電腦中木馬病毒了怎么辦 六步讓你和木馬說永別
大(da)家都知道什么方法是(shi)最(zui)好的(de)預防措施(shi)嗎,我個(ge)人覺得,就是(shi)在事(shi)情(qing)沒有(you)放(fang)生之前制(zhi)止(zhi)了(le),這(zhe)個(ge)是(shi)一個(ge)比較好的(de)方法,從(cong)而(er),我們也就知道,只要在開機的(de)時(shi)候,拒絕木(mu)馬運行,也就從(cong)此和它88了(le)
(一)刪除不正常啟動項目
1 開(kai)始 中 啟(qi)動,大(da)家可以看里面的程序
2 注冊表中:
"HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor" 找到并雙擊“AutoRun”
"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion" 找到(dao)并(bing)雙擊(ji)“Run”
"HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun"(這個一(yi)般與“開(kai)始”中“啟(qi)動”的相同,但是(shi)在“啟(qi)動”中沒有顯示)
大(da)家可(ke)以在這里面(mian)的程序(xu),哪個不正常,就刪除(chu)它
3 開始---運行---gpedit.msc 策(ce)略組--用戶配置--管(guan)理模塊(kuai)--系統--登陸--
4 系統服務(wu)中的設置
大家自己(ji)看看,里面有哪個不正常(chang)的,就終止它
(二)檢查電腦端口判斷是否中馬.
我們具體(ti)以鴿子為(wei)一個例子:
我(wo)們先查(cha)看(kan)(kan)本機遠程8000的(de)端(duan)(duan)口,看(kan)(kan)是(shi)否打開,在沒有中鴿子(zi)之前(qian)是(shi)沒有遠程8000端(duan)(duan)口的(de), 由于為(wei)了讓大家看(kan)(kan)得明顯,我(wo)就(jiu)不改鴿子(zi)的(de)設(she)置,
實戰中大家要(yao)注意:
"GrayPigeon_Hacker.com.cn,灰鴿子服務(wu)端程(cheng)序。遠程(cheng)監控管理,"
這些被放鴿子的(de)人(ren)改過的(de)信息(xi),只要與原(yuan)有的(de)比(bi)較一下(xia),還是可以判斷出(chu)它是木馬的(de)
運行鴿子
基本步驟:
1 查(cha)端口,一(yi)般(ban)為8000,
大家(jia)可(ke)以用專業(ye)的工具查看(kan),
也可以用系統自帶的工具查看
比如:任務管(guan)理器,命令提示符(fu),
2 然后查程序所在位置終(zhong)止進程,
3 最后刪除文件(jian)
值得(de)注意的是騰訊QQ 也會開啟遠(yuan)程8000端口的,要注意區分(fen),可以查詢騰訊IP。
(三)文件比較判斷系統是否中馬
通過對比(bi)的(de)方(fang)法(fa),實現查找木馬
基本步驟:
1備分安全狀態下的一些(xie)情(qing)況
2異常(chang)時,把異常(chang)的文件情況導(dao)出
3對比前后兩次的結果,根據集(ji)體(ti)情況,自(zi)己判斷。
具(ju)體操作,看我演(yan)示(shi)一下:
首先因為木馬一(yi)般在windowssystem32,而且(qie)后綴名為exe,dll,我們備(bei)分一(yi)個安(an)全狀態下(xia)的目錄(lu)*.exe,*.dll的文件,命(ming)令dir *.exe>c:exe1.txt & dir *.dll>c:dll1.txt
意思(si)是說 提取system32目錄(lu)下所(suo)有(you)文件名后(hou)綴名為exe和dll的(de)文件的(de)名字到(dao)C盤exe1.txt與(yu)dll1.txt記事(shi)本里面.
導好了(le),我們去看看,
假設,我中木馬了(le),木馬為 MMMMM.exe 和mmmmmm.dll,我們(men)(men)再來(lai)中一(yi)個鴿子(zi),在不安全狀態(tai)下,我們(men)(men)又導(dao)出該目錄下的文件名,
命令dir *.exe>c:exe2.txt & dir *.dll>c:dll2.txt
存到C盤exe2.txt 與dll2.txt 里面, 下(xia)面我(wo)們進行比(bi)較(jiao),當然不可能(neng)一個(ge)個(ge)去看,我(wo)們讓電(dian)腦自動比(bi)較(jiao),
命令fc c:exe1.txt c:exe2.txt>>c:1.txt
fc c:dll1.txt c:dll2.txt>>c:2.txt
b1.txt b2.txt這(zhe)2個就是對比結果
大家(jia)看見(jian)了(le)吧,就(jiu)這樣,就(jiu)可(ke)以判斷(duan)是否(fou)中(zhong)了(le)木馬
然后我們找(zhao)到他們,終止進(jin)程,刪除(chu)就(jiu)OK了.
(四)檢查svchost.exe進程判斷是否中馬
通(tong)過(guo)“暫(zan)缺”判斷是否是木馬,再綜合路徑與端口(kou)
基本步驟:
1開始--運行(xing)--cmd
2再查路徑,
3最后查殺木馬
我們以svchost.exe為例子:
正常的svchost.exe是(shi)在%systemroot%system32下
木(mu)馬病(bing)毒的svchost.exe是在(zai)windowsststem32wins 或者(zhe)其他地方
像上興,REDgirl等木馬可以設(she)置(zhi)插入的進程(cheng),大家要小心,鴿子的進程(cheng)也可以修(xiu)改,我們來(lai)簡單的操作(zuo)一(yi)下(xia)(xia),先用(yong)任(ren)務管(guan)理器查看svchost.exe,svchost.exe會有4,5個左右,我們關閉一(yi)下(xia)(xia),
如(ru)果:出現(xian)關機倒計(ji)時,是正常(chang)的,可以這樣取(qu)消:開始--運(yun)行--shutdown -a
我(wo)這(zhe)里沒(mei)有這(zhe)樣的(de)情況(kuang),因為(wei)我(wo)沒(mei)有中(zhong)這(zhe)樣的(de)木(mu)馬,大家可(ke)以根據自己的(de)情況(kuang)具體(ti)判斷,開始--運行(xing)--cmd--tasklist /svc (win2000的(de)電腦用命令"tlist -s",我(wo)這(zhe)里是XP的(de))
svchost.exe“暫(zan)缺(que)(que)” ,那(nei)就是木(mu)馬(ma)了,我(wo)這里沒有(you)(you),其他有(you)(you)的 “暫(zan)缺(que)(que)”,不(bu)一(yi)定是木(mu)馬(ma)
大家根據自己的(de)具體情況去判斷(duan), 以上也是一個(ge)查殺木(mu)馬的(de)方法,希望大家能進一步了(le)解木(mu)馬!
(五)利用防火墻抓出木馬蹤跡
借助防火墻(qiang)的(de)“訪問規則”來拒(ju)絕木馬(ma)的(de)進程,比如一些過主動防御的(de)木馬(ma),雖然(ran)過了主動防御,但是(shi)在防火墻(qiang)還(huan)是(shi)會(hui)留下足跡的(de),大家可以根(gen)據(ju)自己的(de)判斷(duan)做終止它,最后刪除。這也是(shi)一個(ge)有(you)效的(de)方法
(六)安裝還原防護軟件保護系統安全
建議(yi)大家要裝有殺毒軟件的(de)前提下(xia),在做一些安全措施,比如:安系統還原精靈,影子(zi)系統等等
只要重起就沒有事情了,當然這個看你會不會靈活使用,有些人自然覺得不方便,我個人覺得很好,這個就是冰點還原精靈,只要同時按住ctrl+alt+shift+F6 就可以彈出設置畫面。