電腦中木馬病毒了怎么辦 六步讓你和木馬說永別
大家都知道(dao)什(shen)么方法是最(zui)好的預防措施嗎,我個人覺得,就(jiu)是在事情沒有放(fang)生之前(qian)制(zhi)止了,這個是一(yi)個比較(jiao)好的方法,從而(er),我們也就(jiu)知道(dao),只要在開(kai)機的時候(hou),拒絕木馬運行,也就(jiu)從此和它88了
(一)刪除不正常啟動項目
1 開始 中 啟動,大家可(ke)以看(kan)里面的程序
2 注冊表中:
"HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor" 找(zhao)到并(bing)雙擊“AutoRun”
"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion" 找到并(bing)雙擊“Run”
"HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun"(這個一般(ban)與(yu)“開始”中“啟(qi)動”的相同(tong),但(dan)是在“啟(qi)動”中沒有顯示)
大家可以在(zai)這(zhe)里面(mian)的程序,哪個不(bu)正常,就刪除它
3 開始---運行---gpedit.msc 策(ce)略組--用(yong)戶(hu)配置(zhi)--管理模塊--系統--登(deng)陸--
4 系統服務(wu)中的(de)設置
大家(jia)自己看看,里面有哪(na)個(ge)不正(zheng)常的,就終止它
(二)檢查電腦端口判斷是否中馬.
我(wo)們(men)具體以鴿(ge)子為一個(ge)例子:
我(wo)們先查看(kan)本機遠程(cheng)8000的(de)端(duan)口(kou),看(kan)是(shi)否打(da)開,在沒有(you)中鴿子之(zhi)前是(shi)沒有(you)遠程(cheng)8000端(duan)口(kou)的(de), 由于為了讓大家看(kan)得明顯,我(wo)就不改鴿子的(de)設置,
實(shi)戰中大家要注意(yi):
"GrayPigeon_Hacker.com.cn,灰(hui)鴿(ge)子服(fu)務端程序。遠程監控(kong)管(guan)理,"
這些被放(fang)鴿子的(de)(de)人改(gai)過的(de)(de)信息(xi),只要與原有(you)的(de)(de)比較一下,還是(shi)可(ke)以判斷(duan)出它是(shi)木馬(ma)的(de)(de)
運行鴿子
基本步驟:
1 查端(duan)口,一般為8000,
大家(jia)可以用專業的工具查看(kan),
也可以用系統自帶的工具(ju)查看(kan)
比(bi)如:任務(wu)管理器(qi),命令提(ti)示符,
2 然后查程(cheng)序所在位置終(zhong)止進(jin)程(cheng),
3 最后刪除文件
值得注(zhu)意(yi)的(de)是騰訊(xun)QQ 也會開啟遠程8000端口的(de),要注(zhu)意(yi)區分,可(ke)以查(cha)詢(xun)騰訊(xun)IP。
(三)文件比較判斷系統是否中馬
通過對比的方(fang)法,實現查找木馬
基本步驟:
1備分(fen)安全狀(zhuang)態下的一些情(qing)況
2異常(chang)(chang)時(shi),把異常(chang)(chang)的文(wen)件情況導出
3對比前(qian)后兩次的結果,根(gen)據集體情況,自己判斷。
具體操作,看我演示一(yi)下:
首先因為(wei)木馬一(yi)般在windowssystem32,而(er)且后綴名為(wei)exe,dll,我們(men)備分(fen)一(yi)個安(an)全狀態(tai)下的目錄*.exe,*.dll的文件,命令dir *.exe>c:exe1.txt & dir *.dll>c:dll1.txt
意思(si)是(shi)說 提取system32目錄下所有文件名后綴(zhui)名為exe和dll的文件的名字到(dao)C盤exe1.txt與dll1.txt記(ji)事本(ben)里(li)面(mian).
導(dao)好了(le),我(wo)們去看(kan)看(kan),
假設,我中木馬了(le),木馬為 MMMMM.exe 和(he)mmmmmm.dll,我們再來中一個鴿子,在不安全狀態下,我們又(you)導出該目(mu)錄下的文件名,
命令(ling)dir *.exe>c:exe2.txt & dir *.dll>c:dll2.txt
存到(dao)C盤exe2.txt 與dll2.txt 里面, 下面我們(men)進行(xing)比較(jiao),當然不(bu)可能一個個去看,我們(men)讓電腦自(zi)動比較(jiao),
命令fc c:exe1.txt c:exe2.txt>>c:1.txt
fc c:dll1.txt c:dll2.txt>>c:2.txt
b1.txt b2.txt這2個就是對比結果
大家看見了吧,就(jiu)這樣,就(jiu)可(ke)以判斷是否中了木馬
然后我(wo)們找到他們,終止進(jin)程,刪除就OK了.
(四)檢查svchost.exe進程判斷是否中馬
通過“暫缺”判斷是(shi)否是(shi)木馬,再綜合(he)路徑與端口
基本步驟:
1開始--運行--cmd
2再查路徑,
3最后查殺木馬
我們以svchost.exe為例子:
正常的svchost.exe是在%systemroot%system32下
木馬病毒(du)的svchost.exe是在windowsststem32wins 或者其(qi)他地方
像上(shang)興,REDgirl等木馬可以設置插入(ru)的進程,大家(jia)要小(xiao)心(xin),鴿子的進程也可以修改(gai),我們(men)來簡(jian)單的操作一下(xia),先(xian)用任(ren)務管理器查看svchost.exe,svchost.exe會有4,5個(ge)左右,我們(men)關閉(bi)一下(xia),
如果:出(chu)現關機倒計時(shi),是(shi)正常的,可以(yi)這樣取消:開始(shi)--運行--shutdown -a
我(wo)(wo)這(zhe)里沒有這(zhe)樣的情(qing)況(kuang),因為我(wo)(wo)沒有中這(zhe)樣的木(mu)馬,大家可以(yi)根據自(zi)己(ji)的情(qing)況(kuang)具體(ti)判斷(duan),開(kai)始(shi)--運行--cmd--tasklist /svc (win2000的電(dian)腦用命令"tlist -s",我(wo)(wo)這(zhe)里是(shi)XP的)
svchost.exe“暫(zan)缺(que)” ,那就是(shi)木馬了,我(wo)這(zhe)里沒有,其他有的 “暫(zan)缺(que)”,不一定是(shi)木馬
大家(jia)根(gen)據(ju)自己的具(ju)體(ti)情況去判斷, 以上也是一(yi)個查殺木(mu)馬(ma)的方(fang)法,希望大家(jia)能進一(yi)步了解木(mu)馬(ma)!
(五)利用防火墻抓出木馬蹤跡
借助防(fang)(fang)火墻的(de)“訪問(wen)規則”來(lai)拒(ju)絕木馬的(de)進程,比(bi)如一(yi)(yi)些過(guo)主動防(fang)(fang)御的(de)木馬,雖然過(guo)了主動防(fang)(fang)御,但是在防(fang)(fang)火墻還是會留下足(zu)跡的(de),大家可以根據自己的(de)判斷做(zuo)終止它,最后刪除。這(zhe)也是一(yi)(yi)個(ge)有(you)效的(de)方法
(六)安裝還原防護軟件保護系統安全
建議大家要裝有殺(sha)毒(du)軟件的前提(ti)下(xia),在做一些安(an)全措施,比如:安(an)系(xi)統還原精靈,影子系(xi)統等(deng)等(deng)
只要重起就沒有事情了,當然這個看你會不會靈活使用,有些人自然覺得不方便,我個人覺得很好,這個就是冰點還原精靈,只要同時按住ctrl+alt+shift+F6 就可以彈出設置畫面。