木马病毒又一查杀方法pc软件 文章资讯 手机软件

您当前的位置→图文中心安全防范木马病毒又一查杀方法

木马病毒又一查杀方法


2009/5/4  编辑:佚名 来源:本站整理  关键词:

木马病毒又一查杀方法

 

木马”程序会想尽一切办法隐藏我自己, 主要途径有:就在任务栏中隐藏我自己, 这是最可以说是的办法。 只要把Form的Visible属性设为False, ShowInTaskBar设为False, 程序运行时就将不会出现就在任务栏中了。 就在任务管理器中隐形:将程序设为“系统system服务”可以能够很轻松地伪装我自己。 当然它也会悄无声息地启动, 黑客当然将不会指望用户每次启动后用鼠标点击“木马”图标来运行服务端, “木马”会就在每次用户启动时全自动装载。 Windows系统system启动时全自动加载应用程序的方法, “木马”都会用上, 如:启动组、Win.ini、System.ini、注册表等都是“木马”藏身的好地方。

下面具体谈谈“木马”是怎样全自动加载的。 就在Win.ini文件程序中, 就在WINDOWS]下面, “run=”和 “load=” 是有可能加载“木马”程序的途径, 就一定要仔细留心它们。 一般情况下, 它们的等号后面应该什么都没有, 如果发现后面跟有路径与文件程序名不是您熟悉的启动文件程序, 您的电脑计算机就有可能中“木马”了。 当然您也得看清楚, 因为好多“木马”, 如“AOL Trojan木马”, 它把自身伪装成 command.exe(真正的系统system文件程序为command.com)文件程序, 如果不提醒一定要注意有可能将不会发现它不是真正的系统system启动文件程序(特别是就在Windows窗口下)。

就在System.ini文件程序中, 就在[BOOT]下面有个“shell=文件程序名”。 对的的文件程序名应该是“explorer.exe”, 如果不是“explorer.exe”, 而是“shell= explorer.exe程序名”, 那么后面跟着的那个程序就是“木马”程序, 就是说您已经中“木马”了。 注册表中的情况最复杂, 可以通过regedit命令打开注册表编辑器, 就在用鼠标点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下, 查看键值中有没有我自己不熟悉的全自动启动文件程序, 扩展名为EXE, 这里切记:有的“木马”程序生成的文件程序很像系统system自身文件程序, 想可以通过伪装蒙混过关, 如“Acid Battery v1.0木马”, 它将注册表“HKEY-LOCAL-MACHINESO FTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer键值改为Explorer= “C:WINDOWSexpiorer.exe”, “木马”程序与真正的Explorer之间只有“i”与“l”的差别。 当然就在注册表中还是有很多地方都可以能够隐藏“木马”程序, 如:“HKEY-CURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有有可能, 最好的办法就是就在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下去寻找到“木马”程序的文件程序名, 再就在整个注册表中搜索即可。


知道了“木马”的工作原理, 查杀“木马”就变得很容易, 如果发现有“木马”存就在, 最有效的方法就是马上将电脑计算机与网络net断开, 防止黑客可以通过网络net对您来进行攻击。 之后编辑win.ini文件程序, 将[WINDOWS]下面, “run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件程序, 将[BOOT]下面的“shell=‘木马’文件程序”, 更改为:“shell=explorer.exe”;就在注册表中, 用regedit对注册表来进行编辑, 先就在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下去寻找到“木马”程序的文件程序名, 再就在整个注册表中搜索并替换掉“木马”程序, 有时候还需提醒一定要注意的是:有的“木马”程序并不是直接 将“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了, 因为有的“木马”如:BladeRunner“木马”, 如果您删除它, “木马”会立即全自动加上, 您有请求需要的是记下“木马”的名字与目录, 之后退回到MS-dos下, 去寻找到此“木马”文件程序并删除掉。 重新启动电脑计算机, 之后再到注册表中将所有“木马”文件程序的键值删除。 至此, 我们我自己就大功告成了。

发现病毒, 再也不能够消除怎么办?

Q:发现病毒, 但是无论就在安全模式还是Windows下都再也不能够消除怎么办?

A:由于某些目录和文件程序的特殊性, 再也不能够直接消除(包括安全模式下杀毒等一些方式杀毒), 而有请求需要某些特殊手段消除的带毒文件程序。 以下所说的目录均包含其下面的子目录。

1、带毒文件程序就在\Temporary Internet Files目录下。

由于这个目录下的文件程序, Windows会对此有一定的保护作用(未经证明)。 所以对这个目录下的带毒文件程序即便就在安全模式下也不能够来进行消除, 对于这种情况, 请先关闭其他一些程序软件, 之后打开IE, 选择中IE必备工具栏中的"必备工具"\"Internet选择中项", 选择中"删除文件程序"删除即可, 如果有提示"删除所有脱机内容", 也请选上一并删除。


2、带毒文件程序就在\_Restore目录下, 或者System Volume Information目录下。

这是系统system还原存放还原文件程序的目录, 只有就在装了Windows Me/XP操作系统system上才会有这个目录, 由于系统system对这个目录有保护作用。 对于这种情况有请求需要先取消"系统system还原"功能, 之后将带毒文件程序删除, 甚至将整个目录删除也是可以能够的。 关闭系统system还原方法。 WindowsMe的话, 禁用系统system还原, dos下删除。 XP关闭系统system还原的方法:右键单击“我的电脑”, 选“属性”--“系统system还原”--就在“就在所有驱动器上关闭系统system还原”前面打勾--按“确定”退出。


3、带毒文件程序就在.rar、.zip、.cab等压缩文件程序中。

现今能支持直接查杀压缩文件程序中带毒文件程序的反病毒软件还很少, 即便有也只能支持常用的一些压缩格式;所以, 对于绝大多数的反病毒软件来说, 最多只能检查出压缩文件程序中的带毒文件程序, 而不能够直接消除。 而且有些加密了的压缩文件程序就更不有可能直接消除了。

要消除压缩文件程序中的病毒, 主张解压缩后消除, 或者借助压缩必备工具软件的外挂杀毒程序的功能, 对带毒的压缩文件程序来进行杀毒。

4、病毒就在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件程序中。

这种病毒一般是引导区病毒, 报告的病毒名称一般带有boot、wyx等字样。 如果病毒只是存就在于移动存储设备(如软盘、闪存盘、移动硬盘)上, 就可以能够借助本地硬盘上的反病毒软件直接来进行查杀;如果这种病毒是就在硬盘上, 则有请求需要用干净的可引导盘启动来进行查杀。

对于这类病毒主张用干净软盘启动来进行查杀, 不过就在查杀之前一定要备分COPY本来的引导区, 特别是本来装有别的操作系统system的情况, 如日文Windows、Linux等。

如果没有干净的可引导盘, 则可使用下面的方法来进行应急杀毒:


(1) 就在别的电脑计算机上做一张干净的可引导盘, 此引导盘可以能够就在Windows 95/98/ME系统system上可以通过"添加/删除程序"来进行制作, 但要提醒一定要注意的是, 制作软盘的操作系统system须和我自己所使用的操作系统system相同;


(2) 用这张软盘引导启动带毒的电脑计算机, 之后运行以下命令:

A:\>fdisk/mbr

A:\>sys a: c:

如果带毒的文件程序是就在SUHDLOG.DAT或SUHDLOG.BAK文件程序中, 那么直接删除即可。 这是系统system就在安装的时候对硬盘引导区做的一个备分COPY文件程序, 一般作用不大, 病毒就在其中已经不起作用了。

5、带毒文件程序的后缀名是.vir、.kav、.kbk等。

这些文件程序一般是一些防毒软件对本来带毒的文件程序做的备分COPY文件程序, 一般情况下, 如果确认这些文件程序已经无用了, 那就将这些文件程序删除即可。

6、带毒文件程序就在一些邮件文件程序中, 如dbx、eml、box等。

有些防毒软件可以能够直接检查这些邮件文件程序中的文件程序是否带毒, 但往往不能够对这些带毒的文件程序直接的来进行操作, 对于一些邮箱中的带毒的信件, 可以能够根据记录防毒软件提供的信息去寻找到那带毒的信件, 删除信件中的附件或者删除该信件;如果是eml、nws一些信件文件程序带毒, 可以能够用相关的邮件软件打开, 确认该信件及其附件, 之后删除相关内容。 一般有大量的eml、nws的带毒文件程序的话, 都是病毒全自动生成的文件程序, 主张都直接删除。

7、文件程序中有病毒的残留代码。

这种情况比较多见的就是带有CIH、Funlove、宏病毒(包括Word、Excel、Powerpoint和Wordpro等文档中的宏病毒)和个别网页病毒的残留代码, 通常防毒软件对这些带有病毒残留代码的文件程序报告的病毒名称后缀通常是int、app等结尾, 而且并不常见, 如W32/FunLove.app、W32.Funlove.int。 一般情况下, 这些残留的代码将不会反应影响正常程序的运行, 也将不会传染, 如果有请求需要彻底消除的话, 要根据记录各个病毒的实际情况来进行消除。

8、文件程序错误。

这种情况出现的并不多, 通常是某些防毒软件将本来带毒的文件程序并没有很干净地消除病毒, 也没有很好的修复文件程序, 造成文件程序再也不能够正常使用, 同一个时间造成别的防毒软件的误报。 这些文件程序可以能够直接删除。

9、加密的文件程序或目录。

对于一些加密了的文件程序或目录, 请就在解密后再来进行病毒查杀。

10、共享目录。

这里包括两种情况:本地共享目录和网络net中远程共享目录(其中也包括映射盘)。 遇到本地共享的目录中的带毒文件程序不能够消除的情况, 通常是局域网中别的用户就在读写这些文件程序, 杀毒的时候表现为再也不能够直接消除这些带毒文件程序中的病毒, 如果是有病毒就在对这些目录就在写病毒操作, 表现为对共享目录来进行消除病毒操作后, 还是会一直不断有文件程序被感染或者会一直不断生成病毒文件程序。 上面这两种情况, 都主张取消共享, 之后针对共享目录来进行彻底查杀, 恢复共享的时候, 提醒一定要注意一定不要开放太高的权限, 并对共享目录加设密码。 对远程的共享目录(包括映射盘)查杀病毒的时候, 最先是要保证本地电脑计算机的操作系统system是干净的, 同一个时间对共享目录也有最高的读写权限。 如果是远程电脑计算机感染病毒的话, 主张还是直接就在远程电脑计算机来进行查杀病毒。 特别的, 如果就在消除别的病毒的时侯都主张取消所有的本地共享, 再来进行杀毒操作。 就在平时的使用中, 也应提醒一定要注意共享目录的安全性, 加设密码, 同一个时间, 非必要的情况下, 一定不要直接读取远程共享目录中的文件程序, 主张拷贝到本地检查过病毒后再来进行操作。

11、光盘等一些存储介质。

对于光盘上带有的病毒, 一定不要试图直接消除, 这是神仙也做不到的事情。 同一个时间, 对另外一些存储设备查杀病毒的, 也有请求需要提醒一定要注意其是否处于写保护或者密码保护状态。

相关文章
  • 金山卫士木马怎么查杀?
  • 清除病毒和木马Windows桌面消失的问题
  • 2015高考查分系统木马最近在网络疯传
  • 病毒、木马ARP攻击行为的原理分析及解决
  • 假面银贼”木马假冒手机淘宝 “暗度陈仓”窃取钱财
  • 分离带木马文件的方法
  • 2012.6.24木马预警:小心QQ粘虫病毒借美女图片偷QQ号
  • ARP欺骗木马程序入侵电脑系统破坏
  • 怎么查看电脑是否中木马了?
  • 12.7病毒播报:代理木马和歪卡变种病毒
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图