電腦中木馬病毒了怎么辦 六步讓你和木馬說永別

大家都知道什么方(fang)法是(shi)最(zui)好(hao)的預防措施(shi)嗎，我個(ge)人覺得(de)，就是(shi)在事情沒有放生(sheng)之前(qian)制(zhi)止了(le)，這個(ge)是(shi)一個(ge)比較(jiao)好(hao)的方(fang)法，從而，我們也(ye)就知道，只要(yao)在開機(ji)的時候，拒絕(jue)木馬運行(xing)，也(ye)就從此和它(ta)88了(le)

（一）刪除不正常啟動項目

1 開(kai)始 中 啟動，大家(jia)可以(yi)看里面的程序

2 注冊表中：

"HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor" 找到并雙(shuang)擊“AutoRun”

"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion" 找到并(bing)雙(shuang)擊“Run”

"HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun"（這個一般與“開始”中“啟(qi)動”的相(xiang)同(tong)，但是在“啟(qi)動”中沒有顯示）

大(da)家可(ke)以在這里面的程序，哪個不正常，就刪除它

3 開始---運行---gpedit.msc 策略組--用戶(hu)配置--管(guan)理(li)模塊--系統--登陸(lu)--

4 系統服(fu)務中的(de)設置

大家自(zi)己看看，里面有哪個不正常的，就終止(zhi)它

（二）檢查電腦端口判斷是否中馬.

我們(men)具體(ti)以鴿子為(wei)一個例子：

我們先查看(kan)本(ben)機遠(yuan)(yuan)程8000的(de)(de)端口，看(kan)是(shi)否打開，在沒(mei)有中鴿(ge)(ge)子之前是(shi)沒(mei)有遠(yuan)(yuan)程8000端口的(de)(de), 由于為了讓大(da)家看(kan)得(de)明顯，我就不改鴿(ge)(ge)子的(de)(de)設置，

實戰(zhan)中大(da)家要注意：

"GrayPigeon_Hacker.com.cn，灰鴿子(zi)服務端程(cheng)序。遠程(cheng)監控管(guan)理，"

這些被(bei)放鴿子的人改過的信息，只要與原有(you)的比較一(yi)下，還是可以(yi)判(pan)斷(duan)出它是木馬(ma)的

運行鴿子

基本步驟：

1 查端口，一(yi)般為8000，

大家可以用(yong)專業的(de)工具(ju)查看,

也可以用系統自帶的工具查(cha)看

比如:任(ren)務管理器,命(ming)令提示符,

2 然后查程序所在(zai)位置終止進程，

3 最后(hou)刪除文(wen)件(jian)

值得注意的(de)是騰(teng)訊(xun)QQ 也會(hui)開啟(qi)遠程8000端口的(de)，要注意區(qu)分，可以查詢騰(teng)訊(xun)IP。

（三）文件比較判斷系統是否中馬

通過對比的方法，實現查找木(mu)馬

基本步驟：

1備分安全狀態(tai)下的一些情況

2異常時(shi)，把(ba)異常的文件情(qing)況導(dao)出

3對比前后兩次的結果，根據集體情況，自己判斷(duan)。

具體操作，看我演示(shi)一下:

首(shou)先因為(wei)木馬一般(ban)在windowssystem32，而且后綴名為(wei)exe,dll,我們備分一個(ge)安全狀態下的目錄*.exe,*.dll的文件，命令dir *.exe>c:exe1.txt & dir *.dll>c:dll1.txt

意思是說 提取system32目錄下所(suo)有文(wen)件名后(hou)綴(zhui)名為(wei)exe和dll的文(wen)件的名字到C盤exe1.txt與dll1.txt記事本里面.

導好了,我們去看(kan)看(kan),

假設，我中(zhong)木馬了，木馬為 MMMMM.exe 和mmmmmm.dll,我們(men)再來中(zhong)一個鴿子(zi)，在不安全狀態下,我們(men)又導出該目錄下的文件名,

命(ming)令dir *.exe>c:exe2.txt & dir *.dll>c:dll2.txt

存到C盤(pan)exe2.txt 與dll2.txt 里面, 下面我(wo)(wo)們進行比較(jiao),當(dang)然(ran)不可能一個個去(qu)看,我(wo)(wo)們讓(rang)電腦自動比較(jiao),

命令(ling)fc c:exe1.txt c:exe2.txt>>c:1.txt

fc c:dll1.txt c:dll2.txt>>c:2.txt

b1.txt b2.txt這2個就是對比結果

大家看見了吧，就(jiu)這樣，就(jiu)可以判斷是否中了木馬(ma)

然后我們(men)找(zhao)到(dao)他們(men)，終止進程，刪除就OK了.

（四）檢查svchost.exe進程判斷是否中馬

通過“暫缺”判(pan)斷是否是木馬，再綜(zong)合路徑與(yu)端口

基本步驟：

1開始--運行--cmd

2再查路徑，

3最后查殺木馬

我們(men)以svchost.exe為例子：

正常的svchost.exe是在%systemroot%system32下

木馬(ma)病毒的svchost.exe是(shi)在windowsststem32wins 或者其他地方

像(xiang)上興(xing)，REDgirl等木馬可(ke)(ke)以設置插入的(de)進(jin)程，大家要小心，鴿子的(de)進(jin)程也(ye)可(ke)(ke)以修(xiu)改，我(wo)們來簡單的(de)操作(zuo)一下，先(xian)用任務管理(li)器(qi)查看svchost.exe，svchost.exe會有4，5個左右，我(wo)們關閉一下，

如果(guo)：出(chu)現關機倒(dao)計時，是正(zheng)常的，可以這樣(yang)取消：開始--運行--shutdown -a

我這里沒有(you)這樣的(de)(de)情況，因為我沒有(you)中這樣的(de)(de)木馬，大家可以根據自己的(de)(de)情況具體判斷(duan)，開始(shi)--運(yun)行--cmd--tasklist /svc (win2000的(de)(de)電腦用(yong)命令(ling)"tlist -s",我這里是(shi)XP的(de)(de))

svchost.exe“暫(zan)缺” ，那就是(shi)(shi)木馬了，我(wo)這里沒(mei)有(you)，其(qi)他有(you)的 “暫(zan)缺”，不一定是(shi)(shi)木馬

大家根(gen)據自(zi)己的具體情況(kuang)去判(pan)斷, 以上也是一個(ge)查殺木(mu)馬(ma)的方法，希望大家能進(jin)一步了解木(mu)馬(ma)！

（五）利用防火墻抓出木馬蹤跡

借(jie)助防(fang)(fang)火墻(qiang)的(de)(de)“訪(fang)問規則”來拒(ju)絕木馬的(de)(de)進程(cheng)，比如一(yi)些過(guo)主動防(fang)(fang)御的(de)(de)木馬，雖然過(guo)了主動防(fang)(fang)御，但是在防(fang)(fang)火墻(qiang)還(huan)是會留下足跡的(de)(de)，大家可以根據自己(ji)的(de)(de)判斷做終止它，最(zui)后(hou)刪除。這也是一(yi)個有效的(de)(de)方(fang)法

（六）安裝還原防護軟件保護系統安全

建議大(da)家要(yao)裝有殺毒(du)軟件的前提下，在做一些安(an)全措施，比如(ru):安(an)系統還原精靈，影子系統等等

只要重起就沒有事情了，當然這個看你會不會靈活使用，有些人自然覺得不方便，我個人覺得很好，這個就是冰點還原精靈，只要同時按住ctrl+alt+shift+F6 就可以彈出設置畫面。