删除木马档案的终极大法 – 让Win2K/XP进入DOS下杀毒
来源出处: 微风论坛 原作者:jiraachi (莱因哈特‧杨
http://bbs.wefong.com/viewthread.p...extra=page%3D1木马病毒杀不掉?别胡扯,那只是方法不对罢了!
现在木马的挂载技术日新月异,藏身在Services或Drivers项目下的品种屡见不鲜,虽然绝大部分都能够从SREng log分析出挂载位置,可是却也曾发现过进安全模式却仍然处在启动状态的木马程序,而且还是以Driver型态出现,即使动用Icesword也无法停止该程序,必须再搭配HIPS设定阻止程序在开机时执行才能禁止启动,碰到这么顽强的木马,恐怕大部分人都会选择放弃解毒,直接走上重灌的道路吧!
别气馁,其实要删除木马程序并没有想像中困难,就算在安全模式下也删不掉,难道进DOS下也删不掉吗?DOS作业系统与Windows毫无瓜葛,根本不会启动Windows下的任何执行程序,木马自然也就没有办法随着系统启动而干扰解毒程序了。
问题是,现在大部分的使用者都选用NTFS作为档案配置系统,DOS并不支援NTFS,那要怎么删除NTFS下的木马程序呢?别担心,网路上多的是聪明才智之士,早就研发出因应产品来克服DOS不支援NTFS的问题。本教学所建议使用的vFloppy就是这样一款软体。
vFloppy的官方网址在此,若有使用上的问题,建议到官方网站查询相关说明:
http://vflopp...net/ 个人建议到下列站台下载目前的最新本vFloppy v1.5:
http://www.onlinedown....20055.htm 在网页下方的下载专区点取下列项目即可下载:
点这里下载-> 原始文件 [本地下载] 下载回来后,请解压缩到硬碟中。注意,由于本软体是简体中文版本,因此,在繁体中文版作业系统下直接执行,将会出现说明文字呈现乱码的情形,请自行利用微软推出的Microsoft AppLocale来让简体中文正确显示。
执行vFloppy,会看到如下画面,首先请点
映象文件 最右侧的
选择映象 按钮。
在开启对话视窗中,请切换目录到vFloppy的解压缩目录下,选择
NTFS.IMG 档案后点开启按钮。
回到主画面,会发现刚才选择的NTFS.IMG连档案路径都已经出现在映象文件栏位中。
此时请注意
显示文本 栏位的预设值是由虚拟启动软盘启动,这会造成开机选单项目以乱码显示,因为开机选单是在英文显示模式下出现的,请将该字串改成如下图显示的
vFloppy v1.5 。
显示文本内容修改完成后,请点取下方的
应用 按钮,此时将出现下列对话方块,请直接点取
否 按钮跳过检视日志,因为在繁体中文作业系统下,该日志内容会以乱码呈现。
接着会出现如下的请求重新启动系统的对话方块,建议点
否 按钮先作检查。
请选择桌面
我的电脑 图示点
滑鼠右键 ,再选择
内容 ,然后切换到
进阶 分页,请点取
启动与修复 的
设定 按钮。
下拉
预设作业系统 选单,检查刚才所创建的vFloppy v1.5是否出现在选单中,如确定操作无误,请点下方
取消 按钮跳出系统内容方块。
要是您看到的是如下的乱码内容,那是因为您没有按照说明修改显示文本栏位内容,请勿心慌,现在就来教您如何做事后修改。
用您惯用的文字编辑器开启
C:\BOOT.INI 档案,找出如下乱码部份。
请将双引号后的文字部份改成
vFloppy v1.5 ,完成后再加一个
双引号 作终结,然后
存档 ,结束后请遵照前述预设作业系统选单检查方法观察修改结果。
确定一切无误后,重新启动电脑,此时会看到如下的作业系统选单画面,请选择
vFloppy v1.5 。
此时会进入
CIA Commander for Windows NT/2000/XP v1.0 工具程式画面,请先利用键盘的
上、下方向键 选择木马所在的磁碟分割(PARTITON),然后按
Enter键 进入该磁碟分割的作业选单画面。若您不暸解硬碟分割名称,可由后方的磁碟容量加以判断。
当出现如下的作业选单画面时,由于我们要进行的是木马档案的删除作业,因此请用
上、下方向键 选择
File Manager 项目,然后按
Enter键 进入CIA File Manager。
进入CIA File Manager功能画面后,即可利用
上、下方向键 及
Enter键 在左侧Folders工作视窗中切换目录,然后利用
Tab键 在Folders及Files工作视窗中作切换,在Files工作视窗中选择要删除的木马档案后,按下键盘上的
F8功能键 即可删除档案。
注意,下方已提示本工具所能使用的功能键说明,记得不是使用数字键,而是F1到F10的功能键。例如要结束CIA File Manager,请按
F10功能键 。
由于本工具无法使用滑鼠操作,请自行多加练习。
在CIA File Manager将所有木马档案删除完毕后,请按
F10功能键 跳出本工具,回到前述的作业选单画面,然后用
上、下方向键 移动到
Reboot 项目,然后按
Enter键 即可重新启动系统。
注意,本方法虽然可以删除所有的木马档案,却不保证删除后木马档案不会重生。倘若档案再度出现,即代表您并未将该木马的所有程序档案清除干净,请利用防毒软体扫描及配合HijackThis、SREng log档内容分析来找出所有隐藏的木马程序并加以删除。倘若清除完毕,用防毒软体作全机扫瞄也侦测不到木马踪迹,这时才算得上是解毒成功。
还有,假如木马不再出现,开机时却出现找不到档案无法执行的错误讯息,请观察该档案名称是否为被删除的木马档案,若是则无妨,只要用HijackThis、SREng log分析出它的挂载项目所在并加以修复即可解决问题。
