷是否中了DLL木馬。

　　在這裡我們藉助的是IceSword工具，執行該程式後會自動檢測系統正在執行的程序，右擊可疑的程序，在彈出的選單中選擇“模組資訊”，在彈出的視窗中即可檢視所有DLL模組，這時如果發現有來歷不明的專案就可以將其選中，然後單擊“解除安裝”按鈕將其從程序中刪除。對於一些比較頑固的程序，我們還將其中，單擊“強行解除”按鈕，然後再通過“模組檔名”欄中的地址，直接到其資料夾中將其刪除。

　　2.查詢可疑DLL模組

　　由於一般使用者對DLL檔案的呼叫情況並不熟悉，因此很難判斷出哪個DLL模組是不是可疑的。這樣ECQ-PS超級程序王即可派上用場。

　　執行軟體後即可在中間的列表中可以看到當前系統中的所有程序，雙擊其中的某個程序後，可以在下面視窗的“全部模組”標籤中，即可顯示詳細的資訊，包括模組名稱、版本和廠商，以及建立的時間等。其中的廠商和建立時間資訊比較重要，如果是一個系統關鍵程序如“svchost.exe”，結果呼叫的卻是一個不知名的廠商的模組，那該模組必定是有問題的。另外如果廠商雖然是微軟的，但建立時間卻與其它的DLL模組時間不同，那麼也可能是DLL木馬。

　　另外我們也可以直接切換到“可疑模組”選項，軟體會自動掃描模組中的可疑檔案，並在列表中顯示出來。雙擊掃描結果列表中的可疑DLL模組，可看到呼叫此模組的程序。一般每一個DLL檔案都有多個程序會呼叫，如果呼叫此DLL檔案的僅僅是此一個程序，也可能是DLL木馬。點選“強進刪除”按鈕，即可將DLL木馬從程序中刪除掉。

　　三、徹底的Rootkit檢測

　　誰都不可能每時每刻對系統中的埠、登錄檔、檔案、服務進行挨個的檢查，看是否隱藏木馬。這時候我可以使用一些特殊的工具進行檢測。

　　1.Rootkit Detector清除Rootkit

　　Rootkit Detector是一個Rootkit檢測和清除工具，可以檢測出多個Windows下的Rootkit其中包括大名鼎鼎的hxdef.100.

　　用方法很簡單，在命令列下直接執行程式名“rkdetector.exe”即可。程式執行後將會自動完成一系統列隱藏專案檢測，查找出系統中正在執行的Rootkit程式及服務，以紅色作出標記提醒，並嘗試將它清除掉。

　　2.強大的Knlps

　　相比之下，Knlps的功能更為強大一些，它可以指定結束正在執行的Rootkit程式。使用時在命令列下輸入“knlps.exe-l”命令，將顯示系統中所有隱藏的Rootkit程序及相應的程序PID號。找到Rootkit程序後，可以使用“-k”引數進行刪除。例如已找到了“svch0st.exe”的程序，及PID號為“3908”，可以輸入命令“knlps.exe -k 3908”將程序中止掉。

　　四、克隆帳號的檢測

　　嚴格意義上來說，它已經不是後門木馬了。但是他同樣是在系統中建立了管理員許可權的賬號，但是我們檢視的卻是Guest組的成員，非常容易麻痺管理員。

　　在這裡為大家介紹一款新的帳號克隆檢測工具LP_Check，它可以明查秋毫的檢查出系統中的克隆使用者!

　　LP_Check的使用極其簡單，程式執行後會對登錄檔及“帳號管理器”中的使用者帳號和許可權進行對比檢測，可以看到程式檢測出了剛才Guest帳號有問題，並在列表中以紅色三角符號重點標記出來，這時我們就可以開啟使用者管理視窗將其刪除了。

　　通過介紹相信已經能夠讓系統恢復的比較安全了，但是要想徹底避免木馬的侵害，還是需要對其基礎知識加以瞭解。