電腦中木馬病毒了怎么辦 六步讓你和木馬說永別
大(da)家(jia)都(dou)知道什么方法是(shi)最好的(de)預防措施嗎,我個人覺得,就是(shi)在(zai)事情沒有放生之前制止了,這個是(shi)一(yi)個比較好的(de)方法,從而,我們也(ye)(ye)就知道,只要在(zai)開機的(de)時(shi)候,拒絕木(mu)馬運行,也(ye)(ye)就從此和(he)它88了
(一)刪除不正常啟動項目
1 開始(shi) 中 啟動,大(da)家可以看里面的程序(xu)
2 注冊表中:
"HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor" 找到(dao)并(bing)雙擊“AutoRun”
"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion" 找到并雙(shuang)擊“Run”
"HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun"(這個一般(ban)與(yu)“開始”中“啟動(dong)”的相(xiang)同,但是在“啟動(dong)”中沒有顯(xian)示)
大家可以在這(zhe)里面的程序,哪個不(bu)正常,就(jiu)刪除(chu)它(ta)
3 開始---運行---gpedit.msc 策略(lve)組--用戶(hu)配(pei)置--管(guan)理模塊--系(xi)統--登陸(lu)--
4 系統服務中的設置
大家自己看看,里(li)面有哪個不正常(chang)的,就(jiu)終止它
(二)檢查電腦端口判斷是否中馬.
我們(men)具(ju)體(ti)以鴿子(zi)為一個例子(zi):
我們先(xian)查看本機遠程(cheng)8000的端口(kou),看是否打開,在沒有(you)中鴿子之前(qian)是沒有(you)遠程(cheng)8000端口(kou)的, 由于為了讓大家看得明顯(xian),我就不改(gai)鴿子的設置(zhi),
實(shi)戰中大(da)家要注意(yi):
"GrayPigeon_Hacker.com.cn,灰鴿(ge)子(zi)服務(wu)端程序。遠程監(jian)控管理,"
這些被放(fang)鴿子(zi)的(de)人改(gai)過的(de)信(xin)息,只(zhi)要與(yu)原(yuan)有的(de)比較一下,還是可(ke)以判斷出它是木(mu)馬的(de)
運行鴿子
基本步驟:
1 查端口(kou),一般為8000,
大(da)家可以用專業的工具(ju)查看(kan),
也可以用系統自帶的工具查看
比(bi)如(ru):任(ren)務管理器,命令提示符,
2 然后查(cha)程序所在位置終止進程,
3 最后刪(shan)除文件
值得注(zhu)意(yi)的是騰訊(xun)(xun)QQ 也(ye)會開(kai)啟遠(yuan)程(cheng)8000端(duan)口的,要(yao)注(zhu)意(yi)區分(fen),可以查詢騰訊(xun)(xun)IP。
(三)文件比較判斷系統是否中馬
通(tong)過(guo)對比(bi)的方法,實(shi)現查找木馬
基本步驟:
1備分安全(quan)狀態下的一些情況
2異常時(shi),把(ba)異常的(de)文件情況(kuang)導出(chu)
3對比(bi)前后兩次的結(jie)果,根據集體情(qing)況,自己判斷。
具體(ti)操作,看(kan)我演示一下:
首先因為(wei)木(mu)馬一般在windowssystem32,而(er)且后綴名為(wei)exe,dll,我們備分一個安全狀(zhuang)態(tai)下的(de)目錄*.exe,*.dll的(de)文件,命令dir *.exe>c:exe1.txt & dir *.dll>c:dll1.txt
意思是說 提(ti)取system32目錄(lu)下所有文件(jian)(jian)名(ming)后綴名(ming)為exe和(he)dll的(de)文件(jian)(jian)的(de)名(ming)字到C盤(pan)exe1.txt與dll1.txt記事本里面.
導(dao)好了,我們(men)去(qu)看看,
假(jia)設,我(wo)中木(mu)馬了,木(mu)馬為 MMMMM.exe 和mmmmmm.dll,我(wo)們再來中一個(ge)鴿子(zi),在不安全狀態下(xia),我(wo)們又導出該(gai)目錄下(xia)的文件名,
命令dir *.exe>c:exe2.txt & dir *.dll>c:dll2.txt
存到C盤exe2.txt 與dll2.txt 里面, 下(xia)面我(wo)們(men)(men)進(jin)行比(bi)較,當然不可能一個個去看,我(wo)們(men)(men)讓(rang)電腦(nao)自動比(bi)較,
命令fc c:exe1.txt c:exe2.txt>>c:1.txt
fc c:dll1.txt c:dll2.txt>>c:2.txt
b1.txt b2.txt這2個就(jiu)是(shi)對比結果
大(da)家看見了吧,就這樣(yang),就可以判斷是否中了木馬
然后我們(men)(men)找(zhao)到他(ta)們(men)(men),終止進程,刪除就OK了.
(四)檢查svchost.exe進程判斷是否中馬
通(tong)過“暫缺(que)”判斷是否是木馬,再綜合路徑與端口
基本步驟:
1開始--運行(xing)--cmd
2再查路徑,
3最后查殺木馬
我們以svchost.exe為(wei)例子:
正(zheng)常的svchost.exe是(shi)在%systemroot%system32下
木馬病毒的svchost.exe是(shi)在windowsststem32wins 或(huo)者其他地方
像上興(xing),REDgirl等(deng)木馬可(ke)以設置(zhi)插入的(de)進(jin)程,大家(jia)要小心(xin),鴿子(zi)的(de)進(jin)程也可(ke)以修(xiu)改,我們來簡(jian)單的(de)操作一下,先(xian)用任務管理(li)器查(cha)看svchost.exe,svchost.exe會有4,5個左右,我們關閉(bi)一下,
如(ru)果:出現(xian)關機倒計時(shi),是正常的,可以(yi)這(zhe)樣取消:開始(shi)--運行--shutdown -a
我(wo)這里沒有這樣的情況,因(yin)為我(wo)沒有中(zhong)這樣的木(mu)馬,大家可以(yi)根據自己的情況具體判(pan)斷,開始--運行--cmd--tasklist /svc (win2000的電腦用命令(ling)"tlist -s",我(wo)這里是XP的)
svchost.exe“暫(zan)缺” ,那就是(shi)(shi)木馬了,我(wo)這里(li)沒有(you),其他(ta)有(you)的 “暫(zan)缺”,不一定是(shi)(shi)木馬
大(da)家(jia)根據自己(ji)的具體情(qing)況去判斷, 以上也是一個查殺木(mu)馬的方(fang)法,希(xi)望大(da)家(jia)能(neng)進(jin)一步了解木(mu)馬!
(五)利用防火墻抓出木馬蹤跡
借助防火墻(qiang)的(de)(de)“訪問(wen)規則(ze)”來拒絕木(mu)馬的(de)(de)進程,比(bi)如一些過主動(dong)防御的(de)(de)木(mu)馬,雖然過了主動(dong)防御,但是在防火墻(qiang)還是會留下(xia)足(zu)跡的(de)(de),大家可(ke)以(yi)根據自己的(de)(de)判(pan)斷(duan)做(zuo)終止它,最后刪除。這也是一個有效的(de)(de)方法(fa)
(六)安裝還原防護軟件保護系統安全
建議(yi)大家(jia)要裝有殺毒軟件的前提下,在做一些安全(quan)措施,比如(ru):安系(xi)(xi)統還原精靈,影子系(xi)(xi)統等(deng)(deng)等(deng)(deng)
只要重起就沒有事情了,當然這個看你會不會靈活使用,有些人自然覺得不方便,我個人覺得很好,這個就是冰點還原精靈,只要同時按住ctrl+alt+shift+F6 就可以彈出設置畫面。