当前位置：首页 > 范文大全 > 实用文>教你揪出伪装系统木马并清除

教你揪出伪装系统木马并清除

2023-09-13 09:24:51 收藏本文下载本文

“稻香村”通过精心收集，向本站投稿了5篇教你揪出伪装系统木马并清除，以下是小编为大家准备的教你揪出伪装系统木马并清除，希望对大家有帮助。

教你揪出伪装系统木马并清除

篇1：教你揪出伪装系统木马并清除

面对日新月异的病毒和木马，有时利用手工检查及清除病毒，还是有必要的，本文以伪装成系统的Wmiprvse.exe进程木马为例，来对其木马的清除做以循序渐进的讲解，

首先，按住键盘上的“Ctrl+Alt+Del”键，将“任务管理器”打开，并且切入至“进程”标签。不过今日与以往不同的是，从“进程”标签里，却突然发现多出一个Wmiprvse.exe进程。于是利用百度搜索了一下Wmiprvse.exe进程的相关资料，给出的答案是wmiprvse.exe是微软Windows的一部分。用于通过WinMgmt.exe程序处理WMI操作，这个程序对你系统的正常运行是非常重要的。

看到这里可能觉得这是一个正常安全的程序进程，于是也就没当回事，又开始了自己的网游“生涯”，但是好景不长没过多久，电脑开始自动重新启动，而且之后又断断续续的重启了几回。在没有任何可怀疑的对象时，可以选择利用系统的搜索功能。查找一下这个突然出现的Wmiprvse.exe程序文件，结果却出现了两个同样的Wmiprvse.exe文件并存的现象，

仔细观察一下，发现两个程序文件大小相同，不过有个Wmiprvse.exe文件在Windows2目录下，接着进一步看了两个文件夹的创建时间，Windows2确实是在自己重装系统时间内，所以两个都是系统目录，只是前一个在最后一次没有删除干净。再打开“任务管理器”对话框，发现系统里存在两个Wmiprvse.exe进程，分别由不同权限的用户运行。位于\System32\wbem文件下的文件才是正常的文件，换句话说没有直接删除的Windows\System32\wbem下的Wmiprvse.exe文件是病毒文件。接着在“任务管理器”对话框内，将其进程停止后，又进入到了该进程文件夹内，将其病毒文件删除。本以为病毒就这样被消灭了，还没等重新启动，也就过了十分钟左右，这个病毒进程又出现在了任务管理器上。

抱着宁可错杀一个，绝不放过一个病毒文件的心理，再次停止该木马进程，将Windows2目录里的文件全部删除后，又在注册表器里，搜索将相关键值进行删除，接着重新启动了一下计算机，然后打开“任务管理器”对话框，发现Wmiprvse.exe进程已经不见了，并且系统总自动重新启机的现象也以消失了，这样一来真假“美猴王”就见了分晓。如果你一样碰到了伪装Wmiprvse.exe程序的木马，不如按照本文的思路将病毒清除，何必又采用费时费力的重装方案。

篇2：WIN技巧：循序渐进教你揪出伪装并清除木马

曾经陪伴我们多年的杀毒软件，面对日新月异的病毒和木马，它们显得很“单薄”，是乎很难再将其驱除出境，有的甚至连病毒及木马的存在都无法发现，更别提如何进行清除，因此有时利用手工检查及清除病毒，还是有必要的，本文以伪装成系统的Wmiprvse.exe进程木马为例，来对其木马的清除做以循序渐进的讲解。

某日笔者向往常一样，按住键盘上的“Ctrl+Alt+Del”键，将“任务管理器”打开，并且切入至“进程”标签，

不过今日与以往不同的是，从“进程”标签里，却突然发现多出一个Wmiprvse.exe进程。于是利用百度搜索了一下Wmiprvse.exe进程的相关资料，给出的答案是wmiprvse.exe是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作，这个程序对你系统的正常运行是非常重要的。

看到这里相信大家跟笔者的想法一样，觉得这是一个正常安全的程序进程，于是笔者也没当回事，又开始了自己的网游“生涯”，但是好景不长没过多久，电脑开始自动重新启动，而且之后又断断续续的重启了几回。在没有任何可怀疑的对象处，笔者选择利用系统的搜索功能，来查看一下这个突然出现的Wmiprvse.exe程序文件，结果却出现了两个同样的Wmiprvse.exe文件并存的现象(图1)。

篇3：教你清除系统自启动程序

我们经常会遇到许多不请自来自己启动的程序，还有许多是我们不想让它启动的程序，不要以为管好了“开始→程序→启动”菜单就万事大吉，实际上，在 Windows XP/2K中，让Windows自动启动程序的办法很多，下文告诉你最重要的两个文件夹和八个注册键。看看里面有哪些是你不想要的，请按“del”键。

文件夹

一、当前用户专有的启动文件夹

这是许多应用软件自动启动的常用位置，Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在：\Documents and Settings\<用户名字>“开始”菜单\程序\启动，其中“<用户名字>”是当前登录的用户账户名称。

二、对所有用户有效的启动文件夹

这是寻找自动启动程序的第二个重要位置，不管用户用什么身份登录系统，放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在：\Documents and Settings\All Users“开始”菜单\程序\启动。

注册表

三、Load注册键

介绍该注册键的资料不多，实际上它也能够自动启动程序。位置：HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load。

四、Userinit注册键

位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \WindowsNT\CurrentVersion\Winlogon\Userinit。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe。这个键允许指定用逗号分隔的多个程序，例如“userinit.exe,OSA.exe”(不含引号)。

五、Explorer\Run注册键

和load、Userinit不同，Explorer\Run键在 HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有，具体位置是：HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Policies\Explorer\Run，和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies \Explorer\Run。

六、RunServicesOnce注册键

RunServicesOnce注册键用来启动服务程序，启动时间在用户登录之前，而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是：HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\RunServicesOnce，和HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\RunServicesOnce。

七、RunServices注册键

RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行，但两者都在用户登录之前。RunServices的位置是：HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\ RunServices，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\RunServices。

八、RunOnce\Setup注册键

RunOnce\Setup指定了用户登录之后运行的程序，它的位置是：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce \Setup，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \RunOnce\Setup。

九、RunOnce注册键

安装程序通常用RunOnce键自动运行程序，它的位置在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序，运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP，你还需要检查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\RunOnceEx。

十、Run注册键

Run是自动运行程序最常用的注册键，位置在：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。 HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行，但两者都在处理“启动”文件夹之前。

汇总如下：

\Documents and Settings\<用户名字>“开始”菜单\程序\启动

\Documents and Settings\All Users“开始”菜单\程序\启动

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run