電腦中木馬病毒了怎么辦 六步讓你和木馬說永別

大(da)家都知道什么方法是(shi)最(zui)好的(de)預防措施(shi)嗎，我個(ge)人覺得，就是(shi)在事(shi)情(qing)沒有(you)放(fang)生之前制(zhi)止(zhi)了(le)，這(zhe)個(ge)是(shi)一個(ge)比較好的(de)方法，從(cong)而(er)，我們也就知道，只要在開機的(de)時(shi)候，拒絕木(mu)馬運行，也就從(cong)此和它88了(le)

（一）刪除不正常啟動項目

1 開(kai)始 中 啟(qi)動，大(da)家可以看里面的程序

2 注冊表中：

"HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor" 找到并雙擊“AutoRun”

"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion" 找到(dao)并(bing)雙擊(ji)“Run”

"HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun"（這個一(yi)般與“開(kai)始”中“啟(qi)動”的相同，但是(shi)在“啟(qi)動”中沒有顯示）

大(da)家可(ke)以在這里面(mian)的程序(xu)，哪個不正常，就刪除(chu)它

3 開始---運行---gpedit.msc 策(ce)略組--用戶配置--管(guan)理模塊(kuai)--系統--登陸--

4 系統服務(wu)中的設置

大家自己(ji)看看，里面有哪個不正常(chang)的，就終止它

（二）檢查電腦端口判斷是否中馬.

我們具體(ti)以鴿子為(wei)一個例子：

我(wo)們先查(cha)看(kan)(kan)本機遠程8000的(de)端(duan)(duan)口，看(kan)(kan)是(shi)否打開，在沒有中鴿子(zi)之前(qian)是(shi)沒有遠程8000端(duan)(duan)口的(de), 由于為(wei)了讓大家看(kan)(kan)得明顯，我(wo)就(jiu)不改鴿子(zi)的(de)設(she)置，

實戰中大家要(yao)注意：

"GrayPigeon_Hacker.com.cn，灰鴿子服務(wu)端程(cheng)序。遠程(cheng)監控管理，"

這些被放鴿子的(de)人(ren)改過的(de)信息(xi)，只要與原(yuan)有的(de)比(bi)較一下(xia)，還是可以判斷出(chu)它是木馬的(de)

運行鴿子

基本步驟：

1 查(cha)端口，一(yi)般(ban)為8000，

大家(jia)可(ke)以用專業(ye)的工具查看(kan),

也可以用系統自帶的工具查看

比如:任務管(guan)理器,命令提示符(fu),

2 然后查程序所在位置終(zhong)止進程，

3 最后刪除文件(jian)

值得(de)注意的是騰訊QQ 也會開啟遠(yuan)程8000端口的，要注意區分(fen)，可以查詢騰訊IP。

（三）文件比較判斷系統是否中馬

通過對比(bi)的(de)方(fang)法(fa)，實現查找木馬

基本步驟：

1備分安全狀態下的一些(xie)情(qing)況

2異常(chang)時，把異常(chang)的文件情況導(dao)出

3對比前后兩次的結果，根據集(ji)體(ti)情況，自(zi)己判斷。

具(ju)體操作，看我演(yan)示(shi)一下:

首先因為木馬一(yi)般在windowssystem32，而且(qie)后綴名為exe,dll,我們備(bei)分一(yi)個安(an)全狀態下(xia)的目錄(lu)*.exe,*.dll的文件，命(ming)令dir *.exe>c:exe1.txt & dir *.dll>c:dll1.txt

意思(si)是說 提取system32目錄(lu)下所(suo)有(you)文件名后(hou)綴名為exe和dll的(de)文件的(de)名字到(dao)C盤exe1.txt與(yu)dll1.txt記事(shi)本里面.

導好了(le),我們去看看,

假設，我中木馬了(le)，木馬為 MMMMM.exe 和mmmmmm.dll,我們(men)(men)再來(lai)中一(yi)個鴿子(zi)，在不安全狀態(tai)下,我們(men)(men)又導(dao)出該目錄下的文件名,

命令dir *.exe>c:exe2.txt & dir *.dll>c:dll2.txt

存到C盤exe2.txt 與dll2.txt 里面, 下(xia)面我(wo)們進行比(bi)較(jiao),當然不可能(neng)一個(ge)個(ge)去看,我(wo)們讓電(dian)腦自動比(bi)較(jiao),

命令fc c:exe1.txt c:exe2.txt>>c:1.txt

fc c:dll1.txt c:dll2.txt>>c:2.txt

b1.txt b2.txt這(zhe)2個就是對比結果

大家(jia)看見(jian)了(le)吧，就(jiu)這樣，就(jiu)可(ke)以判斷(duan)是否(fou)中(zhong)了(le)木馬

然后我們找(zhao)到他們，終止進(jin)程，刪除(chu)就(jiu)OK了.

（四）檢查svchost.exe進程判斷是否中馬

通(tong)過(guo)“暫(zan)缺”判斷是否是木馬，再綜合路徑與端口(kou)

基本步驟：

1開始--運行(xing)--cmd

2再查路徑，

3最后查殺木馬

我們以svchost.exe為例子：

正常的svchost.exe是(shi)在%systemroot%system32下

木(mu)馬病(bing)毒的svchost.exe是在(zai)windowsststem32wins 或者(zhe)其他地方

像上興，REDgirl等木馬可以設(she)置(zhi)插入的進程(cheng)，大家要小心，鴿子的進程(cheng)也可以修(xiu)改，我們來(lai)簡單的操作(zuo)一(yi)下(xia)(xia)，先用(yong)任(ren)務管(guan)理器查看svchost.exe，svchost.exe會有4，5個左右，我們關閉一(yi)下(xia)(xia)，

如(ru)果：出現(xian)關機倒計(ji)時，是正常(chang)的，可以這樣取(qu)消：開始--運(yun)行--shutdown -a

我(wo)這(zhe)里沒(mei)有這(zhe)樣的(de)情況(kuang)，因為(wei)我(wo)沒(mei)有中(zhong)這(zhe)樣的(de)木(mu)馬，大家可(ke)以根據自己的(de)情況(kuang)具體(ti)判斷，開始--運行(xing)--cmd--tasklist /svc (win2000的(de)電腦用命令"tlist -s",我(wo)這(zhe)里是XP的(de))

svchost.exe“暫(zan)缺(que)(que)” ，那(nei)就是木(mu)馬(ma)了，我(wo)這里沒有(you)(you)，其他有(you)(you)的 “暫(zan)缺(que)(que)”，不(bu)一(yi)定是木(mu)馬(ma)

大家根據自己的(de)具體情況去判斷(duan), 以上也是一個(ge)查殺木(mu)馬的(de)方法，希望大家能進一步了(le)解木(mu)馬！

（五）利用防火墻抓出木馬蹤跡

借助防火墻(qiang)的(de)“訪問規則”來拒(ju)絕木馬(ma)的(de)進程，比如一些過主動防御的(de)木馬(ma)，雖然(ran)過了主動防御，但是(shi)在防火墻(qiang)還(huan)是(shi)會(hui)留下足跡的(de)，大家可以根(gen)據(ju)自己的(de)判斷(duan)做終止它，最后刪除。這也是(shi)一個(ge)有(you)效的(de)方法

（六）安裝還原防護軟件保護系統安全

建議(yi)大家要裝有殺毒軟件的(de)前提下(xia)，在做一些安全措施，比如:安系統還原精靈，影子(zi)系統等等

只要重起就沒有事情了，當然這個看你會不會靈活使用，有些人自然覺得不方便，我個人覺得很好，這個就是冰點還原精靈，只要同時按住ctrl+alt+shift+F6 就可以彈出設置畫面。