木马程序偷偷运行命令_木马程序偷偷运行

hacker|
297

电脑病毒木马怎么办

问题一:电脑被设置了木马病毒了,怎么办? 50分 木马小常识

特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。在黑客进行的各种攻击行为中,木马都起到了开路先锋的作用。

一、木马的危害

相信木马对于众多网民来说不算陌生。它是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前,隐私?不复存在!

木马在黑客入侵中也是一种不可缺少的工具。就在去年的10月28日,一个黑客入侵了美国微软的门户网站,而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。就是这小小的QAZ让庞大的微软丢尽了颜面!

广大网民比较熟悉的木马当数国产软件冰河了。冰河是由黄鑫开发的免费软件,冰河面世后,以它简单的操作 *** 和强大的控制能力令人胆寒,可以说是达到了谈“冰”色变的地步。

二、木马原理

特洛伊木马属于客户/服务模式。它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。以大名鼎鼎的木马冰河为例,被控制端可视为一台服务器,控制端则是一台客户机,服务端程序G_Server.exe是守护进程,G_Client.exe是客户端应用程序。

为进一步了解木马,我们来看看它们的隐藏方式,木马隐藏 *** 主要有以下几种:

1.)在任务栏里隐藏

这是最基本的。如果在windows的任务来历出现一个莫名其妙的图标,傻子都会明白怎么回事。在VB中,只要把form的Viseble属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。

2.)在任务管理器里隐藏

查看正在运行的进程最简单的 *** 就是按下ctrl+alt+del时出现的任务管理器。如果你按下ctrl+alt+del后可以看见一个木马程序在运行,那么这肯定不是什么好的木马。所以,木马千方百计的伪装自己,使自己不出现在任务管理器里。木马发现把自己设为“系统服务”就可以轻松的骗过去。因此希望通过按ctrl+alt+del发现木马是不大现实的。

3.)端口

一台机器由65536个端口,你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下,不难发现,大多数木马使用的端口在1024以上,而且呈越来越大的趋势。当然也有占用1024以下端口的木马。但这些端口是常用端口,占用这些端口可能会造成系统不正常。这样的话,木马就会很容易暴露。也许你知道一些木马占用的端口,你或许会经常扫描这些端口,但现在的木马都提供端口修改功能,你有时间扫描65536个端口么?

4.)木马的加载方式隐蔽

木马加载的方式可以说千奇百怪,无奇不有。但殊途同归,都为了达到一个共同的目的,那就是使你运行木马的服务端程序。如果木马不加任何伪装。就告诉你这是木马,你会运行它才怪呢。而随着网站互动化进程的不断进步,越来越多的东西可以成为木马的传播介质,JavaScript、VBScript、ActiveX、XLM……..几乎每一个新功能都会导致木马的快速进化。

5.)木马的命名

木马服务端程序的命名也有很大的学问。如果你不做任何修改的话,就使......

问题二:我的电脑怎么反复感染木马病毒,怎么解决 你好:

你应该是中的感染型木马,所以只要有一个木马没有清除,那么一段时间之后,就会感染很多文件,造成你反复查杀,都无法清除的现象

你可以访问腾讯电脑管家官网,下载安装一个电脑管家

使用电脑管家工具箱中的顽固木马克星来查杀一下

它专门为普通杀软检测不到,或者检测到无法清除的顽固威胁而设计

采用特别强力的查杀引擎,可以清除各种顽固的木马病毒

如果以后有什么问题,欢迎再来电脑管家企业平台询问,我们会尽心为您解答

问题三:如果电脑系统内存有木马病毒怎么才能清除干净 这是因为现在的很多的木马病毒都是驱动型、注入型的。这类木马病毒都是将自己进程注入到系统的进程中,而且将自己写进系统服务当中,一开机就自动运行,自动从网上下载最新的木马病毒变种,杀毒软件也对之措手无策。对于这类病毒,应该配合手工操作进行杀掉。 首先,必须断开 *** ,而且更好是进入安全去。这一点一定要注意,不然永远有杀不完的病毒。 1、先打开我的电脑→工具→文件夹选项→查看→选中显示所有文件和文件夹,去掉“隐藏受保护的系统文件”的选中,让所有的文件都显示出来 2、利用操作系统本身具有的软件限制策略禁止病毒文件或进程被调用运行:手工关闭相关进程后,在“管理工具”→“本地安全策略”→“软件限制策略”→“其他规则”→右键单击→选“新散列规则”→点“文件散列”右边的“浏览”→找到“病毒文件或可疑文件”,点“打开”返回后,将病毒文件安全级别设置为不允许,最后点“确定”;这样就禁止病毒运行或被其他系统进程调用。 3、用360安全卫士扫描,配合使用Unlocker.EXE软件,找到病毒文件,右键单击,选择Unlocker.EXE,在弹出的对话框中,选“解锁”或“过程结束”,再右键单击,选择Unlocker.EXE,如果这回弹出另外一个对话框,可以直接选删除,手工删木马病毒,同样的其他病毒文件也按这样的办法来杀 4、重启,进入安全模式,强烈推荐用卡巴斯基全面扫病毒。 5、杀完毒后须进行下面的操作:我的电脑→工具→文件夹选项→查看→选中显示所有文件和文件夹,钩选“隐藏受保护的系统文件”的选中,隐藏系统文件。

希望采纳

问题四:我的电脑中了病毒,是木马病毒和后台程序?怎么办? 建议下载360系统急救箱(原顽固木马专杀大全) 下载完成后断网进入安全模式下查杀,切记一定要断网,如果发现打不开把360急救箱就把它重命名之后打开 。下载不了360系统急救箱软件那么您就叫别人上传一个给你 !或者拿优盘去别的电脑上下载过来!然后重新安装360杀毒全盘查杀!还不行就全盘格式化 重装系统就绝对没问题了!

问题五:电脑中木马病毒了怎么办? 你电脑里有安全软件吗?没有的话现在赶紧下个腾讯电脑管家,用它对你的电脑进行全盘扫描,深入检查一下。如果真的像你说的是因为下载到了有毒的文件导致的,它会帮你把这个文件揪出来的。你电脑里现在那些乱七八糟的程序,应该是中毒后导致的,这些程序也需要集体删除,你可以在清除病毒后再使用管家的软件卸载功能彻底卸载掉,这样就没事了,不要太担心了,很容易解决的。

现在最新版本的腾讯电脑管家星星版还是金秀贤代言的哦~它除了杀毒还有很多别的功能呢,像小火箭加速就很好用,可以即时立刻为电脑提速;还有管家锁是保护游戏装备安全的,如果你玩游戏是很有用的。

好了我回答这么多,记得采纳我哦!

问题六:电脑被木马攻击了 怎么办 杀不出毒来怎么办 经常上网的你可能都遇到过发现木马病毒却无法杀掉的情况,其实并不是杀毒软件无能,而是病毒和木马总是先杀毒软件一步,病毒和木马技术也是也是计算机行业更先进的技术代表,如果杀毒软件没有检测过或者收到过这个木马病毒的样本,并且这个木马或者病毒的行为和之前的木马和病毒不一样,那么杀毒软件就不会有对策,比方说将自己隐藏在系统进程里,并且没有特殊的的条件不予激活,那么这个木马或者病毒就看起来是一个安分守己的程序。这就是很多时候实际上我们的电脑并不干净,虽然用杀毒软件没有发现木马或病毒。

但是,有时候,我们确实会遇到能够查到木马病毒却无法删除的情况。这种主要是四种原因:

1、木马或者病毒文件“绑架”了程序的核心进程或文件,杀毒软件无法下手(此种情况居多,若下手就有可能是误杀了);

2、木马或病毒禁止了杀毒软件的某些核心进程或已将杀毒软件禁用;(此种情况也不少,不少木马程序对于国内的杀毒软件就是这么干的)

3、杀毒软件收到了这种病毒的样本,却还没有找到解决的办法;

4、杀毒软件的主动防御机制发现了这个文件的异常行为,并且和以上3条中的某一条相结合;

但是,对于用户的我们如果真的遇到这种查到病毒无法清除的情况怎么办?

对于那些隐藏的比较深的木马或病毒,只有靠对计算机的熟悉程度,经常关注系统的进程来发现;

对于那些能够查到但无法清除的情况反而比较好办了,你可以试试有图给你提供的以下 *** 。

1、使用木马病毒专杀工具试试。既然能查到病毒的名称,不妨搜索一下是否有专杀软件,金山和瑞星喜欢出专杀工具,360也有不错的木马专杀工具。

2、更换一个杀毒软件。如果当前你的杀毒软件遇到了杀不掉的木马病毒,建议你卸掉当前的杀毒软件(如果你愿意),然后安装其他的杀毒软件试试,特别是比较严格的卡巴斯基或者nod32,并且更新到最新的病毒库查杀一下试试。(很多杀毒软件都可以可以免费试用)

3、手工查杀。比较麻烦,漫漫看。

之一步、查找木马病毒文件。

启动计算机后,按Ctr+Alt+Del或右键单击“任务栏”空白处,选择“任务管理器”,找到进程,看到可疑进程在网上查一下来历,如果嫌疑身份没有排除,就查找位置,如果在windows目录下或者Windows\system32目录下,就更可疑了,如果碰巧和我们杀毒软件查到的是同一个文件,那就可以确信无疑了。记录下他们的详细位置,后面用得到。

第二步、去掉木马病毒自动运行。

如果是Windows Xp、vista、windows7可以 在开始菜单“运行”栏输入“msconfig”,进入启动项管理,如果找不到运行,可以按键盘上的windows徽标小旗帜加 R 键,只留下杀毒软件进程,或者更彻底一些,你可以将所有的对勾都去掉。

第三步、删除木马病毒。

重新启动计算机按F8进入安全模式,逐个寻找在之一步中记录的病毒文件位置,逐个删除(特别提醒:删除有可能造成不测,请慎重,对文件要确认是高度嫌疑文件之后再删除),如果无法删除,可以尝试使用attrib命令在命令行去掉文件各种属性,然后就可以删除了。

第四步、善后工作。

1)、重新启动计算机,如果提示有什么文件找不到,进入注册表(regedit),查找这些文件名称,逐个清空。注意,不是删除相关的项目,而是清空和这些文件相关的项目,例如如果病毒文件绑架核心进程 explorer.exe 那么在注册表中就会在相关的explorer.exe后面加上病毒的名称,以随explorer的启动而自动启动,我们需要清除的是和病毒有关的内容,所以不能将explorer的值也清除掉,这样会造成无法见到桌面。

2)、进入启动项......

问题七:电脑中木马和病毒了,怎么办,还原系统可以吗? 大多数情况还原了系统之后就可以把病毒清除掉,但是也不是所有情况,比如中毒文件不在C盘而是在其他盘附下,在你运行某些程序的时候有可能使机器再次感染。

关于还原的问题给你解释一下,还原必须是做了备份之后才可以的,当然有些系统盘在安装系统的时候自动的把系统在硬盘里做了备份,这样的系统就可以直接还原,如果你说的系统还原打不开,估计是装系统的时候没有备份或者备份出错,如果是这样的话你可以重装一下系统。

再给点建议吧,如果机器上存有重要的资料的话上网的时候一定要小心,不要打开陌生的链接,不要随便上一些无聊的网站。养成良好的上网习惯是避免中毒更好的 *** 哦。

问题八:我的电脑有一个木马病毒老杀不掉怎么办? 病毒什么名字?肯定病毒还没杀完全,有的可以在安全模式下杀干净,有的是病毒加了壳,部分文件杀毒软件识别不出来!

我这里经常遇到的就是fsutk.dll和liprip.dll这两个总是存在的病毒~

其实重做系统也不是好 *** ,没准哪又感染上它了,你还重做吗?

……

没有提供足够信息,没法提供准确解决 *** 。

问题九:电脑中木马病毒了,怎么查杀? 你好!

如果确认机子中了病毒,不要那么惊慌,首先你要确认中病毒的文件存在哪个盘,然后用杀毒软件进行全面的查杀,腾讯电脑管家基本可杀市面上出现的病毒,并且病毒库还在不断的更新中,完全可以帮你解决病毒的问题

首先我们在腾讯电脑管家官网下载腾讯安全管家,安装完成后打开,选择【杀毒】--【全盘查杀】

腾讯电脑管家企业平台:zhidao.baidu/c/guanjia/

问题十:木马病毒如何彻底清除? 彻底清除trojan-downloader.win32.agent.bbb病毒前些天上网下载一个软件,下载后发现是exe格式的,有点怀疑的病毒。但是由于要得很急,所以也没杀毒就直接运行了,结果发现果然是一个流氓软件包。这个流氓软件包首先在你电脑里安装一个木马病毒,然后会不断地下载安装各类流氓软件到你的电脑上。做这个软件包的人真是太缺德了,会生个小孩都搞不好会没 *** 。先不骂这些人了,说正事。经过仔细检查发现,这个核心的木马就是trojan-downloader.win32.agent.bbb病毒。中了这个病毒后,我是这样清除的:1、用超级兔子清理自动安装的流氓软件。再清理注册表。2、用mcafee查毒,没发现病毒。改用奇虎的安全卫士360(我很不喜欢这个由周宏一这个老流氓投资开发的软件),但抱着死马当活马医的想法,还是试了一下。发现每次把由木马自动安装的流氓软件清理掉后,再起机又会重新安装,360对这个病毒也起不到什么作用。后来再改用卡巴斯基,发现可以删除大部分被木马程序安装的其他流氓软件和木马,就剩下trojan-downloader.win32.agent.bbb这个病毒删除不了。3、经过分析,发现这个病毒是写入到explorer进程的,核心是一个名为kumiq.dll的组件(这个组件的名字不一定,也可能你电脑上是别的名字),这个组件是在windows/system32目录下。由于被explorer调用,所以无法删除,因为explorer是随系统启动就会运行的,因而进入安全模式也没用。4、进到注册表(进入注册表 *** :点“开始”=》“运行”=》键入“regedit“,点确定,然后按F3,把下面的这个键值名复制进去。在操作注册表的时候更好做一下备份,),把所有与这个名字(kumiq.dll)有关的项目全部删除,但经这么一番折腾后,发现起码不会再自动安装其他木马和流氓软件了(以前每次启动都会自动生成一个pvsec.dll的组件,并且进程里面有好几个木马的进程,这些全都被清理掉了)。5、下载一个叫做unlocker的软件,安装好后把kumiq.dll的调用进程杀掉,再删除这个组件(用其他所谓的文件粉碎机之类的东西是删不掉这顽固的病毒组件的)。6、重启后,再用卡巴斯基全面查一遍毒,防止残留。再用超级兔子清理一下注册表(因为清理掉了很多病毒组件,如果不清理注册表,开机会提示“***找不到组件”之类的,很烦人)。完工。8、总结:病毒虽然清理掉了,但是由于在手工删除注册表字段的时候下手太狠,可能把一些与病毒无关的也干掉了,所以重启后,个人设置以及其他程序的默认设置全部丢失。虽然后来手工把一些丢失的字段加了进去,解决了一部分问题,但总是会发现新的问题,系统不是很稳定。并且为了手工清除这个病毒,花了很长的时间,这个时间足够重新安装一遍系统了。我是为了顺便研究一下这个病毒,才没有选择重新安装的。所以大家如果是遇到这个病毒,我建议还是把要紧的资料备份一下,再重新安装一遍系统来得更快。============================由于trojan-downloader.win32.agent.bbb病毒会修改系统配置,可能一些组件的调用会写入到IE的一些配置程序里,而不是写入到注册表中。建议重新安装IE试试。to:qiujiu可能是你对unlocker的使用不太熟悉,简要介绍一下unlocker的使用 *** :1、安装unlocker2、找到你要删除的文件,点右键,在右键菜单中选择unlocker选项。然后会......

木马程序有哪些伪装方式?

修改图标

当在E-MAIL的附件中看到文本图标时,是否会认为这是个文本文件呢?其实这也有可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的。

捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。

出错显示

有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。

当服务端用户打开木马程序时,会弹出一个错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。

定制端口

很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024—65535之间任选一个端口作为木马端口,这样就给判断所感染木马类型带来了麻烦。

自我销毁

这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的系统文件夹中(C:\\WINDOWS或C:\\WINDOWS\\SYSTEM目录下),一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。

而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。

木马更名

安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。

如何察看木马和去除木马

*** 时代安全问题相当重要,木马却威胁我们的计算机。不要以为我们安装了反病毒软件后就可以高枕无忧了。网上仍有很多木马程序,它们仍会危及我们的系统安全。今天给大家介绍其款优秀的反木马软件,帮你远离木马的袭击。

小知识:什么是木马程序?

--NEWSZW_HZH_BEGIN--

--NEWSZW_HZH_END--

与病毒和恶意代码不同的是,木马程序(Trojan horses)隐蔽性很强,你根本不知道它们在运行。但是它们产生的危害并不亚于病毒。一旦你的机器中了木马,则网上有人可以通过它来获取你的密码和一些资料。甚至一些高级的黑客可以远程控制你的电脑。一般的木马检测和清除程序可以很容易地检测出你机器里的木马,而且由于木马程序每天都会出现新的种类,所以一般的木马程序都会提供即时在线更新服务,以便让它能够即时检测出系统中的木马。一般的木马保存在注册表中或者会开放我们机器上的一些端口,木马查杀软件会自动清除检测并查杀。

1.Trojan Defense

Anti-Trojan 5.5是一款扫描我们TCP/IP端口,文件和注册表的木马查杀工具。端口检测功能会检查出我们机器上的可疑开放端口,以防止被黑客攻击。进程查看工具则可以列出Windows中当前所有的进程,从中可以断定哪一个是可疑的木马。而注册表检查功能使用起来速度非常快,从中可以检测出哪些自启动的程序。 Anti-Trojan可以免费上网升级,而且有10种语言版本。

2.Antiy Ghostbusters Pro 5.05

Antiy Ghostbusters Pro 5.05 有一个朴素但却非常有个性的界面。它会列出我们机器里所有运行的程序和进程,我们甚至可以通过它来管理我们的自启动程序、进程甚至是某些服务。 Ghostbusters会有一个窗口,显示远程连接端口情况和IP地址,当然,Ghostbusters也可以扫描和清除系统中的木马程序。

3.Digital Patrol 5.00.31

Digital Patrol是一款非常成熟的木马查杀程序,它能够扫描内存、硬盘、文件夹和文件(包括包含在ZIP压缩包中的文件),并能够清除其中的木马程序。Digital Patrol还有一项技术,可以查出未知的木马。

4.PestPatrol

PestPatrol有一个易于使用的界面,在我们的测试中,发现它能够查杀掉我们机器上所有的病毒。它可以显示出木马的、路径等信息,同时还允许我们登录到PestPatrol网站上学习该木马的更多信息。和其他程序不同的,PestPatrol除了能够检测和清除掉木马程序外,对于监视软件也可以查杀。

5.Tauscan 1.7

Tauscan 1.7的界面非常直观,和Windows的“资源管理器”非常相似。即使是未使用过它的用户也可以在它的向导带领下很快上手。通过菜单下的相关命令,我们就可以选择文件,甚至可以使用通配符来进行木马的查杀。正是因为它的功能强大,才使得Tauscan几乎成了最为流行的木马查杀工具。

6.TDS-3 Trojan Defence Suite

TDS-3 Trojan Defence Suite除了具有查杀木马的功能外,还有很多适于高级用户的 *** 工具,如 *** 跟踪、端口查看等。

Trojan Remover使用起来非常简单,它会扫描Windows自启动程序和每一个执行的程序,扫描速度极快。它也可以自动重命名木马程序,使其不能够自动启动。最后,它还可以自动修复木马更改的注册表,使其恢复正常。

以上几种软件网上都有免费下载,大家搜一搜就能找到了

OK 相信你们现在已经不惧怕任何木马病毒了 让你的电脑重新运转如飞吧

中毒!求救!!!

最简单的办法是格式化硬盘,重装系统

木马因为隐藏性高、危害性强而被人们所深恶痛绝。其实,木马从本质上来说是一种应用程序,利用该程序可以轻松将中了木马的计算机玩弄于股掌之中。由此可见,木马要发生作用,必须有一个前提就是必须用户运行木马的服务端程序。当然,这种运行用户自己肯定不会主动进行,那么种木马者就必须想方设法,做到让木马能够自动运行。基于这样的道理,找出木马的藏身之处。

一、集成到程序中

由于用户一般不会主动运行木马程序,而种木马者为了吸引用户运行,他们会将木马文件和其它应用程序进行捆绑,用户看到的只是正常的程序。但是你一旦运行之后,不仅该正常的程序运行,而且捆绑在一起的木马程序也会在后台偷偷运行。

这种隐藏在其它应用程序之中的木马危害比较大,而且不容易发现。如果捆绑到系统文件中,那么则会随Windows启动而运行。不过只要我们安装个人防火墙或者启用Windows XP SP2中的Windows防火墙,那么在木马服务端试图连接种木马的客户端时,则会询问是否放行,据此即可判断出自己有无中木马。

二、隐藏在媒体文件中

这种类型严格上说,用户还没有中木马。不过它的危害容易被人忽略。通过调查发现,大家对影音文件的警惕性不高。它的常用手段是在媒体文件中插入一段代码,代码中包含了一个网址,当播放到指定时间时即会自动访问该网址,而该网址所指页面的内容却是一些网页木马或其它危害。

因此,当我们在播放网上下载的影片时,如果发现突然打开了窗口,那么切不可好奇而应将其立即关闭,然后跳过该时间段影片的播放。

三、隐藏在System.ini

System.ini中也是我们找出木马藏身之地的一个绝佳地方。运行“msconfig”打开系统配置实用程序,切换到“SYSTEM.INI”标签,也可以直接打开Windows安装目录下的System.ini文件,然后查看[boot]区域中“shell=”这一行,如果显示“shell=Explorer.exe”,则表示正常。如果是其它内容,那么则说明可能中木马了。其次在[386Enh]区域,同样要检查“driver=路径\程序名”,如果发现有来历不明的文件名那么也可能是木马。

四、隐藏在Win.ini

与System.ini相似,Win.ini中也是木马喜欢加载的一个地方。对此我们可以打开系统目录下的Win.ini文件,然后查看[Windows]区域“load=”和“run=”,正常情况下它们后面应该是空白,如果你发现它们后面加了某个程序,那么加载的程序则可能是木马,需要将它们删除。

五、隐藏在Autoexec.bat

在C盘根目录下有一个Autoexec.bat文件,这里的内容将会在系统启动时自动运行。与该文件类似的还有Config.sys。因为它自动运行,因此也成为木马的一个藏身之地。对此我们同样需要打开这两个文件,检查里面是否加载了来历不明的程序在运行。

六、任务管理器

部分木马运行后我们可以在任务管理器中找出它的踪迹。在任务栏上右击,在弹出的菜单中选择“任务管理器”,将打开的窗口切换到“进程”标签,在这里查看有没有占用较多资源的进程,有没有不熟悉的进程。若有,可以先试着将它们关闭。另外要特别注意Explorer.exe这类进程,因为很多木马会使用Exp1orer.exe进程名,即把l换成1,用户不仔细查看,还以为是系统进程呢。

七、启动

在Windows XP中,我们可以运行“msconfig”,将打开的窗口切换到“启动”标签,在这里可以看到所有启动加载的项目,此时就可以根据“命令”和“位置”来判断是启动加载的是否为木马。如果判断为木马则可以将其启动取消,然后再作进一步的处理。

八、注册表

我们程序的运行控制大多是由注册表控制的,因此我们有必要对注册表进行检查。运行“regedit”打开注册表编辑器,然后依次检查如下区域:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、

HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion,看看这三个区域下所有以“run”开头的键值,如果键值的内容指向一些隐藏的文件或自己从未安装过的程序,那么这些则很可能是木马了。

木马之所以能够为非作歹,正是因为其善于隐藏自己。不过我们掌握了其藏身之处,那么则可以将其一一清除。当然,木马在实际的伪装隐藏自己中,可能会综合使用上面一种或几种 *** 来伪装,这就需要我们在检查清除时,不能只检查其中的部分地点。

0条大神的评论

发表评论