電腦中了病毒木馬該怎么辦
木馬實(shí)質(zhì)上是一個(gè)程序,必須運(yùn)行后才能工作,所以會(huì)在進(jìn)程表、注冊(cè)表中留下蛛絲馬跡,我們可以通過(guò)“查、堵、殺”將它“緝拿歸案”。下面由學(xué)習(xí)啦小編給你做出詳細(xì)的介紹!希望對(duì)你有幫助!
1.檢查系統(tǒng)進(jìn)程
大部分木馬運(yùn)行后會(huì)顯示在進(jìn)程管理器中,所以對(duì)系統(tǒng)進(jìn)程列表進(jìn)行分析和過(guò)濾,可以發(fā)現(xiàn)可疑程序。特別是利用與正常進(jìn)程的CPU資源占用率和句柄數(shù)的比較,發(fā)現(xiàn)異?,F(xiàn)象。
2.檢查注冊(cè)表、ini文件和服務(wù)
木馬為了能夠在開(kāi)機(jī)后自動(dòng)運(yùn)行,往往在注冊(cè)表如下選項(xiàng)中添加注冊(cè)表項(xiàng):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
木馬亦可在Win.ini和System.ini的“run=”、“load=”、“shell=”后面加載,如果在這些選項(xiàng)后面加載程序是你不認(rèn)識(shí)的,就有可能是木馬。木馬最慣用的伎倆就是把“Explorer”變成自己的程序名,只需稍稍改“Explorer”的字母“l”改為數(shù)字“1”,或者把其中的“o”改為數(shù)字“0”,這些改變?nèi)绻蛔屑?xì)觀察是很難被發(fā)現(xiàn)。
在Windwos NT/2000中,木馬會(huì)將自己作為服務(wù)添加到系統(tǒng)中,甚至隨機(jī)替換系統(tǒng)沒(méi)有啟動(dòng)的服務(wù)程序來(lái)實(shí)現(xiàn)自動(dòng)加載,檢測(cè)時(shí)要對(duì)操作系統(tǒng)的常規(guī)服務(wù)有所了解。
3.檢查開(kāi)放端口
遠(yuǎn)程控制型木馬以及輸出Shell型的木馬,大都會(huì)在系統(tǒng)中監(jiān)聽(tīng)某個(gè)端口,接收從控制端發(fā)來(lái)的命令,并執(zhí)行。通過(guò)檢查系統(tǒng)上開(kāi)啟的一些“奇怪”的端口,從而發(fā)現(xiàn)木馬的蹤跡。在命令行中輸入Netstat na,可以清楚地看到系統(tǒng)打開(kāi)的端口和連接。
4.監(jiān)視網(wǎng)絡(luò)通訊
對(duì)于一些利用ICMP數(shù)據(jù)通訊的木馬,被控端沒(méi)有打開(kāi)任何監(jiān)聽(tīng)端口,無(wú)需反向連接,不會(huì)建立連接,采用第三種方法檢查開(kāi)放端口的方法就行不通??梢躁P(guān)閉所有網(wǎng)絡(luò)行為的進(jìn)程,然后打開(kāi)Sniffer軟件進(jìn)行監(jiān)聽(tīng),如此時(shí)仍有大量的數(shù)據(jù),則基本可以確定后臺(tái)正運(yùn)行著木馬。
堵
1.堵住控制通路
如果你的網(wǎng)絡(luò)連接處于禁用狀態(tài)后或取消撥號(hào)連接,反復(fù)啟動(dòng)、打開(kāi)窗口等不正?,F(xiàn)象消失,那么可以判斷你的電腦中了木馬。通過(guò)禁用網(wǎng)絡(luò)連接或拔掉網(wǎng)線,就可以完全避免遠(yuǎn)端計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)對(duì)你的控制。當(dāng)然,亦可以通過(guò)防火墻關(guān)閉或過(guò)濾UDP、TCP、ICMP端口。
2.殺掉可疑進(jìn)程
如通過(guò)Pslist查看可疑進(jìn)程,用Pskill殺掉可疑進(jìn)程后,如果計(jì)算機(jī)正常,說(shuō)明這個(gè)可疑進(jìn)程通過(guò)網(wǎng)絡(luò)被遠(yuǎn)端控制,從而使計(jì)算機(jī)不正常。
殺
1.手工刪除
對(duì)于一些可疑文件,不能立即刪除,有可能由于誤刪系統(tǒng)文件而使計(jì)算機(jī)不能正常工作。首先備份可疑文件和注冊(cè)表,接著用Ultraedit32編輯器查看文件首部信息,通過(guò)可疑文件里面的明文字符對(duì)木馬有一個(gè)大致了解。當(dāng)然高手們還可以通過(guò)W32Dasm等專用反編譯軟件對(duì)可疑文件進(jìn)行靜態(tài)分析,查看文件的導(dǎo)入函數(shù)列表和數(shù)據(jù)段部分,初步了解程序的主要功能。最后,刪除木馬文件及注冊(cè)表中的鍵值。
2.軟件殺毒
由于木馬編寫(xiě)技術(shù)的不斷進(jìn)步,很多木馬有了自我保護(hù)機(jī)制。普通用戶最好通過(guò)專業(yè)的殺毒軟件如瑞星殺毒軟件進(jìn)行殺毒,對(duì)于殺毒軟件,一定要及時(shí)更新,并通過(guò)病毒公告及時(shí)了解新木馬的預(yù)防和查殺絕技,或者通過(guò)下載專用的殺毒軟件進(jìn)行殺毒。
此行為需精通注冊(cè)表,個(gè)人不推薦。當(dāng)然,你用我也不反對(duì)。
P.S
三招避免病毒:
1. 打開(kāi)U盤(pán)之前最好養(yǎng)成先殺毒的習(xí)慣。
2. 在論壇里看到鏈接不要隨便點(diǎn)開(kāi),尤其是用美女及免費(fèi)吸引你點(diǎn)擊欲望的。
3. 最權(quán)威的下載站有天空、太平洋、霏凡、華軍等。下載后安裝的時(shí)候一步一步看清楚,費(fèi)不了幾分鐘的事。
最最重要的是,無(wú)論哪種殺毒軟件,都要定期升級(jí)。定期殺毒,如果你不這樣做,就算你裝世上最強(qiáng)的殺毒軟件,還是會(huì)中毒。
另外,經(jīng)常使用360,配合殺毒軟件保護(hù)電腦安全。360在查殺惡意軟件和修補(bǔ)系統(tǒng)漏洞上應(yīng)該是首屈一指了,說(shuō)實(shí)話比卡卡強(qiáng)多了。但是殺木馬能力還要再加強(qiáng)才行,像目前這樣才有10W木馬庫(kù)肯定不行。
Ghost備份是必要的,但是一定記得在所有程序裝完之后,或者系統(tǒng)狀態(tài)良好的情況下備份,要不然還不如重裝系統(tǒng)。
看了此文電腦中了病毒木馬該怎么辦的人還看了:
4.電腦木馬解決方案
電腦中了病毒木馬該怎么辦
上一篇:電腦中毒的詳細(xì)解決方案
下一篇:判斷電腦中了病毒的解決方法