電腦中木馬病毒了怎么辦 六步讓你和木馬說永別

大家都知道(dao)什(shen)么方法是最(zui)好的預防措施嗎，我個人覺得，就(jiu)是在事情沒有放(fang)生之前(qian)制(zhi)止了，這個是一(yi)個比較(jiao)好的方法，從而(er)，我們也就(jiu)知道(dao)，只要在開(kai)機的時候(hou)，拒絕木馬運行，也就(jiu)從此和它88了

（一）刪除不正常啟動項目

1 開始 中 啟動，大家可(ke)以看(kan)里面的程序

2 注冊表中：

"HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor" 找(zhao)到并(bing)雙擊“AutoRun”

"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion" 找到并(bing)雙擊“Run”

"HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun"（這個一般(ban)與(yu)“開始”中“啟(qi)動”的相同(tong)，但(dan)是在“啟(qi)動”中沒有顯示）

大家可以在(zai)這(zhe)里面(mian)的程序，哪個不(bu)正常，就刪除它

3 開始---運行---gpedit.msc 策(ce)略組--用(yong)戶(hu)配置(zhi)--管理模塊--系統--登(deng)陸--

4 系統服務(wu)中的(de)設置

大家(jia)自己看看，里面有哪(na)個(ge)不正(zheng)常的，就終止它

（二）檢查電腦端口判斷是否中馬.

我(wo)們(men)具體以鴿(ge)子為一個(ge)例子：

我(wo)們先查看(kan)本機遠程(cheng)8000的(de)端(duan)口(kou)，看(kan)是(shi)否打(da)開，在沒有(you)中鴿子之(zhi)前是(shi)沒有(you)遠程(cheng)8000端(duan)口(kou)的(de), 由于為了讓大家看(kan)得明顯，我(wo)就不改鴿子的(de)設置，

實(shi)戰中大家要注意(yi)：

"GrayPigeon_Hacker.com.cn，灰(hui)鴿(ge)子服(fu)務端程序。遠程監控(kong)管(guan)理，"

這些被放(fang)鴿子的(de)(de)人改(gai)過的(de)(de)信息(xi)，只要與原有(you)的(de)(de)比較一下，還是(shi)可(ke)以判斷(duan)出它是(shi)木馬(ma)的(de)(de)

運行鴿子

基本步驟：

1 查端(duan)口，一般為8000，

大家(jia)可以用專業的工具查看(kan),

也可以用系統自帶的工具(ju)查看(kan)

比(bi)如:任務(wu)管理器(qi),命令提(ti)示符,

2 然后查程(cheng)序所在位置終(zhong)止進(jin)程(cheng)，

3 最后刪除文件

值得注(zhu)意(yi)的(de)是騰訊(xun)QQ 也會開啟遠程8000端口的(de)，要注(zhu)意(yi)區分，可(ke)以查(cha)詢(xun)騰訊(xun)IP。

（三）文件比較判斷系統是否中馬

通過對比的方(fang)法，實現查找木馬

基本步驟：

1備分(fen)安全狀(zhuang)態下的一些情(qing)況

2異常(chang)(chang)時(shi)，把異常(chang)(chang)的文(wen)件情況導出

3對比前(qian)后兩次的結果，根(gen)據集體情況，自己判斷。

具體操作，看我演示一(yi)下:

首先因為(wei)木馬一(yi)般在windowssystem32，而(er)且后綴名為(wei)exe,dll,我們(men)備分(fen)一(yi)個安(an)全狀態(tai)下的目錄*.exe,*.dll的文件，命令dir *.exe>c:exe1.txt & dir *.dll>c:dll1.txt

意思(si)是(shi)說 提取system32目錄下所有文件名后綴(zhui)名為exe和dll的文件的名字到(dao)C盤exe1.txt與dll1.txt記(ji)事本(ben)里(li)面(mian).

導(dao)好了(le),我(wo)們去看(kan)看(kan),

假設，我中木馬了(le)，木馬為 MMMMM.exe 和(he)mmmmmm.dll,我們再來中一個鴿子，在不安全狀態下,我們又(you)導出該目(mu)錄下的文件名,

命令(ling)dir *.exe>c:exe2.txt & dir *.dll>c:dll2.txt

存到(dao)C盤exe2.txt 與dll2.txt 里面, 下面我們(men)進行(xing)比較(jiao),當然不(bu)可能一個個去看,我們(men)讓電腦自(zi)動比較(jiao),

命令fc c:exe1.txt c:exe2.txt>>c:1.txt

fc c:dll1.txt c:dll2.txt>>c:2.txt

b1.txt b2.txt這2個就是對比結果

大家看見了吧，就(jiu)這樣，就(jiu)可(ke)以判斷是否中了木馬

然后我(wo)們找到他們，終止進(jin)程，刪除就OK了.

（四）檢查svchost.exe進程判斷是否中馬

通過“暫缺”判斷是(shi)否是(shi)木馬，再綜合(he)路徑與端口

基本步驟：

1開始--運行--cmd

2再查路徑，

3最后查殺木馬

我們以svchost.exe為例子：

正常的svchost.exe是在%systemroot%system32下

木馬病毒(du)的svchost.exe是在windowsststem32wins 或者其(qi)他地方

像上(shang)興，REDgirl等木馬可以設置插入(ru)的進程，大家(jia)要小(xiao)心(xin)，鴿子的進程也可以修改(gai)，我們(men)來簡(jian)單的操作一下(xia)，先(xian)用任(ren)務管理器查看svchost.exe，svchost.exe會有4，5個(ge)左右，我們(men)關閉(bi)一下(xia)，

如果：出(chu)現關機倒計時(shi)，是(shi)正常的，可以(yi)這樣取消：開始(shi)--運行--shutdown -a

我(wo)(wo)這(zhe)里沒有這(zhe)樣的情(qing)況(kuang)，因為我(wo)(wo)沒有中這(zhe)樣的木(mu)馬，大家可以(yi)根據自(zi)己(ji)的情(qing)況(kuang)具體(ti)判斷(duan)，開(kai)始(shi)--運行--cmd--tasklist /svc (win2000的電(dian)腦用命令"tlist -s",我(wo)(wo)這(zhe)里是(shi)XP的)

svchost.exe“暫(zan)缺(que)” ，那就是(shi)木馬了，我(wo)這(zhe)里沒有，其他有的 “暫(zan)缺(que)”，不一定是(shi)木馬

大家(jia)根(gen)據(ju)自己的具(ju)體(ti)情況去判斷, 以上也是一(yi)個查殺木(mu)馬(ma)的方(fang)法，希望大家(jia)能進一(yi)步了解木(mu)馬(ma)！

（五）利用防火墻抓出木馬蹤跡

借助防(fang)(fang)火墻的(de)“訪問(wen)規則”來(lai)拒(ju)絕木馬的(de)進程，比(bi)如一(yi)(yi)些過(guo)主動防(fang)(fang)御的(de)木馬，雖然過(guo)了主動防(fang)(fang)御，但是在防(fang)(fang)火墻還是會留下足(zu)跡的(de)，大家可以根據自己的(de)判斷做(zuo)終止它，最后刪除。這(zhe)也是一(yi)(yi)個(ge)有(you)效的(de)方法

（六）安裝還原防護軟件保護系統安全

建議大家要裝有殺(sha)毒(du)軟件的前提(ti)下(xia)，在做一些安(an)全措施，比如:安(an)系(xi)統還原精靈，影子系(xi)統等(deng)等(deng)

只要重起就沒有事情了，當然這個看你會不會靈活使用，有些人自然覺得不方便，我個人覺得很好，這個就是冰點還原精靈，只要同時按住ctrl+alt+shift+F6 就可以彈出設置畫面。