本文目录一览:
笔记本怎么查杀病毒?
一旦发现病毒,就要立即查杀病毒。普通病毒通过最新版的杀毒软件查杀病毒,杀毒软 件会自动检查有无病毒,并清除病毒。
对于黑客木马病毒,一般不会破坏系统,只是占用了系统的资源而导致电脑的运行速度 变慢,会占据进程。其存在的主要目的是为了盗取一些重要资料以及密码。可以通过以下方 法将其查杀。以雷神911为例:
(1)安装最新的杀毒软件和防火墙,运行杀毒软件进行杀毒。
(2)手动查找黑客、木马病毒。
1 重启电脑在安全模式下,选择“工具”→“文件夹选项”,在“查看”选项卡的“高级设置”列表中取消“隐藏受保护文件的操作系统文件(推荐)”选择。
2打开我的电脑的 C 盘,将 C 盘中不熟悉的文件并且日期是中病毒当天的删除。 对 C:\Windows\System32 下的文件也采取同样的处理。
3同理查看 C:\Program Files\Internet Explorer 和 C:\Program Files\Common Files文件。
4查看注册表的启动项 ,删除不认识的启动项目,同时清空临时文件C:\WINDOWS\Temp。重启电脑后即可手动查找黑客、木马病毒。
电脑老是自己安装一些软件怎么设置?
电脑老是自己安装一些不用的软件(垃圾软件),我以win10为例解决方法如下:
1、设置文件路径
首先找到桌面“此电脑”鼠标右击,选择“管理”。在“计算机管理”窗口中,需要点击“服务和应用程序”。然后进入到“服务”功能页面后,找到“Windows Installer”,双击鼠标打开窗口。在“常规”中将“启动类型”更改为“禁用”,最后点击确定就可以了。
2、禁止用户安装
使用快捷键“Win+R”打开运行窗口,输入“gpedit.msc”,点击确定。之后在“本地组策略编辑器”中点击“计算机配置”-“管理模块”-“Windows组件”-“Windows Installer“,双击鼠标,在设置列表中找到“禁止用户安装”,并点击。进入到“禁止用户安装”窗口后,要将禁止用户安装修改为“已启用”,然后把下面的用户行为调整为“隐藏用户安装”,最后再点击“确定”就可以了。
3、查杀病毒
当电脑中病毒或木马之后,这些病毒或木马会破坏系统文件,然后强制下载、安装一些软件,哪怕用户手动卸载了这些软件,过段时间又会再次出现。
除了自动下载软件之外,有些病毒或木马还会破坏系统文件、占用大量网速,导致电脑出现卡顿、运行软件缓慢的情况。只要木马和病毒存在一天,那么电脑就会经常出现此类问题。
遇到这种情况,直接下载专用的查杀工具、杀毒软件,然后对电脑的整个磁盘空间进行查杀,查杀完毕后重启电脑,就不会再出现自动下载、安装软件的问题了。
4、重做系统
随着国内打击盗版的力度越来越大,很多用户也开始用起了正版系统,但对于大多数普通用户来说,因为正版系统需要花钱,所以很多人还是会选择盗版系统。
而盗版系统实际上就是经过优化的系统,然后再进行二次封装,用户使用二次封装的镜像系统,将其克隆到电脑的磁盘内。
因为这种克隆系统是盗版,一些系统的开发者为了牟利,就会在系统中内置一些恶意插件,当用户安装了此类系统时,平时是可以正常使用的,但在静默的时候就会偷偷的下载安装一些有推广奖励的软件。
遇到这种情况,最好的办法就是重新安装系统,找一个纯净版或者没有安装恶意插件的系统版本安装即可。
怎么用笔记本杀病毒木马拜托各位了 3Q
系统自带不起眼但又很强的杀毒工具 Windows系统集成了无数的工具,它们各司其职,满足用户不同的应用需求。其实这些工具“多才多艺”,如果你有足够的想象力并且善于挖掘,你会发现它们除了本行之外还可以帮我们杀毒。 一、任务管理器给病毒背后一刀 Windows任务管理器是大家对进程进行管理的主要工具,在它的“进程”选项卡中能查看当前系统进程信息。在默认设置下,一般只能看到映像名称、用户名、CPU占用、内存使用等几项,而更多如I/O读写、虚拟内存大小等信息却被隐藏了起来。可别小看了这些被隐藏的信息,当系统出现莫名其妙的故障时,没准就能从它们中间找出突破口。 1.查杀会自动消失的双进程木马 前段时间朋友的电脑中了某木马,通过任务管理器查出该木马进程为“system.exe”,终止它后再刷新,它又会复活。进入安全模式把c:\windows\system32\system.exe删除,重启后它又会重新加载,怎么也无法彻底清除它。从此现象来看,朋友中的应该是双进程木马。这种木马有监护进程,会定时进行扫描,一旦发现被监护的进程遭到查杀就会复活它。而且现在很多双进程木马互为监视,互相复活。因此查杀的关键是找到这“互相依靠”的两个木马文件。借助任务管理器的PID标识可以找到木马进程。 调出Windows任务管理器,首先在“查看→选择列”中勾选“PID(进程标识符)”,这样返回任务管理器窗口后可以看到每一个进程的PID标识。这样当我们终止一个进程,它再生后通过PID标识就可以找到再生它的父进程。启动命令提示符窗口,执行“taskkill /im system.exe /f”命令。刷新一下电脑后重新输入上述命令如图1,可以看到这次终止的system.exe进程的PID为1536,它属于PID为676的某个进程。也就是说PID为1536的system.exe进程是由PID为676的进程创建的。返回任务管理器,通过查询进程PID得知它就是“internet.exe”进程进程。 (如图) 图1 查询PID进程 找到了元凶就好办了,现在重新启动系统进入安全模式,使用搜索功能找到木马文件c:\windows\internet.exe ,然后将它们删除即可。前面无法删除system.exe,主要是由于没有找到internet.exe(且没有删除其启动键值),导致重新进入系统后internet.exe复活木马。 2.揪出狂写硬盘的P2P程序 单位一电脑一开机上网就发现硬盘灯一直闪个不停,硬盘狂旋转。显然是本机有什么程序正在进行数据的读取,但是反复杀毒也没发现病毒、木马等恶意程序。 打开该电脑并上网,按Ctrl+Alt+Del键启动了任务管理器,切换到“进程”选项卡,点击菜单命令“查看→选择列”,同时勾选上“I/O写入”和“I/O写入字节”两项。确定后返回任务管理器,发现一个陌生的进程hidel.exe,虽然它占用的CPU和内存并不是特别大,但是I/O的写入量却大得惊人,看来就是它在捣鬼了,赶紧右击它并选择“结束进程”终止,果然硬盘读写恢复正常了。 二、系统备份工具杀毒于无形 笔者曾遭遇一个无法删除的病毒“C:\Program Files\Common Files\PCSuite\rasdf.exe”,同时也无法复制这个文件,如何清除它。笔者通过系统备份工具清除了该病毒,操作过程如下: 第一步:单击“开始→所有程序→附件→系统工具→备份”,打开备份或还原向导窗口,备份项目选择“让我选择要备份的内容”,定位到“C:\Program Files\Common Files\PCSuite”。 第二步:继续执行备份向导操作,将备份文件保存为“g:\virus.bkf”,备份选项勾选“使用卷阴影复制”,剩余操作按默认设置完成备份。 第三步:双击“g:\virus.bak”,打开备份或还原向导,把备份还原到“g:\virus”。接着打开“g:\virus”,使用记事本打开病毒文件“rasdf.exe”,然后随便删除其中几行代码并保存,这样病毒就被我们使用记事本破坏了(它再也无法运行)。 第四步:操作同上,重新制作“k:\virus”的备份为“k:\virus1.bkf”。然后启动还原向导,还原位置选择“C:\Program Files\Common Files\PCSuite\”,还原选项选择“替换现有文件”。这样,虽然当前病毒正在运行,但备份组件仍然可以使用坏的病毒文件替换当前病毒。还原完成后,系统提示重新启动,重启后病毒就不会启动了(因为它已被记事本破坏)。 三、记事本借刀杀人 1.双进程木马的查杀 现在,越来越多的木马采用双进程守护技术保护自己,就是两个拥有同样功能的代码程序,不断地检测对方是否已经被别人终止,如果发现对方已经被终止了,那么又开始创建对方,这给我们的查杀带来很大的困难。不过,此类木马也有“软肋”,它只通过进程列表进程名称来判断被守护进程是否存在。这样,我们只要用记事本程序来替代木马进程,就可以达到“欺骗”守护进程的目的。 下面以某变种木马的查杀为例。中招该木马后,木马的“internet.exe”和“systemtray.exe”两个进程会互相监视。当然,我们中招的时候大多不知道木马具体的监护进程。不过,通过进程名称可以知道,“systemtray.exe”是异常的进程,因为系统正常进程中没有该进程。下面使用替换方法来查杀该木马。 第一步:单击“开始→运行”,输入“Msinfo32”打开系统信息窗口,展开“系统摘要→软件环境→正在运行任务”,这里可以看到“systemtray.exe”路径在“C:\Windows\System32”下。 第二步:打开“C:\Windows\System32”,复制记事本程序“notepad.exe”到“D:\” ,同时重命名为“systemtray.exe”。 第三步:打开记事本程序,输入下列代码,保存为“shadu.bat”,放置在桌面(括号为注释,无须输入): @echo off Taskkill /f /im systemtray.exe (使用taskkill命令强行终止“systemtray.exe”进程) Delete C:\Windows\System32\systemtray.exe (删除病毒文件) Copy d:\systemtray.exe C:\Windows\System32\(替换病毒文件) 第四步:现在只要在桌面运行“shadu.bat”,系统会将“systemtray.exe”进程终止并删除,同时把改名的记事本程序复制到系统目录。这样,守护进程会“误以为”被守护进程还存在,它会立刻启动一个记事本程序。 第五步:接下来我们只要找出监视进程并删除即可,在命令提示符输入: “taskkill /f /im systemtray.exe ”,将守护进程再生的“systemtray.exe”终止,可以看到“systemtray.exe”进程是由“PID 3288的进程”创建的,打开任务管理器可以看到“PID 3288的进程”为“internet.exe”,这就是再生进程的“元凶”。第六步:按照第一步方式,打开系统信息窗口可以看到“internet.exe”也位于系统目录,终止“internet.exe”进程并进入系统目录把上述两个文件删除即可。 2.使病毒失效并删除 大家知道,文件都是由编码组成的,记事本程序理论上可以打开任意文件(只不过有些会显示为乱码)。我们可以将病毒打开方式关联到记事本,使之启动后变成由记事本打开,失去作恶的功能。比如,一些顽固病毒常常会在注册表的“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”等启动位置生成难以删除的键值,达到恶意启动的目的。下面使用记事本来“废”掉病毒的生命力。 第一步:启动命令提示符,输入“ftype exefile=notepad.exe %1”,把所有EXE程序打开方式关联到记事本程序,重启系统后我们会发现桌面自动启动好几个程序,这里包括系统正常的程序如输入法、音量调整程序等,当然也包括恶意启动的流氓程序,不过现在都被记事本打开了。 第二步:根据记事本窗口标题找到病毒程序,比如上例的systemtray.exe程序,找到这个记事本窗口后,单击“文件→另存为”,我们就可以看到病毒具体路径在“C:\Windows\System32”下。现在关掉记事本窗口,按上述路径提示进入系统目录删除病毒即可。 第三步:删除病毒后就可以删除病毒启动键值了,接着重启电脑,按住F8,然后在安全模式菜单选择“带命令提示的安全模式”,进入系统后会自动打开命令提示符。输入“ftype exefile="%1"%*”恢复exe文件打开方式即可。 四、注册表映像劫持让病毒没脾气 现在病毒都会采用IFO的技术,通俗的讲法是映像劫持,利用的是注册表中的如下键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options位置来改变程序调用的,而病毒却利用此处将正常的杀毒软件给偷换成病毒程序。恰恰相反,让我们自己可以利用此处欺瞒病毒木马,让它实效。可谓,瞒天过海,还治其人。 下面我们以屏蔽某未知病毒KAVSVC.EXE为例,操作方法如下: 第一步:先建立以下一文本文件,输入以下内容,另存为1.reg Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE] "Debugger"="d:\\1.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE] "Debugger"="d:\\1.exe" (注:第一行代码下有空行。) 第二步:双击导入该reg文件后,确定。 第三步:点“开始→运行”后,输入KAVSVC.EXE。 提示:1.exe可以是任意无用的文件,是我们随意创建一个文本文件后将后缀名.txt改为.exe的, 总结:当我们饱受病毒木马的折磨,在杀毒软件无能为力或者感觉“杀鸡焉用宰牛刀”时,不妨运用系统工具进行病毒木马的查杀,说不定会起到意想不到的效果。
我的笔记本电脑检测出了木马病毒,该怎么办?
现在我们来说防范木马的方法,就是把 windows\system\mshta.exe文件改名,
改成什么自己随便 (xp和win2000是在system32下)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键Compatibility,并设定键值为0x00000400即可。
还有windows\command\debug.exe和windows\都给改个名字 (或者删除)
一些最新流行的木马 最有效果的防御~~
比如网络上流行 的木马 smss.exe 这个是其中一种木马的主体 潜伏在 98/winme/xp c:\windows目录下 2000 c:\winnt .....
假如你中了这个木马 首先我们用进程管理器结束 正在运行的木马smss.exe 然后在C:\windows 或 c:\winnt\目录下 创建一个假的 smss.exe 并设置为只读属性~ (2000/XP NTFS的磁盘格式 的话那就更好 可以用“安全设置” 设置为读取) 这样木马没了~ 以后也不会在感染了这个办法本人测试过对很多木马
都很有效果的
经过这样的修改后,我现在专门找别人发的木马网址去测试,实验结果是上了大概20个木马网站,有大概15个瑞星会报警,另外5个瑞星没有反映,而我的机器没有添加出来新的EXE文件,也没有新的进程出现,只不过有些木马的残骸留在了IE的临时文件夹里,他们没有被执行起来,没有危险性,所以建议大家经常清理 临时文件夹和IE
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
防治木马的危害,应该采取以下措施:
第一,安装杀毒软件和个人防火墙,并及时升级。
第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。
第三,可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
第四,如果使用IE浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
远程控制的木马有:冰河,灰鸽子,上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多.现在的木马程序常常和和DLL文件息息相关,被很多人称之为“DLL木马”。DLL木马的最高境界是线程插入技术,线程插入技术指的是将自己的代码嵌入正在运行的进程中的技术。理论上说,在Windows中的每个进程都有自己的私有内存空间,别的进程是不允许对这个私有空间进行操作的,但是实际上,我们仍然可以利用种种方法进入并操作进程的私有内存,因此也就拥有了那个远程进程相当的权限。无论怎样,都是让木马的核心代码运行于别的进程的内存空间,这样不仅能很好地隐藏自己,也能更好地保护自己。
DLL不能独立运行,所以要想让木马跑起来,就需要一个EXE文件使用动态嵌入技术让DLL搭上其他正常进程的车,让被嵌入的进程调用这个DLL的 DllMain函数,激发木马运行,最后启动木马的EXE结束运行,木马启动完毕。启动DLL木马的EXE是个重要角色,它被称为Loader, Loader可以是多种多样的,Windows的Rundll32.exe也被一些DLL木马用来作为Loader,这种木马一般不带动态嵌入技术,它直接注入Rundll32进程运行,即使你杀了Rundll32进程,木马本体还是存在的。利用这种方法除了可以启动木马之外,不少应用程序也采用了这种启动方式,一个最常见的例子是“3721网络实名”。
“3721网络实名”就是通过Rundll32调用“网络实名”的DLL文件实现的。在一台安装了网络实名的计算机中运行注册表编辑器,依次展开 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”,发现一个名为“CnsMin”的启动项,其键值为“Rundll32 C:\WINDOWS\Downlo~1\CnsMin.dll,Rundll32”,CnsMin.dll是网络实名的DLL文件,这样就通过 Rundll32命令实现了网络实名的功能。
简单防御方法
DLL木马的查杀比一般病毒和木马的查杀要更加困难,建议用户经常看看系统的启动项中有没有多出莫名其妙的项目,这是DLL木马Loader可能存在的场所之一。如果用户有一定的编程知识和分析能力,还可以在Loader里查找DLL名称,或者从进程里看多挂接了什么陌生的DLL。对普通用户来说,最简单有效的方法还是用杀毒软件和防火墙来保护自己的计算机安全。现在有一些国外的防火墙软件会在DLL文件加载时提醒用户,比如Tiny、SSM等,这样我们就可以有效地防范恶意的DLL木马了。木马的防治方法1、禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
注意:蠕虫移除干净后,请按照上述文章所述恢复系统还原的设置。
2、将计算机重启到安全模式或者 VGA 模式
关闭计算机,等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式
Windows 95/98/Me/2000/XP 用户:将计算机重启到安全模式。所有 Windows 32-bit 作系统,除了Windows NT,可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。
Windows NT 4 用户:将计算机重启到 VGA 模式。
扫描和删除受感染文件启动防病毒程序,并确保已将其配置为扫描所有文件。运行完整的系统扫描。如果检测到任何文件被 Download.Trojan 感染,请单击“删除”。如有必要,清除 Internet Explorer 历史和文件。如果该程序是在 Temporary Internet Files 文件夹中的压缩文件内检测到的,请执行以下步骤:
启动 Internet Explorer。单击“工具”“Internet 选项”。单击“常规”选项卡“Internet 临时文件”部分中,单击“删除文件”,然后在出现提示后单击“确定”。在“历史”部分,单击“清除历史”,然后在出现提示后单击“是”。
[1]木马病毒专杀工具
远程控制的木马有:冰河(国人的骄傲,中国第一款木马),灰鸽子,上兴,PCshare,网络神偷,FLUX等,现在通过线程插入技术的木马也有很多,大家自己找找吧
反木马病毒
木马专杀工具
木马防线 2005 V4.16
木马分析专家 2005 V6.57
木马克星(iparmor) V5.47
病毒.流行木马.盗号软件统杀工具
木马专杀大师 V2.6
木马专家 2005 0102
Windows木马清道夫
木马分析专家个人防火墙排查出电脑的木马1、集成到程序中
由于用户一般不会主动程序,而种木马者为了吸引用户运行,他们会将木马文件和其它应用程序进行捆绑,用户看到的只是正常的程序。但是你一旦运行之后,不仅该正常的程序运行,而且捆绑在一起的木马程序也会在后台偷偷运行。
这种隐藏在其它应用程序之中的木马危害比较大,而且不容易发现。如果捆绑到系统文件中,那么则会随Windows启动而运行。不过只要我们安装个人防火墙或者启用Windows XP SP2中的Windows防火墙,那么在木马服务端试图连接种木马的客户端时,则会询问是否放行,据此即可判断出自己有无中木马。
2、隐藏在媒体文件中
这种类型严格上说,用户还没有中木马。不过它的危害容易被人忽略。因为大家对影音文件的警惕性不高。它的常用手段是在媒体文件中插入一段代码,代码中包含了一个网址,当播放到指定时间时即会自动访问该网址,而该网址所指页面的内容却是一些网页木马或其它危害。
因此,当我们在播放网上下载的影片时,如果发现突然打开了窗口,那么切不可好奇而应将其立即关闭,然后跳过该时间段影片的播放。
3、隐藏在System.ini
4、隐藏在Win.ini
与System.ini相似,Win.ini中也是木马喜欢加载的一个地方。对此我们可以打开系统目录下的Win.ini文件,然后查看[Windows]区域“load=”和“run=”,正常情况下它们后面应该是空白,如果你发现它们后面加了某个程序,那么加载的程序则可能是木马,需要将它们删除。
5、隐藏在Autoexec.bat
在C盘根目录下有一个Autoexec.bat文件,这里的内容将会在系统启动时自动运行。与该文件类似的还有Config.sys。因为它自动运行,因此也成为木马的一个藏身之地。对此我们同样需要打开这两个文件,检查里面是否加载了来历不明的程序在运行。
6、任务管理器
部分木马运行后我们可以在任务管理器中找出它的踪迹。在任务栏上右击,在弹出的菜单中选择“任务管理器”,将打开的窗口切换到“进程”标签,在这里查看有没有占用较多资源的进程,有没有不熟悉的进程。若有,可以先试着将它们关闭。另外要特别注意Explorer.exe这类进程,因为很多木马会使用Exp1orer.exe进程名,即把l换成1,用户不仔细查看,还以为是系统进程呢。
7、启动
在Windows XP中,我们可以运行“msconfig”,将打开的窗口切换到“启动”标签,在这里可以看到所有启动加载的项目,此时就可以根据“命令”和“位置”来判断是启动加载的是否为木马。如果判断为木马则可以将其启动取消,然后再作进一步的处理。
8、注册表
我们程序的运行控制大多是由注册表控制的,因此我们有必要对注册表进行检查。运行“regedit”打开注册表编辑器,然后依次检查如下区域:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion,看看这三个区域下所有以“run”开头的键值,如果键值的内容指向一些隐藏的文件或自己从未安装过的程序,那么这些则很可能是木马了。
木马之所以能够为非作歹,正是因为其善于隐藏自己。不过我们掌握了其藏身之处,那么则可以将其一一清除。当然,木马在实际的伪装隐藏自己中,可能会综合使用上面一种或几种方法来伪装,这就需要我们在检查清除时,不能只检查其中的部分地点。新人快速上手指南之电脑木马查杀大全 常在河边走,哪有不湿脚?所以有时候上网时间长了,很有可能被攻击者在电脑中种了木马。如何来知道电脑有没有被装了木马呢?
一、手工方法:
1、检查网络连接情况
由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”-“运行”-“cmd”,然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。
2、查看目前运行的服务
服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”-“运行”-“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。
3、检查系统启动项
由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”-“运行”-“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看,在该文件的[boot]字段中,是不是有shell=Explorer.exe file.exe这样的内容,如有这样的内容,那这里的file.exe就是木马程序了!
4、检查系统帐户
恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户却很少用的,然后把这个账户的权限提升为管理员权限,这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况,可以用以下方法对账户进行检测。
点击“开始”-“运行”-“cmd”,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧!
如果检查出有木马的存在,可以按以后步骤进行杀木马的工作。
1、运行任务管理器,杀掉木马进程。
2、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。
3、删除上述可疑键在硬盘中的执行文件。
4、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。
6、检查HKEY_CLASSES_ROOT\txtfile\shell\open\command和 HKEY_CLASSES_ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的。
二、利用工具:
查杀木马的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等,其中有些工具,如果想使用全部功能,需要付一定的费用,木马分析专家是免费授权使用。修改注册表增强系统对木马病毒的防御通常木马病毒是通过注册表来启动服务的,所以注册表对于系统防御病毒有着比较重要的意义。按照理论上来说,我们可以通过修改注册表的属性来预防病毒和木马,实际上亦可行,具体的实施方法如下:
Windows2000/XP/2003的注册表是可以设置权限的,只是我们比较少用到。设置以下注册表键的权限:
1、设置注册表自启动项为everyone只读(Run、RunOnce、RunService),防止木马、病毒通过自启动项目启动
2、设置.txt、.com、.exe、.inf、.ini、.bat等等文件关联为everyone只读,防止木马、病毒通过文件关联启动
3、设置注册表HKLM\SYSTEM\CurrentControlSet\Services为everyone只读,防止木马、病毒以"服务"方式启动
注册表键的权限设置可以通过以下方式实现:
1、如果在域环境里,可能通过活动目录的组策略实现的
2、本地计算机的组策略来(命令行用gpedit.msc)
3、手工操作可以通过regedt32(Windows2000系统,在菜单“安全”下的“权限”)或regedit(Windows2003/XP,在“编辑”菜单下的“权限”)
如果只有users组权限,以上键值默认是只读的,就可以不用这么麻烦了。 [3]
怎么自己的笔记本装个木马病毒
把杀毒软件卸载掉。然后安装个IP获取软件就可以了。。防火墙也关闭。所有的安全系统都需要关闭的。