根据系统报告将病毒木马撵出电脑

作者：老狼    来源：家用电脑    投递者： orz      [2008-01-11 15:59]      阅读：人

• 
  
  
  顶一下
• 互联网并不安全，危机四伏；甚至看个网页就有可能被种上木马，随着下载者木马的进入，各种各样盗号木马随之安营扎寨。对付这些无孔不入的木马病毒，单独依靠杀毒软件是远远不够的。

     我们先来看看“自启动项目”，首先要明白哪些东西可以不用理，一般来说名称为“Microsoft Outlook Express6”、“Outlook Express访问”、“Internet Explorer访问”、“Microsoft Windows Media Player”、“通讯簿 6”都是可以不用管的，哪些公司一栏中标记着“(Verified)”字样的，也是代表验证过数字签名的，可以不用看。这样一来事情就简单很多了。一般来说，重点关注公司名称、版本为“N/A”或者“Microsoft”字样的项目，前者的依据是：病毒、木马、恶意软件作者一般不写公司名；而“Microsoft”不是微软公司吗？是的，有部分不怀好意的程序确实会冒用微软出品，当然也很难处理；如果你对系统很熟悉，很容易就知道哪些是真的微软组件，哪些不是，但这需要对系统有一定的了解才能做到。如果你还是初哥，建议你Google或者百度一下。

     按照前面所描述的原则，很容易看出图3所示的“LYLoadhr.exe”有问题，因为其公司名为 “N/A”而且连了一大串（实际上它确实是一个木马），只需要在分析助手中点击右键，选择“删除文件并取消自启动”就可以了，如此类推。值得一提的是，如果大家仔细看，会看到图3右下角有一个“Beijing Rising Tech……”这是国内某杀毒软件，装了它还中了那么多木马，所以提高自身的安全意识是王道。家用软件群里的DF说的好：不穿衣服上网裸奔，更要禁得住诱惑，一冲动就什么都暴露了。确实，在你没有严格安全防护的时候，贸然去一些不安全的地方，还兴奋的乱点击，你的电脑很容易增加不少不怀好意的“怪叔叔”。

图3 选中并删除可疑文件 

    另外还要说明一下，当你打开SREng后，有时候会提示“AppInit_Dlls异常”，这个项目在分析助手的“自启动项目”中同样有，也是一个值得关注的项目，病毒/木马可以通过这个地方实现加载。一般来说它默认为空，但并不是有东西就一定出了问题。因为有的安全类软件例如杀毒软件（如：卡巴7）、HP笔记本带的安全加密类软件都会写入这个地方。一般来说如果没有公司名称，那就要警惕了。当然，一般值为Explorer.exe， 一般值为“C:\WINDOWS\system32\userinit.exe,”如果这个值被改变，例如多加了一个“Explorer”那么开机的时候就会自动打开“我的文档”。