刪除木馬檔案的終極大法 – 讓Win2K/XP進入DOS下殺毒

刪除木馬檔案的終極大法 – 讓Win2K/XP進入DOS下殺毒
來源出處: 微風論壇 原作者:jiraachi (萊因哈特‧楊
http://bbs.wefong.com/viewthread.php?tid=1353857&extra=page%3D1

木馬病毒殺不掉？別胡扯，那只是方法不對罷了！

現在木馬的掛載技術日新月異，藏身在Services或Drivers項目下的品種屢見不鮮，雖然絕大部分都能夠從SREng log分析出掛載位置，可是卻也曾發現過進安全模式卻仍然處在啟動狀態的木馬程序，而且還是以Driver型態出現，即使動用Icesword也無法停止該程序，必須再搭配HIPS設定阻止程序在開機時執行才能禁止啟動，碰到這麼頑強的木馬，恐怕大部分人都會選擇放棄解毒，直接走上重灌的道路吧！

別氣餒，其實要刪除木馬程序並沒有想像中困難，就算在安全模式下也刪不掉，難道進DOS下也刪不掉嗎？DOS作業系統與Windows毫無瓜葛，根本不會啟動Windows下的任何執行程序，木馬自然也就沒有辦法隨著系統啟動而干擾解毒程序了。

問題是，現在大部分的使用者都選用NTFS作為檔案配置系統，DOS並不支援NTFS，那要怎麼刪除NTFS下的木馬程序呢？別擔心，網路上多的是聰明才智之士，早就研發出因應產品來克服DOS不支援NTFS的問題。本教學所建議使用的vFloppy就是這樣一款軟體。

vFloppy的官方網址在此，若有使用上的問題，建議到官方網站查詢相關說明：

http://vfloppy.51.net/

個人建議到下列站台下載目前的最新本vFloppy v1.5：

http://www.onlinedown.net/soft/20055.htm

在網頁下方的下載專區點取下列項目即可下載：
点这里下载-> 原始文件　[本地下载]

下載回來後，請解壓縮到硬碟中。注意，由於本軟體是簡體中文版本，因此，在繁體中文版作業系統下直接執行，將會出現說明文字呈現亂碼的情形，請自行利用微軟推出的Microsoft AppLocale來讓簡體中文正確顯示。

執行vFloppy，會看到如下畫面，首先請點 映象文件 最右側的 選擇映象 按鈕。



在開啟對話視窗中，請切換目錄到vFloppy的解壓縮目錄下，選擇 NTFS.IMG 檔案後點開啟按鈕。



回到主畫面，會發現剛才選擇的NTFS.IMG連檔案路徑都已經出現在映象文件欄位中。



此時請注意 顯示文本 欄位的預設值是由虛擬啟動軟盤啟動，這會造成開機選單項目以亂碼顯示，因為開機選單是在英文顯示模式下出現的，請將該字串改成如下圖顯示的 vFloppy v1.5 。



顯示文本內容修改完成後，請點取下方的 應用 按鈕，此時將出現下列對話方塊，請直接點取 否 按鈕跳過檢視日志，因為在繁體中文作業系統下，該日志內容會以亂碼呈現。



接著會出現如下的請求重新啟動系統的對話方塊，建議點 否 按鈕先作檢查。


請選擇桌面 我的電腦 圖示點 滑鼠右鍵 ，再選擇 內容 ，然後切換到 進階 分頁，請點取 啟動與修復 的 設定 按鈕。



下拉 預設作業系統 選單，檢查剛才所創建的vFloppy v1.5是否出現在選單中，如確定操作無誤，請點下方 取消 按鈕跳出系統內容方塊。



要是您看到的是如下的亂碼內容，那是因為您沒有按照說明修改顯示文本欄位內容，請勿心慌，現在就來教您如何做事後修改。



用您慣用的文字編輯器開啟 C:\BOOT.INI 檔案，找出如下亂碼部份。


請將雙引號後的文字部份改成 vFloppy v1.5 ，完成後再加一個 雙引號 作終結，然後 存檔 ，結束後請遵照前述預設作業系統選單檢查方法觀察修改結果。



確定一切無誤後，重新啟動電腦，此時會看到如下的作業系統選單畫面，請選擇 vFloppy v1.5 。



此時會進入 CIA Commander for Windows NT/2000/XP v1.0 工具程式畫面，請先利用鍵盤的 上、下方向鍵 選擇木馬所在的磁碟分割(PARTITON)，然後按 Enter鍵 進入該磁碟分割的作業選單畫面。若您不暸解硬碟分割名稱，可由後方的磁碟容量加以判斷。



當出現如下的作業選單畫面時，由於我們要進行的是木馬檔案的刪除作業，因此請用 上、下方向鍵 選擇 File Manager 項目，然後按 Enter鍵 進入CIA File Manager。



進入CIA File Manager功能畫面後，即可利用 上、下方向鍵 及 Enter鍵 在左側Folders工作視窗中切換目錄，然後利用 Tab鍵 在Folders及Files工作視窗中作切換，在Files工作視窗中選擇要刪除的木馬檔案後，按下鍵盤上的 F8功能鍵 即可刪除檔案。

注意，下方已提示本工具所能使用的功能鍵說明，記得不是使用數字鍵，而是F1到F10的功能鍵。例如要結束CIA File Manager，請按 F10功能鍵 。

由於本工具無法使用滑鼠操作，請自行多加練習。



在CIA File Manager將所有木馬檔案刪除完畢後，請按 F10功能鍵 跳出本工具，回到前述的作業選單畫面，然後用 上、下方向鍵 移動到 Reboot 項目，然後按 Enter鍵 即可重新啟動系統。

注意，本方法雖然可以刪除所有的木馬檔案，卻不保證刪除後木馬檔案不會重生。倘若檔案再度出現，即代表您並未將該木馬的所有程序檔案清除乾淨，請利用防毒軟體掃描及配合HijackThis、SREng log檔內容分析來找出所有隱藏的木馬程序並加以刪除。倘若清除完畢，用防毒軟體作全機掃瞄也偵測不到木馬蹤跡，這時才算得上是解毒成功。

還有，假如木馬不再出現，開機時卻出現找不到檔案無法執行的錯誤訊息，請觀察該檔案名稱是否為被刪除的木馬檔案，若是則無妨，只要用HijackThis、SREng log分析出它的掛載項目所在並加以修復即可解決問題。

x0

可是要如何知道中木馬的檔案？
小弟都是使用還原@@

x0

看不太懂＠＠，在下不是用ad-aware就是整台重灌，
不過學點新的方法似乎不錯

x0

不知道 server2003 可不可以也這樣做.....不知道有沒有人試過

x0

感謝大大分享 來去試試看

x0

XD 偶都是用兔子安全助手下去砍耶

x0

thx you share .
it can help me ^^

x0

我只知道用hijackthis而已,謝謝分享,原來還有這種方法,難怪上次幫別人刪毒都刪不掉

x0

好深奧看的霧煞煞，還是不太懂努力多看幾次吧！感謝分享！

x0

有點深奧...我只知道中毒還原..

x0

我以前都是用空白磁片
強行讓 PC 停在 DOS 狀態
但我ㄧ直無法確定那是否為純 DOS
不過有時殺病毒還蠻好用的
不知能請大大能順便解答我的疑惑

x0

解說的非常詳盡，也很清楚。

真是一篇難得的好文章。

x0

很努力的照著做~但是還是有問題~
簡體到底怎麼改成繁體??
不太懂也~到底殺完沒我也不知道~

不過這套應該是不錯的軟體~小弟愚昧~不識貨...
感謝分享

x0

好強!!圖文並茂雖然我還是看到有點霧煞煞..
智商不高需要多看幾次才看的懂吧..

x0

確實有點複雜~若電腦不是很內行~恐怕也不大會處理耶~呵~有人問如何找出木馬所在~這很重要耶~希望有人能回答~謝謝

x0

我也看不太清楚要怎麼操作
只能依你所說的一步一步試試嘍！
不過這是大陸網站下載的軟件
這樣子真的可以執行嗎？ 我沒有什麼信心了

x0

感謝分享
不過沒試過
不知是否真有用

x0

真是利害再開機畫面幾乎加個dos mode來用其實ms應該努力一下

x0

下面是引用sql598於2007-10-05 22:26發表的 :
我以前都是用空白磁片
強行讓 PC 停在 DOS 狀態
但我一直無法確定那是否為純 DOS
不過有時殺病毒還蠻好用的
不知能請大大能順便解答我的疑惑

目前能放在Floppy Disk裡的開機系統應該只有DOS
不過，要是你OS所使用的檔案系統是NTFS
那就得加掛NTFS驅動程式才能正常讀取硬碟內容

x0

下面是引用spp0936於2007-12-13 09:47發表的 :
確實有點複雜~若電腦不是很內行~恐怕也不大會處理耶~呵~有人問如何找出木馬所在~這很重要耶~希望有人能回答~謝謝

請問你安裝防毒軟體沒有？那是它的職責~~

x0

教學圖掛點...修復一下吧

x0

看起來好像設定很麻煩還是謝謝

x0

這真的有用嗎
會不會很麻煩啊
小弟最近快被木馬搞瘋了耶

x0

看不到圖，不知道執行畫面是如何~
簡單一點用江民防毒，開啟bootscan就行~
我記得AVAST也有這功能~
不知道一不一樣?

x0

雖然看的有點霧煞煞...

不過 還是 感謝大大!!

辛苦您了

x0

all pictures are dead, would you mind to repair it?

x0

努力在看懂中

x0

圖文並茂的好文章

感謝分享唷～

x0

GHOST不是直接解决了么

x0

humm。。。原來還有這種殺毒方法阿～
把他記起來。。。搞不好哪天可用得上呢 ^^

x0