比较不错的木马查找清除攻略_病毒查杀

一、学伯乐 认马识马

木马这东西从本质上说,就是一种远程控制软件。不过远程控制软件也分正规部队和山间土匪。正规部队顾名思义就是名正言顺的帮你远程管理和设置电脑的软件,如Windows XP自带的远程协助功能,一般这类软件在运行时,都会在系统任务栏中出现,明确的告诉用户当前系统处于被控制状态;而木马则属于山间土匪,他们会偷偷潜入你的电脑进行破坏,并通过修改注册表、捆绑在正常程序上的方式运行,使你难觅其踪迹。

木马与普通远程控制软件另外一个不同点在于,木马实现的远程控制功能更为丰富,其不仅能够实现一般远程控制软件的功能,还可以破坏系统文件、记录键盘动作、盗取密码、修改注册表和限制系统功能等。而且你还可能成为养马者的帮凶,养马者还可能会使用你的机器去攻击别人,让你来背黑锅。

二、寻根溯源 找到引马入门的罪魁祸首

作为一个不受欢迎的土匪,木马是如何钻进你系统的呢?一般有以下几种主要的传播方式:

最常见的就是利用聊天软件“杀熟”,例如你的QQ好友中了某种木马,这个木马很有可能在好友的机器上运行QQ,并发一条消息给你,诱使你打开某个链接或运行某个程序,如果你不慎点击或运行,马儿就会偷偷跑进来;另外一种流行的方法是买一“送”一,木马会与一些正常的文件捆绑,如与图片文件捆绑,当你浏览图片的时候,木马也会偷偷溜达进来;网页里养马也是一种常见的方法,黑客把做好的木马放到网页上,并诱使你打开,你只要浏览这个页面就可能中招;最后一种常用方法是网吧种植,网吧的机器安全性差,黑客还可以直接在机器上做手脚,所以网吧中带马的机器很多。在网吧上网时受到木马攻击的几率也很大。而且上边这些方法可能还会联合行动,组合在一起对你进行攻击。

三、亡羊补牢 如何查杀木马

我们如何判断机器里是否有木马呢?下面有一些简单的方法可以尝试。

STEP1

查看开放端口,作为远程控制软件,木马同样具备远程控制软件的特征。为了与其主人联系,它必须给自己开道门(即端口),因此我们可以通过查看机器开放的端口,来判断是否有木马经过。选择“开始”—“运行”,输入“CMD”后回车,打开命令行编辑界面,在里边输入命令“netstat –an”(见图1),其中“ESTABLISHED”表示已经建立连接的端口,“LISTENING”表示打开并等待别人连接的端口。在打开端口中寻找可疑分子,如7626(冰河木马),54320(Back Orifice 2000)等。
STEP2

查看注册表,为了实现随系统启动等功能,木马都会对注册表进行修改,我们可以通过查看注册表来寻找木马的痕迹,在“运行”中输入“regedit”,回车后打开注册表编辑器,

定位到:HKEY_CURRENT_USERSoftwaremicrosoftWindowsCurrentVersionExplorer下,分别打开Shell Folders、User Shell Folders、Run、RunOnce和RunServices子键,检查里边是否有可疑的内容。再定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorer下,分别查看上述5个子键中的内容。一旦在里边找到你不认识的程序,就要提高警惕了,很可能木马曾经到此一游。

STEP3

查看系统配置文件,很多木马文件都会修改系统文件,而win.ini和system.ini文件则是被修改最频繁的两个软件。我们需要对其进行定期体检。在“运行”中输入“%systemroot%”,回车后会打开“Windows”文件夹,找到里边的win.ini文件,在里边搜索“windows”字段,如果找到形如“load=file.exe,run=file.exe”这样的语句(file.exe为木马程序名),就要格外小心了,这很可能是木马的主程序。类似的,在system.ini文件中搜索“boot”字段,找到里边的“Shell=ABC.exe”,默认应为“Shell=Explorer.exe”,如果是其他程序则也可能是中了木马。

除此之外,你还可以通过查看系统进程和使用专用木马检测软件的方法,来推断系统中是否存在木马。

关上马厩的门 做好木马防御工作

在系统中搜索mshta.exe文件,将其改名,如cfan.exe。再在“运行”中输入“%windows%coMMand”,将里边debug.exe和ftp.exe也改名。打开注册表编辑器,定位到:HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility ,在里边找到“Active Setup controls”子键(如没有需手动建立),再在其下创建新子键,命名为{6E449683_C509_11CF_AAFA_00AA00 B6015C},在右侧的空白处单击鼠标右键,选择“新键”—“DWORD值”,键名为“Compatibility”,设定键值为“0x00000400”即可。

时间: 2024-09-20 04:23:17

比较不错的木马查找清除攻略_病毒查杀的相关文章

做精明的赶马人:木马查找清除攻略

这年头的网络越来越不安全了,黑客制作工具比Word还要简单,随便一个菜鸟都可以借助工具制作出"马"力强劲的攻击武器.看网页.收邮件.聊QQ都有可能被马"踩"到.稍不留意,你的个人信息.账户.密码等重要信息就会被它"驮"走,你知道如何识马.抓马.赶马吗?下面的招数将告诉你如何对付这些顽劣的马. 一.学伯乐 认马识马 木马这东西从本质上说,就是一种远程控制软件.不过远程控制软件也分正规部队和山间土匪.正规部队顾名思义就是名正言顺的帮你远程管理和设置电

威金logo1_.exe完全清除技巧[原创]_病毒查杀

最近电脑中了logo1_.exe文件先运行下面的这个文件 复制代码 代码如下: @echo offif exist %windir%\rundl132.exe echo 发现威金!pause  taskkill /f /im rundl132.exe  taskkill /f /im logo_1.exe  taskkill /f /im logo1_.exe  taskkill /f /im Ravmon.exe  taskkill /f /im Eghost.exe  taskkill /f

清除中国网络游戏木马外挂黑客技术大全_病毒查杀

病毒具体分析 File: SFF.exe Size: 36864 bytes File Version: 2.00.0003 MD5: 248C496DAFC1CC85207D9ADE77327F8B SHA1: B32191D44382ED926716671398809F88DE9A9992 CRC32: 8C51AAAB 编写语言:Microsoft Visual Basic 5.0 / 6.0 病毒生成如下文件 %system32%\svchost.com 在HKEY_LOCAL_MACH

解读网站被挂其中木马分析js+eval实现_病毒查杀

在FF看到这消息.. 于是就把网页解开了.. 原来是"老朋友"刺客集团 .. 已经多次和这个集团生成的网马打交道了.. 其中挂上一个木马 hxxp://www.es86.com/pic/ddb/2006692151148920.gif 就此做个分析吧.. 运行样本. 释放文件 C:\win30.exe 调用cmd 运行命令 /c net stop sharedaccess 访问网站 61.129.102.79 地址应该是:hxxp://www.es86.com 80端口通讯 下载:hx

Service0.exe分析及清除方法提供_病毒查杀

主要行为: 1.  释放文件: C:\WINDOWS\Fonts\Service0.jpg  640106 字节(备份文件) C:\WINDOWS\system32\Service0.exe  640106 字节 C:\WINDOWS\system32\Service0.dll  134656 字节 2.  注册为系统服务: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gressep0 (注册表值) DisplayName = REG

桌面不显示图标的盗号木马清除方法_病毒查杀

上周,金山反病毒中心截获一个以盗取"魔域"."完美世界"和"浩方游戏平台"为目的的木马病毒,该病毒名为Win32.Troj.OnlineGames.ms.18432,自上周四出现以来已经衍生多个变种.金山客服中心接到大量用户投诉,反映系统重启无法显示桌面.金山毒霸(病毒库版本2007.04.07.16)已经可以查杀该病毒目前所有变种. 病毒分析报告: 这是一个盗取"魔域"."完美世界"和"浩方游戏

发现一篇不错的DLL后门完全清除技巧_病毒查杀

后门!相信这个词语对您来说一定不会陌生,它的危害不然而欲,但随着人们的安全意识逐步增强,又加上杀毒软件的"大力支持",使传统的后门无法在隐藏自己,任何稍微有点计算机知识的人,都知道"查端口""看进程",以便发现一些"蛛丝马迹".所以,后门的编写者及时调整了思路,把目光放到了动态链接程序库上,也就是说,把后门做成DLL文件,然后由某一个EXE做为载体,或者使用Rundll32.exe来启动,这样就不会有进程,不开端口等特点,也就

AutoRun.wp(gg.exe)U盘木马清除方法_病毒查杀

文件名称:gg.exe 文件大小:65607 byte AV命名: Worm.Win32.AutoRun.wp  卡巴斯基 Worm.Delf.65607  金山毒霸 Win32.HLLW.Autoruner.548   Dr.WEB 加壳方式:未 编写语言:Microsoft Visual C++ 6.0 文件MD5:33d493af096ef2fa6e1885a08ab201e6 行为分析: 1.  释放病毒文件: C:\WINDOWS\gg.exe  65607 字节 2.  添加启动项:

木马程序Trojan-Spy.Win32.Agent.cfu清除方法_病毒查杀

木马程序Trojan-Spy.Win32.Agent.cfu 该样本程序是一个使用Delphi编写的程序,程序采用MEW 1.x加壳企图躲避特征码扫描,长度为67,908字节,图标为windows默认图标,病毒扩展名为exe,主要传播途径网页挂马.文件捆绑.黑客攻击. 病毒分析 该样本程序被激活后释放systen.dll文件到%systemroot%\system32目录下,释放451062.dll文件(该文件名为6位或7位随机数字)到%systemroot%目录下,运行批处理删除自身: 添加注