Elimine manualmente las habilidades del caballo de Troya en el sistema xp

El caballo de Troya es una herramienta de control remoto de piratería, su ocultos y dañinos no suelen ser grandes. En el sistema xp, es un sistema relativamente fácil de seguir, por lo que los usuarios del sistema xp deben aprender a eliminar manualmente el caballo de Troya.

Tecnología de ocultación y solución de problemas generales de Trojan

● Iniciar Trojan en Win.ini:

Hay un comando de inicio en la sección [Windows] de Win.ini " load = " y " run = ", en el caso general, " = " está vacío, si va seguido de un programa, por ejemplo:

run = C: Windows ile.exe

load = C: Windows ile.exe

Entonces, este archivo.exe es probablemente un troyano.

● Modificar la asociación de archivos en el registro de Windows XP:

Modificar los archivos de la asociación en el registro es un método común utilizado por los troyanos. La forma de modificarlo se encuentra en los primeros artículos de esta serie. Explique Por ejemplo, en circunstancias normales, el archivo txt se abre en Notepad.exe (Bloc de notas), pero una vez que el archivo asociado al troyano se infecta, el archivo txt se convierte en un troyano. Por ejemplo, el famoso troyano "glacial" nacional es cambiar el valor clave de la clave de registro bajo la rama de subclave HKEY_CLASSES_ROOT xtfileshellopencommand al valor predeterminado de "C: Windows otepad.exe% 1" y cambiarlo a "C: WindowsSystemSysexplr.exe ", para que al hacer doble clic en un archivo txt, el archivo que debería haberse abierto con el Bloc de notas sea ahora el troyano de inicio. Por supuesto, no solo los archivos txt, sino también otros tipos de archivos, como htm, exe, zip, com, etc., también son objetivos de los troyanos. Tenga cuidado.

Para este tipo de troyano, solo puede verificar la rama de subclave de comando de shell del tipo de archivo en HKEY_CLASSES_ROOT en el registro para ver si su valor es normal.

● Agrupar archivos de troyanos en el sistema Windows XP:

Para lograr esta condición de activación, el terminal de control y el servidor primero deben establecer una conexión a través del troyano, y el usuario de la consola puede usar la herramienta para procesar los archivos de troyanos y Una aplicación se agrupa y se carga en el servidor para sobrescribir el archivo original, de modo que incluso si se elimina el troyano, el troyano se reinstalará mientras se ejecute la aplicación con el troyano. Si se incluye en un archivo de sistema, el troyano se iniciará cada vez que se inicie Windows XP.

● Iniciar Trojan en System.ini:

El shell = Explorer.exe en la sección [inicio] de System.ini es el lugar favorito de los troyanos. La práctica habitual de los troyanos es La declaración se convierte así:

Shell = Explorer.exe file.exe

El archivo.exe aquí es el programa del servidor de troyanos.

También, en la sección [386enh], asegúrese de verificar el "controlador = nombre del programa de ruta" en esta sección, ya que también puede ser usado por troyanos. [mic], [drivers], [drivers32] Estas tres secciones también son para cargar el controlador, por lo que también es un lugar ideal para agregar troyanos.

● Usar el registro de Windows XP para cargar y ejecutar:

La siguiente ubicación en el registro es el escondite de los troyanos:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion subclaves bajo la rama "Todos" Los datos del elemento de valor clave al comienzo de la ejecución ".

HKEY_LOCAL_MACHINESOFTWARE rama de subclave MicrosoftWindowsCurrentVersion todos los elementos de datos clave que comienzan con " run "

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion rama secundaria todos los elementos de datos clave que comienzan con " ejecutar ".

● Cargando el Trojan en ejecución en Autoexec.bat y Config.sys:

Para establecer la conexión entre la consola y el servidor, cargue el archivo con el mismo nombre del comando de inicio de Trojan en el servidor. Dos archivos pueden iniciar el troyano de esta manera. Sin embargo, no está muy oculto, por lo que este método es raro, pero no puede tomarse a la ligera.

● Iniciar Trojan en Winstart.bat:

Winstart.bat también es un archivo que Windows XP puede cargar y ejecutar automáticamente. La mayoría de ellos los genera automáticamente la aplicación y Windows. .com o Kernel386.exe, y después de cargar la mayoría de los controladores, inicie la ejecución (esto se puede hacer presionando F8 al inicio para seleccionar la forma paso a paso para iniciar el proceso de arranque). Como la función de Autoexec.bat se puede reemplazar por Winstart.bat, el troyano se puede cargar y ejecutar como se hace en Autoexec.bat.

Tecnología de detección general para virus de troyanos

Ahora, ya conocemos el escondite de los caballos de Troya. Es fácil matar a los troyanos. Si descubre que su computadora tiene un caballo de Troya, la forma más segura y efectiva es abrir inmediatamente el segmento de red para evitar que los piratas informáticos lo ataquen a través de la red. Realice los siguientes pasos:

l Edite el archivo Win.ini. Cambie " run = trojan program " o " load = trojan program > en la sección [Windows] a " run = ", " load = ".

l Edite el archivo System.ini y cambie el " shell = trojan file " en la sección [boot] a <; shell = Explorer.exe ".

l Modificar en el registro de Windows XP: primero busque el nombre del archivo del troyano en la rama de la subclave HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun, y busque el troyano en el registro completo para eliminarlo o reemplazarlo. Pero atroz es que no todos los troyanos son capaces de simplemente eliminar todo estará bien, se añadirá automáticamente algunos inmediatamente después se elimina el troyano, entonces usted necesita para anotar la ubicación de los troyanos, es decir, su ruta y nombre del archivo, Luego retírese al sistema DOS, encuentre este archivo y elimínelo. Reinicie la computadora y vuelva al registro nuevamente para eliminar las entradas clave de todos los archivos de troyanos.

Los troyanos ingresan al sistema de manera invisible, muchos usuarios son indetectables, además de su misterioso sigilo, es aún más difícil, los usuarios solo pasan más tiempo y paciencia para investigar, Las minas ocultas en el sistema se eliminan para garantizar la seguridad del sistema.