電腦中木馬病毒了怎么辦 六步讓你和木馬說永別

大(da)家(jia)都(dou)知道什么方法是(shi)最好的(de)預防措施嗎，我個人覺得，就是(shi)在(zai)事情沒有放生之前制止了，這個是(shi)一(yi)個比較好的(de)方法，從而，我們也(ye)(ye)就知道，只要在(zai)開機的(de)時(shi)候，拒絕木(mu)馬運行，也(ye)(ye)就從此和(he)它88了

（一）刪除不正常啟動項目

1 開始(shi) 中 啟動，大(da)家可以看里面的程序(xu)

2 注冊表中：

"HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor" 找到(dao)并(bing)雙擊“AutoRun”

"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion" 找到并雙(shuang)擊“Run”

"HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun"（這個一般(ban)與(yu)“開始”中“啟動(dong)”的相(xiang)同，但是在“啟動(dong)”中沒有顯(xian)示）

大家可以在這(zhe)里面的程序，哪個不(bu)正常，就(jiu)刪除(chu)它(ta)

3 開始---運行---gpedit.msc 策略(lve)組--用戶(hu)配(pei)置--管(guan)理模塊--系(xi)統--登陸(lu)--

4 系統服務中的設置

大家自己看看，里(li)面有哪個不正常(chang)的，就(jiu)終止它

（二）檢查電腦端口判斷是否中馬.

我們(men)具(ju)體(ti)以鴿子(zi)為一個例子(zi)：

我們先(xian)查看本機遠程(cheng)8000的端口(kou)，看是否打開，在沒有(you)中鴿子之前(qian)是沒有(you)遠程(cheng)8000端口(kou)的, 由于為了讓大家看得明顯(xian)，我就不改(gai)鴿子的設置(zhi)，

實(shi)戰中大(da)家要注意(yi)：

"GrayPigeon_Hacker.com.cn，灰鴿(ge)子(zi)服務(wu)端程序。遠程監(jian)控管理，"

這些被放(fang)鴿子(zi)的(de)人改(gai)過的(de)信(xin)息，只(zhi)要與(yu)原(yuan)有的(de)比較一下，還是可(ke)以判斷出它是木(mu)馬的(de)

運行鴿子

基本步驟：

1 查端口(kou)，一般為8000，

大(da)家可以用專業的工具(ju)查看(kan),

也可以用系統自帶的工具查看

比(bi)如(ru):任(ren)務管理器,命令提示符,

2 然后查(cha)程序所在位置終止進程，

3 最后刪(shan)除文件

值得注(zhu)意(yi)的是騰訊(xun)(xun)QQ 也(ye)會開(kai)啟遠(yuan)程(cheng)8000端(duan)口的，要(yao)注(zhu)意(yi)區分(fen)，可以查詢騰訊(xun)(xun)IP。

（三）文件比較判斷系統是否中馬

通(tong)過(guo)對比(bi)的方法，實(shi)現查找木馬

基本步驟：

1備分安全(quan)狀態下的一些情況

2異常時(shi)，把(ba)異常的(de)文件情況(kuang)導出(chu)

3對比(bi)前后兩次的結(jie)果，根據集體情(qing)況，自己判斷。

具體(ti)操作，看(kan)我演示一下:

首先因為(wei)木(mu)馬一般在windowssystem32，而(er)且后綴名為(wei)exe,dll,我們備分一個安全狀(zhuang)態(tai)下的(de)目錄*.exe,*.dll的(de)文件，命令dir *.exe>c:exe1.txt & dir *.dll>c:dll1.txt

意思是說 提(ti)取system32目錄(lu)下所有文件(jian)(jian)名(ming)后綴名(ming)為exe和(he)dll的(de)文件(jian)(jian)的(de)名(ming)字到C盤(pan)exe1.txt與dll1.txt記事本里面.

導(dao)好了,我們(men)去(qu)看看,

假(jia)設，我(wo)中木(mu)馬了，木(mu)馬為 MMMMM.exe 和mmmmmm.dll,我(wo)們再來中一個(ge)鴿子(zi)，在不安全狀態下(xia),我(wo)們又導出該(gai)目錄下(xia)的文件名,

命令dir *.exe>c:exe2.txt & dir *.dll>c:dll2.txt

存到C盤exe2.txt 與dll2.txt 里面, 下(xia)面我(wo)們(men)(men)進(jin)行比(bi)較,當然不可能一個個去看,我(wo)們(men)(men)讓(rang)電腦(nao)自動比(bi)較,

命令fc c:exe1.txt c:exe2.txt>>c:1.txt

fc c:dll1.txt c:dll2.txt>>c:2.txt

b1.txt b2.txt這2個就(jiu)是(shi)對比結果

大(da)家看見了吧，就這樣(yang)，就可以判斷是否中了木馬

然后我們(men)(men)找(zhao)到他(ta)們(men)(men)，終止進程，刪除就OK了.

（四）檢查svchost.exe進程判斷是否中馬

通(tong)過“暫缺(que)”判斷是否是木馬，再綜合路徑與端口

基本步驟：

1開始--運行(xing)--cmd

2再查路徑，

3最后查殺木馬

我們以svchost.exe為(wei)例子：

正(zheng)常的svchost.exe是(shi)在%systemroot%system32下

木馬病毒的svchost.exe是(shi)在windowsststem32wins 或(huo)者其他地方

像上興(xing)，REDgirl等(deng)木馬可(ke)以設置(zhi)插入的(de)進(jin)程，大家(jia)要小心(xin)，鴿子(zi)的(de)進(jin)程也可(ke)以修(xiu)改，我們來簡(jian)單的(de)操作一下，先(xian)用任務管理(li)器查(cha)看svchost.exe，svchost.exe會有4，5個左右，我們關閉(bi)一下，

如(ru)果：出現(xian)關機倒計時(shi)，是正常的，可以(yi)這(zhe)樣取消：開始(shi)--運行--shutdown -a

我(wo)這里沒有這樣的情況，因(yin)為我(wo)沒有中(zhong)這樣的木(mu)馬，大家可以(yi)根據自己的情況具體判(pan)斷，開始--運行--cmd--tasklist /svc (win2000的電腦用命令(ling)"tlist -s",我(wo)這里是XP的)

svchost.exe“暫(zan)缺” ，那就是(shi)(shi)木馬了，我(wo)這里(li)沒有(you)，其他(ta)有(you)的 “暫(zan)缺”，不一定是(shi)(shi)木馬

大(da)家(jia)根據自己(ji)的具體情(qing)況去判斷, 以上也是一個查殺木(mu)馬的方(fang)法，希(xi)望大(da)家(jia)能(neng)進(jin)一步了解木(mu)馬！

（五）利用防火墻抓出木馬蹤跡

借助防火墻(qiang)的(de)(de)“訪問(wen)規則(ze)”來拒絕木(mu)馬的(de)(de)進程，比(bi)如一些過主動(dong)防御的(de)(de)木(mu)馬，雖然過了主動(dong)防御，但是在防火墻(qiang)還是會留下(xia)足(zu)跡的(de)(de)，大家可(ke)以(yi)根據自己的(de)(de)判(pan)斷(duan)做(zuo)終止它，最后刪除。這也是一個有效的(de)(de)方法(fa)

（六）安裝還原防護軟件保護系統安全

建議(yi)大家(jia)要裝有殺毒軟件的前提下，在做一些安全(quan)措施，比如(ru):安系(xi)(xi)統還原精靈，影子系(xi)(xi)統等(deng)(deng)等(deng)(deng)

只要重起就沒有事情了，當然這個看你會不會靈活使用，有些人自然覺得不方便，我個人覺得很好，這個就是冰點還原精靈，只要同時按住ctrl+alt+shift+F6 就可以彈出設置畫面。