내 컴퓨터가 트로이 목마에 감염되었을 수 있습니다. 긴급하게 도와주세요.

현재 트로이 목마는 매우 숨겨져 있고 특징이 없습니다.

최근에는 트로이 목마 활동이 점점 더 빈번해지고 있습니다. 이러한 트로이 목마를 죽이는 도구와 방법도 속속 등장했습니다. 안티 바이러스, 안티 해커 소프트웨어의 반응 속도는 트로이 목마가 나타나는 속도보다 훨씬 느립니다. 따라서 트로이 목마를 수동으로 확인하고 제거하는 방법을 알면 쉽게 처리할 수 있습니다.

트로이 목마 발견 트로이 목마는 원격 제어 프로그램을 기반으로 하기 때문에 트로이 목마가 포함된 컴퓨터에는 특정 포트가 열려 있습니다. 일반적으로 개인용 시스템은 부팅 후 포트가 137, 138, 139 세 개뿐입니다. 인터넷에 액세스하면 머신이 온라인 호스트와 통신할 때 열리는 다른 포트가 있습니다. 예를 들어 IE는 일반적으로 1025, 1026, 1027 등의 연속 포트를 엽니다.

이 컴퓨터에 열려 있는 모든 포트를 보려면 DOS 명령줄에서 "netstat -na" 명령을 사용하세요. 위에서 언급한 포트 외에 다른 포트(특히 트로이 목마가 일반적으로 사용하는 포트)를 사용하고 있는 경우 트로이 목마에 감염되었을 가능성이 높으므로 주의 깊게 확인해야 합니다.

트로이 목마를 찾으려면 일부 트로이 목마 파일 속성이 숨겨져 있으므로 시스템이 숨겨진 파일을 표시하도록 활성화해야 합니다. 대부분의 트로이 목마는 자신을 시스템 디렉터리에 복사하고 시작 항목을 추가합니다(시스템 디렉터리에 복사하지 않으면 쉽게 발견됩니다. 시작 항목을 추가하지 않으면 다시 시작한 후 트로이 목마가 실행되지 않습니다). 일반적으로 테이블에서 특정 위치는 다음과 같습니다. HKEY_LOCAL _MACHINE\Software\Microsoft\Windows\CurrentVersion에서 "run"으로 시작하는 모든 키 값; HKEY_CURRENT_USER\에서 "run"으로 시작하는 모든 키 값 Software\Microsoft\Windows\CurrentVersion;HKEY_USERS \Default\Software\Microsoft\Windows\CurrentVersion에서 "Run"으로 시작하는 모든 키 값입니다.

그러나 이러한 위치에 로드되지 않는 일부 트로이 목마도 다음 위치에 숨어 있습니다.

●Win.ini에서 시작

In Win.ini [windows] 필드에는 시작 명령 "load=" 및 "run="이 있습니다. 일반적인 상황에서는 "=" 뒤에 공백이 있습니다(예: run=c:\). windows\file.exe 또는 load =c:\windows\file.exe, 주의하세요. 이 file.exe는 트로이 목마일 가능성이 높습니다.

●System.ini에서 시작

System.ini는 Windows 설치 디렉터리에 있으며, [boot] 필드에 있는 shell=Explorer.exe는 다음과 같은 숨겨진 로딩 장소입니다. 트로이 목마의 일반적인 접근 방식은 다음과 같이 문장을 바꾸는 것입니다: shell=Explorer.exe window.exe 여기서는 트로이 목마 프로그램입니다.

또한 System.ini의 [386Enh] 필드에서 이 섹션의 "드라이버=경로\프로그램 이름"을 확인하세요. 이 부분도 트로이 목마에 의해 악용될 수 있습니다. 또한 System.ini의 세 필드 [mic], [drivers] 및 [drivers32]에서 이러한 섹션은 드라이버를 로드하는 역할도 하지만 트로이 목마 프로그램을 추가하기에 좋은 장소이기도 합니다.

●Autoexec.bat 및 Config.sys에서 로드 및 실행

이 로드 방법을 사용하려면 일반적으로 제어 사용자가 서버에 연결하고 트로이 목마 시작 명령을 추가해야 합니다. 이 두 파일을 덮어쓰려면 같은 이름의 파일을 서버에 업로드해야 하는데, 이 방법은 그다지 은밀한 방법은 아니기 때문에 흔하지는 않지만 가볍게 받아들일 수는 없습니다.

●Winstart.bat에서 시작

Winstart.bat는 Autoexec.bat 못지 않게 특별한 배치 파일이며 자동으로 로드되어 실행될 수 있는 파일이기도 합니다. 윈도우. 대부분의 경우 응용 프로그램과 Windows에 의해 자동으로 생성되며 Win.com이 실행되고 대부분의 드라이버가 로드된 후에 실행이 시작됩니다. Autoexec.bat의 기능은 Winstart.bat에 의해 완료될 수 있으므로 트로이 목마는 Autoexec.bat와 마찬가지로 로드되어 실행될 수 있으며 이로 인해 위험이 발생합니다.

●스타트업 그룹

스타트업 그룹에 숨겨진 트로이 목마는 그다지 숨겨져 있지는 않지만 자동 로딩 및 실행이 가능한 곳이므로 여전히 좋아하는 트로이 목마가 있습니다. 여기에 거주하기 위해.

시작 그룹에 해당하는 폴더는 C:\Windows\Start Menu\Programs\StartUp이고 레지스트리의 위치는 HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Shell Folders Startup='C:\windows입니다. \시작 메뉴\프로그램\시작'.

●*.INI

즉, 애플리케이션의 시작 구성 파일은 제어측에서 이러한 파일의 특성을 이용하여 프로그램을 시작하고 동일한 내용으로 준비된 파일을 업로드합니다. 트로이 목마 시작 명령을 사용하여 서버로 이동하여 동일한 이름의 파일을 덮어쓰면 트로이 목마 실행 목적을 달성할 수 있습니다.

●파일 연결 수정

파일 연결 수정은 트로이 목마의 일반적인 방법입니다(주로 국내 트로이 목마, 대부분의 외국 트로이 목마에는 이 기능이 없습니다). txt 파일 방법은 Notepad.EXE 파일인데 일단 파일 연관 트로이목마가 걸리면 txt 파일 열기 방법이 유명한 Glacier가 했던 것처럼 트로이목마 프로그램으로 열리도록 수정됩니다. txt 파일을 두 번 클릭하면 원래 메모장을 사용하여 파일을 열었지만 이제는 트로이 목마 프로그램이 시작됩니다. txt 파일뿐만 아니라 HTM, EXE, ZIP, COM 등의 다른 파일도 트로이 목마의 대상이라는 점에 유의하시기 바랍니다. 이러한 유형의 트로이 목마를 처리하려면 HKEY_CLASSES_ROOT\File Type\shell\open\command 기본 키만 확인하여 해당 키 값이 정상인지 확인할 수 있습니다.

●묶음 파일

이러한 실행 조건을 달성하려면 제어 측과 서버가 먼저 트로이 목마를 통해 연결을 설정해야 합니다. 그런 다음 제어 측 사용자는 도구 소프트웨어를 사용하여 결합합니다. 이러한 방식으로 프로그램을 함께 묶은 후 서버에 업로드하여 원본 파일을 덮어쓰게 됩니다. 이렇게 하면 해당 트로이 목마가 삭제되더라도 해당 트로이 목마와 함께 제공되는 응용 프로그램이 실행되는 동안에는 트로이 목마가 발생합니다. 다시 설치됩니다. 시스템 파일과 같은 응용 프로그램에 바인딩된 경우 Windows가 시작될 때마다 트로이 목마가 실행됩니다.

트로이 목마 수동 제거

하드 드라이브가 항상 설명할 수 없는 디스크를 읽는 경우 플로피 드라이브 표시등이 저절로 켜지는 경우가 많으며 네트워크 연결, 마우스, 컴퓨터에 트로이 목마가 숨어 있기 때문일 수 있으므로 이를 제거할 수 있는 방법을 찾아야 합니다.

의심스러운 파일을 발견하면 삭제를 시도해 볼 수 있습니다. 왜냐하면 대부분의 트로이 목마는 백그라운드에서 실행되며 "Ctrl+Alt+Del"을 눌러도 찾을 수 없고 백그라운드에서 실행 중인 애플리케이션이기 때문입니다. 시스템 프로세스. 포그라운드 프로세스에서 찾을 수 없고 삭제할 수 없는 경우(사용 중이라는 메시지가 표시됨) 주의해야 합니다.

그렇다면 다른 유용한 파일을 실수로 삭제하지 않고 트로이 목마를 제거하는 방법은 무엇일까요? 위의 방법을 통해 의심스러운 프로그램을 발견했다면 먼저 해당 파일의 속성을 살펴보시면 됩니다. 일반적으로 시스템 파일의 수정 시간은 최신 시간이 아닌 1999년 또는 1998년이어야 합니다(최신 Win2000 및 WinXP가 설치된 시스템 제외). 파일 생성 시간은 현재와 매우 가깝지 않아야 합니다. 의심스러운 실행 파일 시간이 최근이거나 최신일 경우에는 문제가 있을 가능성이 높습니다.

먼저 프로세스를 확인하세요. 프로세스를 확인하려면 Windows Optimization Master와 같은 타사 소프트웨어를 사용하여 "프로세스 보기" 기능을 사용하여 의심스러운 프로세스를 종료한 다음 원래 의심되는 포트가 여전히 열려 있는지 확인할 수 있습니다(때때로 다시 시작됨). 필요함) 그렇지 않은 경우 해당 프로그램을 올바르게 종료한 다음 프로그램을 삭제한다는 의미입니다. 이 방법으로 트로이 목마가 수동으로 삭제됩니다.

트로이 목마가 TXT, EXE 또는 ZIP과 같은 파일 연결을 변경하는 경우 레지스트리를 변경해야 합니다. 변경되지 않으면 레지스트리를 다시 이전 레지스트리로 변경하면 파일이 복구될 수 있습니다. 연결이 완료되면 DOS에서 "scanreg/restore" 명령을 실행하여 레지스트리를 복원할 수 있지만 이 명령은 이전 5일 동안의 레지스트리만 복원할 수 있습니다(시스템 기본값). 이를 통해 트로이 목마에 의해 변경된 레지스트리 키를 쉽게 복원할 수 있으며, 이는 간단하고 사용하기 쉽습니다.