木马.病毒 增加注册表资料 是否需要删除

研究了一段时间 木马病毒
发觉有时候 应该可以不必理会
因为木马.病毒 入侵时 所增加的注册表(登录档)
除非那个位置位于 启用又是通往恶意网址
以便下载变种或其他木马病毒的资料
才需要删除干净 否则应该只需把进程及隐藏的档案删除干净
其登录档 自然失效 不必特意删除
但可使用一些登录档清除软体 如超级兔子.等 如此可清除更干净

大家来讨论一下 是否应该顺便删除 还是可以暂时不管它
因为小弟在编写查杀工具时 每每要杀除登录档
都需要一一比对 确定无误 才可放行
否则没杀除干净 那就算 若造成系统问题 那就大了

一般来说，建议是都删除清干净比较好..

不过，对于撰写杀毒工具来说，这会是一个困扰..

但是，部分在reg中的机码值，还是要删，因为，有时机码只是去执行木马，木马在解出dll档案，由Dll档案在去做处理，所以，如果互相有牵连，删掉会比较保险。

类似CClearn的软体都可以清除，他们是用啥技术？是否可以比照？

但那也是"有时候"
像是我测试病毒的时候，也是发现有部分来源的木马/后门增加的机码只有启动木马/后门的机码而已
如果没有删除机码，顶多开机的时候出现无法启动XXX程式之类的，也不会有什么后遗症

但是有些木马/后门就是很高招的...
第一种是改WinSock连线设定，虽然没有时间在用SREng等工具来分析，但是透过tracert就可以发现...一个封包要丢出去到目标主机，中间却经过了大陆ip的层层的转发...如果不修改的话，封包丢出去根本就是等于把个人资料丢出去

第二种就是直接把机码放在预设值的...透过第三方程式来修改根本无效...非得要regedit手动修改才行，这也是一个诟病...使用者也要一定的了解登录编辑器...

第三种就是擅自透过Policies等特殊限制，将系统核心工具、连线设定工具锁死，如果这串值还放在预设值的话...嗯..后果不晓得如何...

以前我也是认为木马/后门档案删掉就没事了，但是最难被防护软体察觉的dll跟sys档还是得靠机码才抓的出来，所以免不了又要动到登录编辑器。再说靠其他清除工具，如果一般使用者不明白其中所有的设定项目的话，随意动作的话，将会有无法挽回的后果...
举个例子，有些木马会在登录用程序userinit.exe的机码后面跟一串启动木马的指令，目的在于纪录该使用者帐户的帐密，近一步透过telnet等工具来登录系统取得权限。如果这串值要给其他工具自动修改/修复的话，那一定是整串删除，那这问题可大了，如果这串删除，那就会造成系统一登录马上自动登出，这就非得靠WinPE或安装程式的系统修复功能来挽救...

所以我认为机码的部分是绝对有必要的...

另外很多木马 也都会隐藏在此区
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
看了一下 此区大都是 软体所使用启动档 都会在此处
如防毒.音效驱动.msn 等
如果一一删除 有时很麻烦
很想要一次给它清除掉 一劳永逸
不过相对的 此区的软体功能会造成无法执行
但总比被木马攻击还好 而且有时我在安装新系统时或帮客户修复系统时
也会把这里一些不必要的软体删除或取消掉
以结省系统 资源 让开机速度及系统执行 会更顺畅一些