前几天同事的计算机再次感染上3721的杂碎,他想了很多办法都没有删除掉,最终还是没有删除掉。其实删除手工木马最简单的办法就是通过权限阻止木马程序的启动。
原理是设置注册表或文件系统的安全权限,使任何程序包括System都没有权限访问,以使木马的引导失败。虽然这是个很早就有的办法,但是很多人还是不知道。
通常的木马通过以下地方引导:
注册表的Run,天下人都知道,不过要注意用户级别下的run不要忘记了;
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce或者RunOnceEx中;
启动文件夹中;
在HKEY_CLASSES_ROOT\*.*上注册了环境菜单或者其他的插件;
在win.ini文件中;
等等....