刪除木馬檔案的終極大法 – 讓Win2K/XP進入DOS下殺毒
來源出處: 微風論壇 原作者:jiraachi (萊因哈特‧楊
http://bbs.wefong.com/viewthread.p...extra=page%3D1木馬病毒殺不掉?別胡扯,那只是方法不對罷了!
現在木馬的掛載技術日新月異,藏身在Services或Drivers項目下的品種屢見不鮮,雖然絕大部分都能夠從SREng log分析出掛載位置,可是卻也曾發現過進安全模式卻仍然處在啟動狀態的木馬程序,而且還是以Driver型態出現,即使動用Icesword也無法停止該程序,必須再搭配HIPS設定阻止程序在開機時執行才能禁止啟動,碰到這麼頑強的木馬,恐怕大部分人都會選擇放棄解毒,直接走上重灌的道路吧!
別氣餒,其實要刪除木馬程序並沒有想像中困難,就算在安全模式下也刪不掉,難道進DOS下也刪不掉嗎?DOS作業系統與Windows毫無瓜葛,根本不會啟動Windows下的任何執行程序,木馬自然也就沒有辦法隨著系統啟動而干擾解毒程序了。
問題是,現在大部分的使用者都選用NTFS作為檔案配置系統,DOS並不支援NTFS,那要怎麼刪除NTFS下的木馬程序呢?別擔心,網路上多的是聰明才智之士,早就研發出因應產品來克服DOS不支援NTFS的問題。本教學所建議使用的vFloppy就是這樣一款軟體。
vFloppy的官方網址在此,若有使用上的問題,建議到官方網站查詢相關說明:
http://vflopp...net/ 個人建議到下列站台下載目前的最新本vFloppy v1.5:
http://www.onlinedown....20055.htm 在網頁下方的下載專區點取下列項目即可下載:
点这里下载-> 原始文件 [本地下载] 下載回來後,請解壓縮到硬碟中。注意,由於本軟體是簡體中文版本,因此,在繁體中文版作業系統下直接執行,將會出現說明文字呈現亂碼的情形,請自行利用微軟推出的Microsoft AppLocale來讓簡體中文正確顯示。
執行vFloppy,會看到如下畫面,首先請點
映象文件 最右側的
選擇映象 按鈕。
在開啟對話視窗中,請切換目錄到vFloppy的解壓縮目錄下,選擇
NTFS.IMG 檔案後點開啟按鈕。
回到主畫面,會發現剛才選擇的NTFS.IMG連檔案路徑都已經出現在映象文件欄位中。
此時請注意
顯示文本 欄位的預設值是由虛擬啟動軟盤啟動,這會造成開機選單項目以亂碼顯示,因為開機選單是在英文顯示模式下出現的,請將該字串改成如下圖顯示的
vFloppy v1.5 。
顯示文本內容修改完成後,請點取下方的
應用 按鈕,此時將出現下列對話方塊,請直接點取
否 按鈕跳過檢視日志,因為在繁體中文作業系統下,該日志內容會以亂碼呈現。
接著會出現如下的請求重新啟動系統的對話方塊,建議點
否 按鈕先作檢查。
請選擇桌面
我的電腦 圖示點
滑鼠右鍵 ,再選擇
內容 ,然後切換到
進階 分頁,請點取
啟動與修復 的
設定 按鈕。
下拉
預設作業系統 選單,檢查剛才所創建的vFloppy v1.5是否出現在選單中,如確定操作無誤,請點下方
取消 按鈕跳出系統內容方塊。
要是您看到的是如下的亂碼內容,那是因為您沒有按照說明修改顯示文本欄位內容,請勿心慌,現在就來教您如何做事後修改。
用您慣用的文字編輯器開啟
C:\BOOT.INI 檔案,找出如下亂碼部份。
請將雙引號後的文字部份改成
vFloppy v1.5 ,完成後再加一個
雙引號 作終結,然後
存檔 ,結束後請遵照前述預設作業系統選單檢查方法觀察修改結果。
確定一切無誤後,重新啟動電腦,此時會看到如下的作業系統選單畫面,請選擇
vFloppy v1.5 。
此時會進入
CIA Commander for Windows NT/2000/XP v1.0 工具程式畫面,請先利用鍵盤的
上、下方向鍵 選擇木馬所在的磁碟分割(PARTITON),然後按
Enter鍵 進入該磁碟分割的作業選單畫面。若您不暸解硬碟分割名稱,可由後方的磁碟容量加以判斷。
當出現如下的作業選單畫面時,由於我們要進行的是木馬檔案的刪除作業,因此請用
上、下方向鍵 選擇
File Manager 項目,然後按
Enter鍵 進入CIA File Manager。
進入CIA File Manager功能畫面後,即可利用
上、下方向鍵 及
Enter鍵 在左側Folders工作視窗中切換目錄,然後利用
Tab鍵 在Folders及Files工作視窗中作切換,在Files工作視窗中選擇要刪除的木馬檔案後,按下鍵盤上的
F8功能鍵 即可刪除檔案。
注意,下方已提示本工具所能使用的功能鍵說明,記得不是使用數字鍵,而是F1到F10的功能鍵。例如要結束CIA File Manager,請按
F10功能鍵 。
由於本工具無法使用滑鼠操作,請自行多加練習。
在CIA File Manager將所有木馬檔案刪除完畢後,請按
F10功能鍵 跳出本工具,回到前述的作業選單畫面,然後用
上、下方向鍵 移動到
Reboot 項目,然後按
Enter鍵 即可重新啟動系統。
注意,本方法雖然可以刪除所有的木馬檔案,卻不保證刪除後木馬檔案不會重生。倘若檔案再度出現,即代表您並未將該木馬的所有程序檔案清除乾淨,請利用防毒軟體掃描及配合HijackThis、SREng log檔內容分析來找出所有隱藏的木馬程序並加以刪除。倘若清除完畢,用防毒軟體作全機掃瞄也偵測不到木馬蹤跡,這時才算得上是解毒成功。
還有,假如木馬不再出現,開機時卻出現找不到檔案無法執行的錯誤訊息,請觀察該檔案名稱是否為被刪除的木馬檔案,若是則無妨,只要用HijackThis、SREng log分析出它的掛載項目所在並加以修復即可解決問題。
