电脑为什么会出现木马_电脑里有木马程序

hacker|
358

电脑中了电脑病毒木马解决方法介绍

电脑中了电脑病毒木马怎么办!不要急,下面由我给你做出详细的电脑中了电脑病毒木马解决 方法 介绍!希望对你有帮助!

电脑中了电脑病毒木马解决方法介绍:

木马的危害之大想必大家也非常清除, "木马"程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。

在任务管理器中隐形:将程序设为"系统服务"可以很轻松地伪装自己。当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击"木马"图标来运行服务端,,"木马"会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,"木马"都会用上,如:启动组、win.ini、system.ini、注册表等等都是"木马"藏身的好地方。下面具体谈谈"木马"是怎样自动加载的。

电脑木马躲藏路径:

在win.ini文件中,在[WINDOWS]下面,"run="和"load="是可能加载"木马"程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上"木马"了。当然你也得看清楚,因为好多"木马",如"AOLTrojan木马",它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中,在[BOOT]下面有个"shell=文件名"。正确的文件名应该是"explorer.exe",如果不是"explorer.exe",而是"shell=explorer.exe程序名",那么后面跟着的那个程序就是"木马"程序,就是说你已经中"木马"了。

在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:"HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的"木马"程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如"AcidBatteryv1.0木马",它将注册表"HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"下的Explorer键值改为Explorer="C:\WINDOWS\expiorer.exe","木马"程序与真正的Explorer之间只有"I"与"l"的差别。

当然在注册表中还有很多地方都可以隐藏"木马"程序,如:"HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run"、"HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run"的目录下都有可能,最好的办法就是在"HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"下找到"木马"程序的文件名,再在整个注册表中搜索即可。

电脑中木马病毒了怎么办?

一旦发现电脑中毒,应该立即停止任何操作,也不要说去继续使用一些软件,否则容易出现盗号的情况,需要打开杀毒软件如电脑管家

请点击输入图片描述

打开后选择上面的【病毒查杀】功能,然后切记要选择杀毒模式,因为一般杀毒软件都会默认为闪电杀毒

请点击输入图片描述

3

如下图所示位置,我们要点击一下,选择成【全盘杀毒】,选择完成后等待杀毒软件自动对电脑杀毒后,重启电脑

电脑中了木马怎么办

电脑在使用的过程中容易中病毒,此时应该怎样处理呢。下面是相关的处理步骤,希望对你有帮助。

(一)删除不正常启动项目

1 开始 中 启动,大家可以看里面的程序

2 注册表中:

"HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor" 找到并双击“AutoRun”

"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion" 找到并双击“Run”

"HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun"(这个一般与“开始”中“启动”的相同,但是在“启动”中没有显示)

大家可以在这里面的程序,哪个不正常,就删除它

3 开始---运行---gpedit.msc 策略组--用户配置--管理模块--系统--登陆--

4 系统服务中的设置

大家自己看看,里面有哪个不正常的,就终止它

(二)检查电脑端口判断是否中马.

我们具体以鸽子为一个例子:

我们先查看本机远程8000的端口,看是否打开,在没有中鸽子之前是没有远程8000端口的, 由于为了让大家看得明显,我就不改鸽子的设置,

实战中大家要注意:

"GrayPigeon_Hacker.com.cn,灰鸽子服务端程序。远程监控管理,"

这些被放鸽子的人改过的信息,只要与原有的.比较一下,还是可以判断出它是木马的

运行鸽子

基本步骤:

1 查端口,一般为8000,

大家可以用专业的工具查看,

也可以用系统自带的工具查看

比如:任务管理器,命令提示符,

2 然后查程序所在位置终止进程,

3 最后删除文件

值得注意的是腾讯QQ 也会开启远程8000端口的,要注意区分,可以查询腾讯IP。

(三)文件比较判断系统是否中马

通过对比的方法,实现查找木马

基本步骤:

1备分安全状态下的一些情况

2异常时,把异常的文件情况导出

3对比前后两次的结果,根据集体情况,自己判断。

具体操作,看我演示一下:

首先因为木马一般在windowssystem32,而且后缀名为exe,dll,我们备分一个安全状态下的目录*.exe,*.dll的文件,命令dir *.exec:exe1.txt dir *.dllc:dll1.txt

意思是说 提取system32目录下所有文件名后缀名为exe和dll的文件的名字到C盘exe1.txt与dll1.txt记事本里面.

导好了,我们去看看,

假设,我中木马了,木马为 MMMMM.exe 和mmmmmm.dll,我们再来中一个鸽子,在不安全状态下,我们又导出该目录下的文件名,

命令dir *.exec:exe2.txt dir *.dllc:dll2.txt

存到C盘exe2.txt 与dll2.txt 里面, 下面我们进行比较,当然不可能一个个去看,我们让电脑自动比较,

命令fc c:exe1.txt c:exe2.txtc:1.txt

fc c:dll1.txt c:dll2.txtc:2.txt

b1.txt b2.txt这2个就是对比结果

大家看见了吧,就这样,就可以判断是否中了木马

然后我们找到他们,终止进程,删除就OK了.

(四)检查svchost.exe进程判断是否中马

通过“暂缺”判断是否是木马,再综合路径与端口

基本步骤:

1开始--运行--cmd

2再查路径,

3最后查杀木马

我们以svchost.exe为例子:

正常的svchost.exe是在%systemroot%system32下

木马病毒的svchost.exe是在windowsststem32wins 或者其他地方

像上兴,REDgirl等木马可以设置插入的进程,大家要小心,鸽子的进程也可以修改,我们来简单的操作一下,先用任务管理器查看svchost.exe,svchost.exe会有4,5个左右,我们关闭一下,

如果:出现关机倒计时,是正常的,可以这样取消:开始--运行--shutdown -a

我这里没有这样的情况,因为我没有中这样的木马,大家可以根据自己的情况具体判断,开始--运行--cmd--tasklist /svc (win2000的电脑用命令"tlist -s",我这里是XP的)

svchost.exe“暂缺” ,那就是木马了,我这里没有,其他有的 “暂缺”,不一定是木马

大家根据自己的具体情况去判断, 以上也是一个查杀木马的方法,希望大家能进一步了解木马!

(五)利用防火墙抓出木马踪迹

借助防火墙的“访问规则”来拒绝木马的进程,比如一些过主动防御的木马,虽然过了主动防御,但是在防火墙还是会留下足迹的,大家可以根据自己的判断做终止它,最后删除。这也是一个有效的方法

(六)安装还原防护软件保护系统安全

建议大家要装有杀毒软件的前提下,在做一些安全措施,比如:安系统还原精灵,影子系统等等

只要重起就没有事情了,当然这个看你会不会灵活使用,有些人自然觉得不方便,我个人觉得很好,这个就是冰点还原精灵,只要同时按住ctrl+alt+shift+F6 就可以弹出设置画面。

为什么电脑一直出现 发现木马,建议立即清除的提示框?

1,这种情况是电脑存在顽固木马病毒,有后台第三方进程保护,所以清理后病毒又会再次自动产生,无法完成彻底清理

2,首要做的就是进入安全模式,然后对电脑进行病毒查杀,因为安全模式禁止第三方驱动自启动,所以是最安全的

3,重启电脑,然后按F8键,会弹出功能框,选择进入安全模式

4,在安全模式下,打开电脑管家等带有本地杀毒引擎的杀毒软件如腾讯电脑管家,对电脑进行病毒查杀,查杀病毒后再重启电脑即可

0条大神的评论

发表评论