如题所述
现在我们来说防范木马的方法,就是把 windows\system\mshta.exe文件改名,
改成什么自己随便 (xp和win2000是在system32下)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键Compatibility,并设定键值为0x00000400即可。
还有windows\command\debug.exe和windows\ftp.exe都给改个名字 (或者删除)
一些最新流行的木马 最有效果的防御~~
比如网络上流行 的木马 smss.exe 这个是其中一种木马的主体 潜伏在 98/winme/xp c:\windows目录下 2000 c:\winnt .....
假如你中了这个木马 首先我们用进程管理器结束 正在运行的木马smss.exe 然后在C:\windows 或 c:\winnt\目录下 创建一个假的 smss.exe 并设置为只读属性~ (2000/XP NTFS的磁盘格式 的话那就更好 可以用“安全设置” 设置为读取) 这样木马没了~ 以后也不会在感染了这个办法本人测试过对很多木马
都很有效果的
经过这样的修改后,我现在专门找别人发的木马网址去测试,实验结果是上了大概20个木马网站,有大概15个瑞星会报警,另外5个瑞星没有反映,而我的机器没有添加出来新的EXE文件,也没有新的进程出现,只不过有些木马的残骸留在了IE的临时文件夹里,他们没有被执行起来,没有危险性,所以建议大家经常清理 临时文件夹和IE
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
防治木马的危害,应该采取以下措施:
第一,安装杀毒软件和个人防火墙,并及时升级。
第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。
第三,可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
第四,如果使用IE浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
远程控制的木马有:冰河,灰鸽子,上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多.现在的木马程序常常和和DLL文件息息相关,被很多人称之为“DLL木马”。DLL木马的最高境界是线程插入技术,线程插入技术指的是将自己的代码嵌入正在运行的进程中的技术。理论上说,在Windows中的每个进程都有自己的私有内存空间,别的进程是不允许对这个私有空间进行操作的,但是实际上,我们仍然可以利用种种方法进入并操作进程的私有内存,因此也就拥有了那个远程进程相当的权限。无论怎样,都是让木马的核心代码运行于别的进程的内存空间,这样不仅能很好地隐藏自己,也能更好地保护自己。
DLL不能独立运行,所以要想让木马跑起来,就需要一个EXE文件使用动态嵌入技术让DLL搭上其他正常进程的车,让被嵌入的进程调用这个DLL的 DllMain函数,激发木马运行,最后启动木马的EXE结束运行,木马启动完毕。启动DLL木马的EXE是个重要角色,它被称为Loader, Loader可以是多种多样的,Windows的Rundll32.exe也被一些DLL木马用来作为Loader,这种木马一般不带动态嵌入技术,它直接注入Rundll32进程运行,即使你杀了Rundll32进程,木马本体还是存在的。利用这种方法除了可以启动木马之外,不少应用程序也采用了这种启动方式,一个最常见的例子是“3721网络实名”。
“3721网络实名”就是通过Rundll32调用“网络实名”的DLL文件实现的。在一台安装了网络实名的计算机中运行注册表编辑器,依次展开 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”,发现一个名为“CnsMin”的启动项,其键值为“Rundll32 C:\WINDOWS\Downlo~1\CnsMin.dll,Rundll32”,CnsMin.dll是网络实名的DLL文件,这样就通过 Rundll32命令实现了网络实名的功能。
简单防御方法
DLL木马的查杀比一般病毒和木马的查杀要更加困难,建议用户经常看看系统的启动项中有没有多出莫名其妙的项目,这是DLL木马Loader可能存在的场所之一。如果用户有一定的编程知识和分析能力,还可以在Loader里查找DLL名称,或者从进程里看多挂接了什么陌生的DLL。对普通用户来说,最简单有效的方法还是用杀毒软件和防火墙来保护自己的计算机安全。现在有一些国外的防火墙软件会在DLL文件加载时提醒用户,比如Tiny、SSM等,这样我们就可以有效地防范恶意的DLL木马了。木马的防治方法 1、禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
注意:蠕虫移除干净后,请按照上述文章所述恢复系统还原的设置。
2、将计算机重启到安全模式或者 VGA 模式
关闭计算机,等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式
Windows 95/98/Me/2000/XP 用户:将计算机重启到安全模式。所有 Windows 32-bit 作系统,除了Windows NT,可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。
Windows NT 4 用户:将计算机重启到 VGA 模式。
扫描和删除受感染文件启动防病毒程序,并确保已将其配置为扫描所有文件。运行完整的系统扫描。如果检测到任何文件被 Download.Trojan 感染,请单击“删除”。如有必要,清除 Internet Explorer 历史和文件。如果该程序是在 Temporary Internet Files 文件夹中的压缩文件内检测到的,请执行以下步骤:
启动 Internet Explorer。单击“工具”>“Internet 选项”。单击“常规”选项卡“Internet 临时文件”部分中,单击“删除文件”,然后在出现提示后单击“确定”。在“历史”部分,单击“清除历史”,然后在出现提示后单击“是”。
[1]木马病毒专杀工具
远程控制的木马有:冰河(国人的骄傲,中国第一款木马),灰鸽子,上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多,大家自己找找吧
反木马病毒
木马专杀工具
木马防线 2005 V4.16
木马分析专家 2005 V6.57
木马克星(iparmor) V5.47
病毒.流行木马.盗号软件统杀工具
木马专杀大师 V2.6
木马专家 2005 0102
Windows木马清道夫
木马分析专家个人防火墙排查出电脑的木马 1、集成到程序中
由于用户一般不会主动程序,而种木马者为了吸引用户运行,他们会将木马文件和其它应用程序进行捆绑,用户看到的只是正常的程序。但是你一旦运行之后,不仅该正常的程序运行,而且捆绑在一起的木马程序也会在后台偷偷运行。
这种隐藏在其它应用程序之中的木马危害比较大,而且不容易发现。如果捆绑到系统文件中,那么则会随Windows启动而运行。不过只要我们安装个人防火墙或者启用Windows XP SP2中的Windows防火墙,那么在木马服务端试图连接种木马的客户端时,则会询问是否放行,据此即可判断出自己有无中木马。
2、隐藏在媒体文件中
这种类型严格上说,用户还没有中木马。不过它的危害容易被人忽略。因为大家对影音文件的警惕性不高。它的常用手段是在媒体文件中插入一段代码,代码中包含了一个网址,当播放到指定时间时即会自动访问该网址,而该网址所指页面的内容却是一些网页木马或其它危害。
因此,当我们在播放网上下载的影片时,如果发现突然打开了窗口,那么切不可好奇而应将其立即关闭,然后跳过该时间段影片的播放。
3、隐藏在System.ini
4、隐藏在Win.ini
与System.ini相似,Win.ini中也是木马喜欢加载的一个地方。对此我们可以打开系统目录下的Win.ini文件,然后查看[Windows]区域“load=”和“run=”,正常情况下它们后面应该是空白,如果你发现它们后面加了某个程序,那么加载的程序则可能是木马,需要将它们删除。
5、隐藏在Autoexec.bat
在C盘根目录下有一个Autoexec.bat文件,这里的内容将会在系统启动时自动运行。与该文件类似的还有Config.sys。因为它自动运行,因此也成为木马的一个藏身之地。对此我们同样需要打开这两个文件,检查里面是否加载了来历不明的程序在运行。
6、任务管理器
部分木马运行后我们可以在任务管理器中找出它的踪迹。在任务栏上右击,在弹出的菜单中选择“任务管理器”,将打开的窗口切换到“进程”标签,在这里查看有没有占用较多资源的进程,有没有不熟悉的进程。若有,可以先试着将它们关闭。另外要特别注意Explorer.exe这类进程,因为很多木马会使用Exp1orer.exe进程名,即把l换成1,用户不仔细查看,还以为是系统进程呢。
7、启动
在Windows XP中,我们可以运行“msconfig”,将打开的窗口切换到“启动”标签,在这里可以看到所有启动加载的项目,此时就可以根据“命令”和“位置”来判断是启动加载的是否为木马。如果判断为木马则可以将其启动取消,然后再作进一步的处理。
8、注册表
我们程序的运行控制大多是由注册表控制的,因此我们有必要对注册表进行检查。运行“regedit”打开注册表编辑器,然后依次检查如下区域:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion,看看这三个区域下所有以“run”开头的键值,如果键值的内容指向一些隐藏的文件或自己从未安装过的程序,那么这些则很可能是木马了。
木马之所以能够为非作歹,正是因为其善于隐藏自己。不过我们掌握了其藏身之处,那么则可以将其一一清除。当然,木马在实际的伪装隐藏自己中,可能会综合使用上面一种或几种方法来伪装,这就需要我们在检查清除时,不能只检查其中的部分地点。新人快速上手指南之电脑木马查杀大全 常在河边走,哪有不湿脚?所以有时候上网时间长了,很有可能被攻击者在电脑中种了木马。如何来知道电脑有没有被装了木马呢?
一、手工方法:
1、检查网络连接情况
由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”,然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。
2、查看目前运行的服务
服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”->“运行”->“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。
3、检查系统启动项
由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看,在该文件的[boot]字段中,是不是有shell=Explorer.exe file.exe这样的内容,如有这样的内容,那这里的file.exe就是木马程序了!
4、检查系统帐户
恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户却很少用的,然后把这个账户的权限提升为管理员权限,这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况,可以用以下方法对账户进行检测。
点击“开始”->“运行”->“cmd”,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧!
如果检查出有木马的存在,可以按以后步骤进行杀木马的工作。
1、运行任务管理器,杀掉木马进程。
2、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。
3、删除上述可疑键在硬盘中的执行文件。
4、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。
6、检查HKEY_CLASSES_ROOT\txtfile\shell\open\command和 HKEY_CLASSES_ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的。
二、利用工具:
查杀木马的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等,其中有些工具,如果想使用全部功能,需要付一定的费用,木马分析专家是免费授权使用。修改注册表增强系统对木马病毒的防御 通常木马病毒是通过注册表来启动服务的,所以注册表对于系统防御病毒有着比较重要的意义。按照理论上来说,我们可以通过修改注册表的属性来预防病毒和木马,实际上亦可行,具体的实施方法如下:
Windows2000/XP/2003的注册表是可以设置权限的,只是我们比较少用到。设置以下注册表键的权限:
1、设置注册表自启动项为everyone只读(Run、RunOnce、RunService),防止木马、病毒通过自启动项目启动
2、设置.txt、.com、.exe、.inf、.ini、.bat等等文件关联为everyone只读,防止木马、病毒通过文件关联启动
3、设置注册表HKLM\SYSTEM\CurrentControlSet\Services为everyone只读,防止木马、病毒以"服务"方式启动
注册表键的权限设置可以通过以下方式实现:
1、如果在域环境里,可能通过活动目录的组策略实现的
2、本地计算机的组策略来(命令行用gpedit.msc)
3、手工操作可以通过regedt32(Windows2000系统,在菜单“安全”下的“权限”)或regedit(Windows2003/XP,在“编辑”菜单下的“权限”)
如果只有users组权限,以上键值默认是只读的,就可以不用这么麻烦了。 [3]
改成什么自己随便 (xp和win2000是在system32下)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键Compatibility,并设定键值为0x00000400即可。
还有windows\command\debug.exe和windows\ftp.exe都给改个名字 (或者删除)
一些最新流行的木马 最有效果的防御~~
比如网络上流行 的木马 smss.exe 这个是其中一种木马的主体 潜伏在 98/winme/xp c:\windows目录下 2000 c:\winnt .....
假如你中了这个木马 首先我们用进程管理器结束 正在运行的木马smss.exe 然后在C:\windows 或 c:\winnt\目录下 创建一个假的 smss.exe 并设置为只读属性~ (2000/XP NTFS的磁盘格式 的话那就更好 可以用“安全设置” 设置为读取) 这样木马没了~ 以后也不会在感染了这个办法本人测试过对很多木马
都很有效果的
经过这样的修改后,我现在专门找别人发的木马网址去测试,实验结果是上了大概20个木马网站,有大概15个瑞星会报警,另外5个瑞星没有反映,而我的机器没有添加出来新的EXE文件,也没有新的进程出现,只不过有些木马的残骸留在了IE的临时文件夹里,他们没有被执行起来,没有危险性,所以建议大家经常清理 临时文件夹和IE
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
防治木马的危害,应该采取以下措施:
第一,安装杀毒软件和个人防火墙,并及时升级。
第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。
第三,可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
第四,如果使用IE浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
远程控制的木马有:冰河,灰鸽子,上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多.现在的木马程序常常和和DLL文件息息相关,被很多人称之为“DLL木马”。DLL木马的最高境界是线程插入技术,线程插入技术指的是将自己的代码嵌入正在运行的进程中的技术。理论上说,在Windows中的每个进程都有自己的私有内存空间,别的进程是不允许对这个私有空间进行操作的,但是实际上,我们仍然可以利用种种方法进入并操作进程的私有内存,因此也就拥有了那个远程进程相当的权限。无论怎样,都是让木马的核心代码运行于别的进程的内存空间,这样不仅能很好地隐藏自己,也能更好地保护自己。
DLL不能独立运行,所以要想让木马跑起来,就需要一个EXE文件使用动态嵌入技术让DLL搭上其他正常进程的车,让被嵌入的进程调用这个DLL的 DllMain函数,激发木马运行,最后启动木马的EXE结束运行,木马启动完毕。启动DLL木马的EXE是个重要角色,它被称为Loader, Loader可以是多种多样的,Windows的Rundll32.exe也被一些DLL木马用来作为Loader,这种木马一般不带动态嵌入技术,它直接注入Rundll32进程运行,即使你杀了Rundll32进程,木马本体还是存在的。利用这种方法除了可以启动木马之外,不少应用程序也采用了这种启动方式,一个最常见的例子是“3721网络实名”。
“3721网络实名”就是通过Rundll32调用“网络实名”的DLL文件实现的。在一台安装了网络实名的计算机中运行注册表编辑器,依次展开 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”,发现一个名为“CnsMin”的启动项,其键值为“Rundll32 C:\WINDOWS\Downlo~1\CnsMin.dll,Rundll32”,CnsMin.dll是网络实名的DLL文件,这样就通过 Rundll32命令实现了网络实名的功能。
简单防御方法
DLL木马的查杀比一般病毒和木马的查杀要更加困难,建议用户经常看看系统的启动项中有没有多出莫名其妙的项目,这是DLL木马Loader可能存在的场所之一。如果用户有一定的编程知识和分析能力,还可以在Loader里查找DLL名称,或者从进程里看多挂接了什么陌生的DLL。对普通用户来说,最简单有效的方法还是用杀毒软件和防火墙来保护自己的计算机安全。现在有一些国外的防火墙软件会在DLL文件加载时提醒用户,比如Tiny、SSM等,这样我们就可以有效地防范恶意的DLL木马了。木马的防治方法 1、禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
注意:蠕虫移除干净后,请按照上述文章所述恢复系统还原的设置。
2、将计算机重启到安全模式或者 VGA 模式
关闭计算机,等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式
Windows 95/98/Me/2000/XP 用户:将计算机重启到安全模式。所有 Windows 32-bit 作系统,除了Windows NT,可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。
Windows NT 4 用户:将计算机重启到 VGA 模式。
扫描和删除受感染文件启动防病毒程序,并确保已将其配置为扫描所有文件。运行完整的系统扫描。如果检测到任何文件被 Download.Trojan 感染,请单击“删除”。如有必要,清除 Internet Explorer 历史和文件。如果该程序是在 Temporary Internet Files 文件夹中的压缩文件内检测到的,请执行以下步骤:
启动 Internet Explorer。单击“工具”>“Internet 选项”。单击“常规”选项卡“Internet 临时文件”部分中,单击“删除文件”,然后在出现提示后单击“确定”。在“历史”部分,单击“清除历史”,然后在出现提示后单击“是”。
[1]木马病毒专杀工具
远程控制的木马有:冰河(国人的骄傲,中国第一款木马),灰鸽子,上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多,大家自己找找吧
反木马病毒
木马专杀工具
木马防线 2005 V4.16
木马分析专家 2005 V6.57
木马克星(iparmor) V5.47
病毒.流行木马.盗号软件统杀工具
木马专杀大师 V2.6
木马专家 2005 0102
Windows木马清道夫
木马分析专家个人防火墙排查出电脑的木马 1、集成到程序中
由于用户一般不会主动程序,而种木马者为了吸引用户运行,他们会将木马文件和其它应用程序进行捆绑,用户看到的只是正常的程序。但是你一旦运行之后,不仅该正常的程序运行,而且捆绑在一起的木马程序也会在后台偷偷运行。
这种隐藏在其它应用程序之中的木马危害比较大,而且不容易发现。如果捆绑到系统文件中,那么则会随Windows启动而运行。不过只要我们安装个人防火墙或者启用Windows XP SP2中的Windows防火墙,那么在木马服务端试图连接种木马的客户端时,则会询问是否放行,据此即可判断出自己有无中木马。
2、隐藏在媒体文件中
这种类型严格上说,用户还没有中木马。不过它的危害容易被人忽略。因为大家对影音文件的警惕性不高。它的常用手段是在媒体文件中插入一段代码,代码中包含了一个网址,当播放到指定时间时即会自动访问该网址,而该网址所指页面的内容却是一些网页木马或其它危害。
因此,当我们在播放网上下载的影片时,如果发现突然打开了窗口,那么切不可好奇而应将其立即关闭,然后跳过该时间段影片的播放。
3、隐藏在System.ini
4、隐藏在Win.ini
与System.ini相似,Win.ini中也是木马喜欢加载的一个地方。对此我们可以打开系统目录下的Win.ini文件,然后查看[Windows]区域“load=”和“run=”,正常情况下它们后面应该是空白,如果你发现它们后面加了某个程序,那么加载的程序则可能是木马,需要将它们删除。
5、隐藏在Autoexec.bat
在C盘根目录下有一个Autoexec.bat文件,这里的内容将会在系统启动时自动运行。与该文件类似的还有Config.sys。因为它自动运行,因此也成为木马的一个藏身之地。对此我们同样需要打开这两个文件,检查里面是否加载了来历不明的程序在运行。
6、任务管理器
部分木马运行后我们可以在任务管理器中找出它的踪迹。在任务栏上右击,在弹出的菜单中选择“任务管理器”,将打开的窗口切换到“进程”标签,在这里查看有没有占用较多资源的进程,有没有不熟悉的进程。若有,可以先试着将它们关闭。另外要特别注意Explorer.exe这类进程,因为很多木马会使用Exp1orer.exe进程名,即把l换成1,用户不仔细查看,还以为是系统进程呢。
7、启动
在Windows XP中,我们可以运行“msconfig”,将打开的窗口切换到“启动”标签,在这里可以看到所有启动加载的项目,此时就可以根据“命令”和“位置”来判断是启动加载的是否为木马。如果判断为木马则可以将其启动取消,然后再作进一步的处理。
8、注册表
我们程序的运行控制大多是由注册表控制的,因此我们有必要对注册表进行检查。运行“regedit”打开注册表编辑器,然后依次检查如下区域:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion,看看这三个区域下所有以“run”开头的键值,如果键值的内容指向一些隐藏的文件或自己从未安装过的程序,那么这些则很可能是木马了。
木马之所以能够为非作歹,正是因为其善于隐藏自己。不过我们掌握了其藏身之处,那么则可以将其一一清除。当然,木马在实际的伪装隐藏自己中,可能会综合使用上面一种或几种方法来伪装,这就需要我们在检查清除时,不能只检查其中的部分地点。新人快速上手指南之电脑木马查杀大全 常在河边走,哪有不湿脚?所以有时候上网时间长了,很有可能被攻击者在电脑中种了木马。如何来知道电脑有没有被装了木马呢?
一、手工方法:
1、检查网络连接情况
由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”,然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。
2、查看目前运行的服务
服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”->“运行”->“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。
3、检查系统启动项
由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看,在该文件的[boot]字段中,是不是有shell=Explorer.exe file.exe这样的内容,如有这样的内容,那这里的file.exe就是木马程序了!
4、检查系统帐户
恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户却很少用的,然后把这个账户的权限提升为管理员权限,这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况,可以用以下方法对账户进行检测。
点击“开始”->“运行”->“cmd”,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧!
如果检查出有木马的存在,可以按以后步骤进行杀木马的工作。
1、运行任务管理器,杀掉木马进程。
2、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。
3、删除上述可疑键在硬盘中的执行文件。
4、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。
6、检查HKEY_CLASSES_ROOT\txtfile\shell\open\command和 HKEY_CLASSES_ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的。
二、利用工具:
查杀木马的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等,其中有些工具,如果想使用全部功能,需要付一定的费用,木马分析专家是免费授权使用。修改注册表增强系统对木马病毒的防御 通常木马病毒是通过注册表来启动服务的,所以注册表对于系统防御病毒有着比较重要的意义。按照理论上来说,我们可以通过修改注册表的属性来预防病毒和木马,实际上亦可行,具体的实施方法如下:
Windows2000/XP/2003的注册表是可以设置权限的,只是我们比较少用到。设置以下注册表键的权限:
1、设置注册表自启动项为everyone只读(Run、RunOnce、RunService),防止木马、病毒通过自启动项目启动
2、设置.txt、.com、.exe、.inf、.ini、.bat等等文件关联为everyone只读,防止木马、病毒通过文件关联启动
3、设置注册表HKLM\SYSTEM\CurrentControlSet\Services为everyone只读,防止木马、病毒以"服务"方式启动
注册表键的权限设置可以通过以下方式实现:
1、如果在域环境里,可能通过活动目录的组策略实现的
2、本地计算机的组策略来(命令行用gpedit.msc)
3、手工操作可以通过regedt32(Windows2000系统,在菜单“安全”下的“权限”)或regedit(Windows2003/XP,在“编辑”菜单下的“权限”)
如果只有users组权限,以上键值默认是只读的,就可以不用这么麻烦了。 [3]
温馨提示:答案为网友推荐,仅供参考
第1个回答 2013-11-12
病毒感染】
病毒可以使计算机工作效率急剧下降,造成频繁死机。这时,我们需用杀毒软件如KV300、金山毒霸、瑞星等来进行全面查毒、杀毒,并做到定时升级杀毒软件。
【CMOS设置不当】
该故障现象很普遍,如硬盘参数设置、模式设置、内存参数设置不当从而导致计算机无法启动。如将无ECC功能的内存设置为具有ECC功能,这样就会因内存错误而造成死机。
【系统文件的误删除】
由于Windows 9x启动需要有Command.com、Io.sys、Msdos.sys等文件,如果这些文件遭破坏或被误删除,即使在CMOS中各种硬件设置正确无误也无济于事。解决方法:使用同版本操作系统的启动盘启动计算机,然后键入“SYS C:”,重新传送系统文件即可。
【初始化文件遭破坏】
由于Windows 9x启动需要读取System.ini、Win.ini和注册表文件,如果存在Config.sys、Autoexec.bat文件,这两个文件也会被读取。只要这些文件中存在错误信息都可能出现死机,特别是System.ini、Win.ini、User.dat、System.dat这四个文件尤为重要。
【动态链接库文件(DLL)丢失】
在Windows操作系统中还有一类文件也相当重要,这就是扩展名为DLL的动态链接库文件,这些文件从性质上来讲是属于共享类文件,也就是说,一个DLL文件可能会有多个软件在运行时需要调用它。如果我们在删除一个应用软件的时候,该软件的反安装程序会记录它曾经安装过的文件并准备将其逐一删去,这时候就容易出现被删掉的动态链接库文件同时还会被其它软件用到的情形,如果丢失的链接库文件是比较重要的核心链接文件的话,那么系统就会死机,甚至崩溃。我们可用工具软件如“超级兔仔”对无用的DLL文件进行删除,这样会避免误删除。
【硬盘剩余空间太少或碎片太多】
如果硬盘的剩余空间太少,由于一些应用程序运行需要大量的内存、这样就需要虚拟内存,而虚拟内存则是由硬盘提供的,因此硬盘要有足够的剩余空间以满足虚拟内存的需求。同时用户还要养成定期整理硬盘、清除硬盘中垃圾文件的良好习惯。
【BIOS升级失败】
应备份BIOS以防不测,但如果你的系统需要对BIOS进行升级的话,那么在升级之前最好确定你所使用BIOS版本是否与你的PC相符合。如果BIOS升级不正确或者在升级的过程中出现意外断电,那么你的系统可能无法启动。所以在升级BIOS前千万要搞清楚BIOS的型号。如果你所使用的BIOS升级工具可以对当前BIOS进行备份,那么请把以前的BIOS在磁盘中拷贝一份。同时看系统是否支持BIOS恢复并且还要懂得如何恢复。
【软件升级不当】
大多数人可能认为软件升级是不会有问题的,事实上,在升级过程中都会对其中共享的一些组件也进行升级,但是其它程序可能不支持升级后的组件从而导致各种问题。
【滥用测试版软件】
最好少用软件的测试版,因为测试软件通常带有一些BUG或者在某方面不够稳定,使用后会出现数据丢失的程序错误、死机或者是系统无法启动。
【非法卸载软件】
不要把软件安装所在的目录直接删掉,如果直接删掉的话,注册表以及Windows目录中会有很多垃圾存在,久而久之,系统也会变不稳定而引起死机。
【使用盗版软件】
因为这些软件可能隐藏着病毒,一旦执行,会自动修改你的系统,使系统在运行中出现死机。
【应用软件的缺陷】
这种情况是常见的,如在Win 98中运行那些在DOS或Windows 3.1中运行良好的16位应用软件。Win 98是32位的,尽管它号称兼容,但是有许多地方是无法与16位应用程序协调的。还有一些情况,如在Win 95下正常使用的外设驱动程序,当操作系统升级后,可能会出现问题,使系统死机或不能正常启动。遇到这种情况应该找到外设的新版驱动。
【启动的程序太多】
这使系统资源消耗殆尽,使个别程序需要的数据在内存或虚拟内存中找不到,也会出现异常错误。
【非法操作】
用非法格式或参数非法打开或释放有关程序,也会导致电脑死机。请注意要牢记正确格式和相关参数,不随意打开和释放不熟悉的程序。
【非正常关闭计算机】
不要直接使用机箱中的电源按钮,否则会造成系统文件损坏或丢失,引起自动启动或者运行中死机。对于Windows 98/2000/NT等系统来说,这点非常重要,严重的话,会引起系统崩溃。
【内存中冲突】
有时候运行各种软件都正常,但是却忽然间莫名其妙地死机,重新启动后运行这些应用程序又十分正常,这是一种假死机现象。出现的原因多是Win 98的内存资源冲突。大家知道,应用软件是在内存中运行的,而关闭应用软件后即可释放内存空间。但是有些应用软件由于设计的原因,即使在关闭后也无法彻底释放内存的,当下一软件需要使用这一块内存地址时,就会出现冲突
病毒可以使计算机工作效率急剧下降,造成频繁死机。这时,我们需用杀毒软件如KV300、金山毒霸、瑞星等来进行全面查毒、杀毒,并做到定时升级杀毒软件。
【CMOS设置不当】
该故障现象很普遍,如硬盘参数设置、模式设置、内存参数设置不当从而导致计算机无法启动。如将无ECC功能的内存设置为具有ECC功能,这样就会因内存错误而造成死机。
【系统文件的误删除】
由于Windows 9x启动需要有Command.com、Io.sys、Msdos.sys等文件,如果这些文件遭破坏或被误删除,即使在CMOS中各种硬件设置正确无误也无济于事。解决方法:使用同版本操作系统的启动盘启动计算机,然后键入“SYS C:”,重新传送系统文件即可。
【初始化文件遭破坏】
由于Windows 9x启动需要读取System.ini、Win.ini和注册表文件,如果存在Config.sys、Autoexec.bat文件,这两个文件也会被读取。只要这些文件中存在错误信息都可能出现死机,特别是System.ini、Win.ini、User.dat、System.dat这四个文件尤为重要。
【动态链接库文件(DLL)丢失】
在Windows操作系统中还有一类文件也相当重要,这就是扩展名为DLL的动态链接库文件,这些文件从性质上来讲是属于共享类文件,也就是说,一个DLL文件可能会有多个软件在运行时需要调用它。如果我们在删除一个应用软件的时候,该软件的反安装程序会记录它曾经安装过的文件并准备将其逐一删去,这时候就容易出现被删掉的动态链接库文件同时还会被其它软件用到的情形,如果丢失的链接库文件是比较重要的核心链接文件的话,那么系统就会死机,甚至崩溃。我们可用工具软件如“超级兔仔”对无用的DLL文件进行删除,这样会避免误删除。
【硬盘剩余空间太少或碎片太多】
如果硬盘的剩余空间太少,由于一些应用程序运行需要大量的内存、这样就需要虚拟内存,而虚拟内存则是由硬盘提供的,因此硬盘要有足够的剩余空间以满足虚拟内存的需求。同时用户还要养成定期整理硬盘、清除硬盘中垃圾文件的良好习惯。
【BIOS升级失败】
应备份BIOS以防不测,但如果你的系统需要对BIOS进行升级的话,那么在升级之前最好确定你所使用BIOS版本是否与你的PC相符合。如果BIOS升级不正确或者在升级的过程中出现意外断电,那么你的系统可能无法启动。所以在升级BIOS前千万要搞清楚BIOS的型号。如果你所使用的BIOS升级工具可以对当前BIOS进行备份,那么请把以前的BIOS在磁盘中拷贝一份。同时看系统是否支持BIOS恢复并且还要懂得如何恢复。
【软件升级不当】
大多数人可能认为软件升级是不会有问题的,事实上,在升级过程中都会对其中共享的一些组件也进行升级,但是其它程序可能不支持升级后的组件从而导致各种问题。
【滥用测试版软件】
最好少用软件的测试版,因为测试软件通常带有一些BUG或者在某方面不够稳定,使用后会出现数据丢失的程序错误、死机或者是系统无法启动。
【非法卸载软件】
不要把软件安装所在的目录直接删掉,如果直接删掉的话,注册表以及Windows目录中会有很多垃圾存在,久而久之,系统也会变不稳定而引起死机。
【使用盗版软件】
因为这些软件可能隐藏着病毒,一旦执行,会自动修改你的系统,使系统在运行中出现死机。
【应用软件的缺陷】
这种情况是常见的,如在Win 98中运行那些在DOS或Windows 3.1中运行良好的16位应用软件。Win 98是32位的,尽管它号称兼容,但是有许多地方是无法与16位应用程序协调的。还有一些情况,如在Win 95下正常使用的外设驱动程序,当操作系统升级后,可能会出现问题,使系统死机或不能正常启动。遇到这种情况应该找到外设的新版驱动。
【启动的程序太多】
这使系统资源消耗殆尽,使个别程序需要的数据在内存或虚拟内存中找不到,也会出现异常错误。
【非法操作】
用非法格式或参数非法打开或释放有关程序,也会导致电脑死机。请注意要牢记正确格式和相关参数,不随意打开和释放不熟悉的程序。
【非正常关闭计算机】
不要直接使用机箱中的电源按钮,否则会造成系统文件损坏或丢失,引起自动启动或者运行中死机。对于Windows 98/2000/NT等系统来说,这点非常重要,严重的话,会引起系统崩溃。
【内存中冲突】
有时候运行各种软件都正常,但是却忽然间莫名其妙地死机,重新启动后运行这些应用程序又十分正常,这是一种假死机现象。出现的原因多是Win 98的内存资源冲突。大家知道,应用软件是在内存中运行的,而关闭应用软件后即可释放内存空间。但是有些应用软件由于设计的原因,即使在关闭后也无法彻底释放内存的,当下一软件需要使用这一块内存地址时,就会出现冲突
第2个回答 2013-11-11
您好:如果怀疑系统存在病毒,建议您安装瑞星杀毒软件V16版本升级到最新病毒库后进行病毒扫描查杀,下载地址:
第3个回答 2013-11-12
上面的又是那位高手从网上抄袭的啊,真是的,抄来的有什么用,大家也说了,360是个不错的选择!
第4个回答 2013-11-12
使用杀毒软件杀毒 使用360SAFE杀木马
