当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > Kernel32.exe特洛伊木马清除一例

杀毒防毒
U盘(auto病毒)类病毒分析与解决方案
解析魔兽木马Trojan-PSW.Win32.WOW
绕过主动防御 木马病毒刺穿卡巴斯基
总结经典:木马十大藏身地点大搜查
手动清除 chcp.exe病毒 保护 MSN的安全
卡巴斯基KIS 7.0防火墙设置完全攻略
百毒不侵 如何以不变应万变预防病毒
病毒日新月异 六大反病毒技术亟待成熟
守住你的网站 防御DDoS攻击实用指南
提高诺顿杀毒软件速度的五则技巧
安全升级 新版迅雷杀毒方案之详解
病毒非电脑的专利 常见手机病毒分析
卡巴斯基8.0主要特性介绍(附激活码)
几大常见的手机杀毒软件试用横评
三种2008版杀毒软件七大主流功能横评
检测硬盘与内存中病毒痕迹的四种绝招
优化XP使卡巴斯基7.0单机版运行流畅
上网不再怕中毒 教你一招克死所有病毒
“色情终结者”病毒专删PC内色情电影
精心设置卡巴斯基 加快杀毒速度

杀毒防毒 中的 Kernel32.exe特洛伊木马清除一例


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2010-01-03   浏览: 80 ::
收藏到网摘: n/a

一个特洛伊木马最近成了我电脑中的不速之客。下面的文字记录了我如何发现和清除这个木马的经过。我希望通过与大家分享我的一些经验,对一些电脑用户有所帮助。

1:木马的发现:

一天使用电脑时,我觉得系统的反应有些迟缓,比如鼠标移动会有些轻微跳动,菜单的弹出比往常慢......我很奇怪,于是就打开WinTop(这个工具在本文末尾会介绍)查看系统当前究竟有哪些程序在运行,是谁占用了我的CPU呢?在我扫了一下程序列表后,有一个程序引起了我的好奇。

2:木马的确定:

   这个程序名叫Kernel32.exe,位于C:\Windows\System\目录下。它当时占用了80%的CPU。我很奇怪,因为我此时没有运行什么如此占用CPU资源的程序,CPU应该基本处于Idel(空闲)状态下的。而这个程序居然在偷偷地运行,且占用了如此多的CPU资源!从它的名字看,它似乎是个很重要的程序。但我仍然觉得可疑:我怎么不记得系统有这个程序呢?先不忙作出判断。我又进入了系统配置工具(System Configuration Utility),到启动(Startup)标签中看看。果然,也有一个名为Kernel32.exe的程序被加到了启动菜单中,而且它被加载两次!另一个与众不同之处是,路径之前没有它的简单描述,取而代之的是空白!它是什么时候被加入的呢?我更觉得可疑!我就把它前面的勾去掉了,然后重新启动。奇怪的是,启动后,它又在运行了。而且进入刚才的启动菜单查看,它居然自己把勾选中了!看来是个不太友好的程序!既然此路不通,我又运行注册表编辑器。找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run子目录,果然看到了这个程序。这下,我又发现了它的与众不同之处:它没有建立新的子键,而是加到了Default中(正常情况下,它的值是value not set)!无怪乎我在启动菜单中去不掉它。真是来者不善,善者不来!毫不犹豫,我就把它给清除了。随后,我又清除了HKEY_CURRENT_USER相应子键下的值。然后重新启动。这下好了,它终于停下来,等着我把它删除。

3:木马的去除:

这好办,找到它,按住Shift+Del,OK!我为什么刚才不马上把它删除呢?这是因为它每次启动后都自动运行,我一直删不了它。只有在它不运行时,我才好下手啊。在我将这个特洛伊木马清除后,第二天,一个偶然的机会,在我查看文件类型时(设置->文件夹->文件类型),发现*.log文件居然已经被关联到这个木马程序,也就是说,如果我双击*.log文件,我将看不到什么,而一个特洛伊木马已经被启动了。这太可怕了!还好不是病毒!我现在仍觉得心有余悸。

---------------------------------------------

一些经验:
诸如鼠标移动困难,菜单的弹出速度变慢等现像,绝对不要掉以轻心!很多木马程序所占的系统资源很少,如果你没有足够的警惕心,很多抓住木马的机会就会被错过。当有上述现像发生时,首先要确定系统此时是否应该有程序在后台运行,比如一些杀毒程序或其他Windows的计划作业等。排除这些因素,你就应该引起警惕了!

这个木马程序有一个很不错的名字:Kernel32.exe。Kernel是核心的意思,很多人会觉得这个程序一定是
系统必须的程序而不在意。事实上,有一个叫Kernel32.dll的文件,两者仅扩展名不同。它们的脸长得差不多,但实质可是大大不同。后者是系统运行的重要文件,万万动不得;而前者则是个特洛伊木马,格杀勿论!这也这是很多特洛伊木马和病毒制造者为骗取受害者信任的惯用伎俩!要想知道有哪些程序会在系统启动时被自动加载,请打开始菜单->程序->附件->系统工具->系统信息,选择工具->系统配置工具,选择启动标签。这里列出了完整的、在系统启动时会被自动加载的程序清单。你可以很方便地配置它们。
    
    也可以找HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run子目录,但这种修改注册表的方法只推荐有经验的用户采用。很多人都知道,要终止一个运行中的程序,可以按Ctrl+Alt+Del,然后找到该程序,结束它就行了。可是,有一些程序是不会出现在这个列表里的。懂得编程的朋友应该知道这不难做到。所以得借助第三方的工具,如WinTop,才能让它们无所遁形。

  这篇文字的一个重要主角:WinTop,它是什么呢?其实很多朋友不会陌生的。它是Microsoft Kernel Kowertoys中的一个工具。Powertoys大家一定比较熟悉。在Win95的时代,由于它包含了一系列Win95所没有的增强工具而广受欢迎。而KernelPowertoys更是面向高级用户的几个核心增强小工具。由于Microsoft并不支持这两套小工具以及Windows本身的改进,所以到了Win98时代,它们就淡出江湖了
。但是它们中的一些工具现在仍然很有用,比如这个WinTop,它可以很方便地查看系统中正在运行的所有程序。虽然它没有终止程序运行这个功能,但它仍然很有用,尤其是对付特洛伊木马。我相信在很多朋友以前的光盘上一定能找到它的。

   当然,由于木马程序的破坏通常需要里应外合,大多数的木马不如病毒般可怕。即使运行了,也不一定会对你的机器造成危害。不过,潜在的危害还是有的。比如,你的上网密码有可能已经跑到别人的收件箱里了。