【教學】強迫刪除 Windows 系統內被植入的木馬或後門程式的服務

[DarkSkyline]

適用環境: Windows 2000 / Windows XP/ Windows 2003

方法1:
[開始]->[執行]->輸入 regedit [Enter]
打開登錄編輯程式,找到 ”HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services ”
底下有相對應的木馬或後門程式的服務鍵值，刪除即可.
重新開機後,在點選 [開始]->[設定]->[控制台]->[系統管理工具] ->[服務] 檢查木馬或後門程式的服務是否已經不存在了.

方法2:
[開始]->[執行]->輸入 cmd [Enter]
在"命令提示字元"模式下輸入 sc delete 服務名稱 [Enter] (如此即可把木馬或後門程式的服務刪除)
重新開機後,在點選 [開始]->[設定]->[控制台]->[系統管理工具] ->[服務] 檢查木馬或後門程式的服務是否已經不存在了.

EX:假設要刪除 [Windows Time] 這個服務,請點選 Windows Time 這個服務的"內容",查到的服務名稱為 W32Time
所以要刪除 [Windows Time] 這個服務,輸入的指令為 sc delete W32Time [Enter] 如此即可刪除 [Windows Time] 這個服務,要刪除其他服務請依此類推.

PS:sc.exe 檔案存放在 C:\Windows\system32 資料夾內,可以將他拷貝一份起來,以備不時之需.

附上 sc.exe 命令詳解：
用法:
sc <server> [command] [service name] <option1> <option2>...
命令:
query-----------查詢服務的狀態。
queryex---------查詢服務的擴展狀態。
start-----------啟動服務。
pause-----------發送 PAUSE 控制請求到服務。
interrogate-----發送 INTERROGATE 控制請求到服務。
continue--------發送 CONTINUE 控制請求到服務。
stop------------發送 STOP 請求到服務。
config----------(永久地)更改服務的配置。
description-----更改服務的描述。
failure---------更改服務失敗時所進行的操作。
qc--------------查詢服務的配置信息。
qdescription----查詢服務的描述。
qfailure--------查詢失敗服務所進行的操作。
delete----------(從注冊表)刪除服務。
create----------建立服務(將其添加到註冊表)。
control---------發送控制到服務。
sdshow----------顯示服務的安全描述符。
sdset-----------設置服務的安全描述符。
GetDisplayName--獲取服務的 DisplayName。
GetKeyName------獲取服務的 ServiceKeyName。
EnumDepend------列舉服務的依存關係。

[sai7sai]

不見得有效.......