Windows:
1. 检测本地网络连接,cmd下netstat-ano这个可以显示所有的网络连接,还有PID值,在任务管理器中可以对照响应的PID值进行查看相应的进程。
2. 用户检查,打开“我的电脑”-->“管理”-->“计算机用户和组”查看是否有多余用户,管理员组都是那些用户,这些用户是否安全。
3. 查看服务选项,cmd中servisces.msc打开服务面板,查看状态为“开启的服务”排除正常服务,寻找是否有可疑服务。
4. 检查系统中拥有启动方式的文件,system.ini和win.ini,在“运行”中输入这2个文件名的名字即可打开(路径在system32下)system.ini中查看有【boot】的字段查看下面shell=Explorer.exe,如果Explorer.exe后面还有exe或者cmd、com等执行文件就要进行检查这些文件了,通常Explorer.exe后面没有东西。在【386Enh】下的“dirver=路劲”以及【mic】、【drivers】、【drivers32】字段下也可能加载木马。另外在win.ini中注意【windows】下的“load=路径”,“run=路径”一般情况下是空白。
5. 启动组的检查,假设系统安装在C盘,路径为C:\Documents and Settings\用户名\“开始”菜单\程序\启动\...。或者在C:\Documents and Settings\All Users\“开始”菜单\程序\启动\...
6.修改文件关联的木马。在注册表中查看文件关联,
EXE文件的关联:HKEY_CLASSES_ROOT\exefile\shell\open\command,正常值为"%1" %*
TXT文件的关联: HKEY_CLASSES_ROOT\txtfile\shell\open\command,正常为C:\WINDOWS\notepad.exe %1
INF文件的关联: HKEY_CLASSES_ROOT\inffile\shell\open\command,正常为%SystemRoot%\System32\NOTEPAD.EXE %1
INI文件的关联: HKEY_CLASSES_ROOT\inifile\shell\open\command C:\WINDOWS\System32\NOTEPAD.EXE %1
7.dll样式木马,用木马的dll代替系统的dll,系统需要调用正常dll函数的时候,木马dll就会先被调用执行,然后再由木马dll去调用系统正常的dll,这时,系统运行正常,但是木马也随之启动.
8. 捆绑exe文件的木马,利用开机自启动的exe程序进行捆绑自身或将自身伪装成正常exe程序的图标,如QQ,MSN,PPS等,这样开机后会先启动木马,然后由木马调用正常的程序,在正常的程序启动的时候木马也悄然启用,于dll木马类似的方式.
9.注册表中的大众启动项.HKLM\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等项
还有HKCU\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等项
以及 HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等项
如果找到木马进程却不能结束的话,说明木马进程之间有守护作用,不止一个进程,在cmd用taskkill –T –PID “进程PID”来判断进程之间的守护关系,然后找到写一个批处理用taskkill –PID “进程PID”结束多有的守护进程即可,如果木马嵌套在某个系统进程中,如services.exe、svchost.exe中的话只有用专业的工具(比如“冰刃”等)进行内部dll模块的卸载了。如果是因为木马运行程序无法删除的话,进入cmd下,cd切换到木马所在目录,用attrib –s –h –r “木马运行程序” 命令消除木马的系统属性,然后再用delete “木马运行程序”命令来删除木马程序。
所谓未雨绸缪说的就是提前做好准备,以便应对突发状况,在不用任何外界工具的情况下,可以再刚装好系统的时候备份系统目录下的所有文件的名字,cmd进入system32目录下运行
dir *.exe>c:\exeback.txt
dir *.dll>c:dllback.txt
这样记录了系统目录下所有的exe程序和dll文件,等需要查杀的时候,可以再用dir命令将现在的exe文件和dll文件的名称全比导出到txt文本,然后在cmd下用
fc exeback.txt exeback1.txt>bijiaoexe.txt比较exe文件
fc dllback.txt dllback1.txt>bijiaodll.txt 比较dll文件
就可以发现多出来的exe文件和dll文件了
当然,用电脑就免不了要装一些软件,安装软件自然会使system32目录中的文件发生较大的变化,多出不少文件,就算是用了fc进行比较也还是不方便,这时就可以利用对照已加载的正常软件的模块的方法来缩小杀找范围。运行中输入msinfo32.exe依次展开“软件环境”-“加载的模块”,然后选择“文件”-导出,之后再与前面比较的那份txt文档进行比较,排除正常的模块文件。
另外,查看进程中的模块的命令式cmd下tasklist /svc
二.在线查杀木马
1.procexp.exe开启virtual在线查杀,发现木马进程。
2.procexp.exe暂停木马进程打包备份木马文件,保留证据。
3.Autoruns.exe启动项中找到对应木马进程,右键删除。(此方法可删除注册表中的值)
4.Autoruns.exe开启virtual在线查毒,检查是否有可疑进程。
5.tcpview.exe检查网络连接情况,关注SYN_SENT。
如何快速清理木马病毒
随着病毒编写技术的发展,木马程式对使用者的威胁越来越大,尤其是一些木马程式采用了极其狡猾的手段来隐蔽自己,使普通使用者很难在中毒后发觉,我教你一些清理木马病毒的相关知识吧。
一、档案捆绑检测
将木马捆绑在正常程式中,一直是木马伪装攻击的一种常用手段。下面我们就看看如何才能检测出档案中捆绑的木马。
1.MT捆绑克星
档案中只要捆绑了木马,那么其档案头特征码一定会表现出一定的规律,而MT捆绑克星正是通过分析程式的档案头特征码来判断的。程式执行后,我们只要单击“浏览”按钮,选择需要进行检测的档案,然后单击主介面上的“分析”按钮,这样程式就会自动对新增进来的档案进行分析。此时,我们只要检视分析结果中可执行的头部数,如果有两个或更多的可执行档案头部,那么说明此档案一定是被捆绑过的!
2.揪出捆绑在程式中的木马
光检测出了档案中捆绑了木马是远远不够的,还必须请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。
程式执行后会首先要求选择需要检测的程式或档案,然后单击主介面中的“Process”按钮,分析完毕再单击“Clean File”按钮,在弹出警告对话方块中单击“是”按钮确认清除程式中被捆绑的木马。
二、清除DLL类后门
相对档案捆绑执行,DLL插入类的木马显的更加高阶,具有无程序,不开埠等特点,一般人很难发觉。因此清除的步骤也相对复杂一点。
1.结束木马程序
由于该型别的木马是嵌入在其它程序之中的,本身在程序检视器中并不会生成具体的专案,对此我们如果发现自己系统出现异常时,则需要判断是否中了DLL木马。
在这里我们借助的是IceSword工具,执行该程式后会自动检测系统正在执行的程序,右击可疑的程序,在弹出的选单中选择“模组资讯”,在弹出的视窗中即可检视所有DLL模组,这时如果发现有来历不明的专案就可以将其选中,然后单击“解除安装”按钮将其从程序中删除。对于一些比较顽固的程序,我们还将其中,单击“强行解除”按钮,然后再通过“模组档名”栏中的地址,直接到其资料夹中将其删除。
2.查询可疑DLL模组
由于一般使用者对DLL档案的呼叫情况并不熟悉,因此很难判断出哪个DLL模组是不是可疑的。这样ECQ-PS超级程序王即可派上用场。
执行软体后即可在中间的列表中可以看到当前系统中的所有程序,双击其中的某个程序后,可以在下面视窗的“全部模组”标签中,即可显示详细的资讯,包括模组名称、版本和厂商,以及建立的时间等。其中的厂商和建立时间资讯比较重要,如果是一个系统关键程序如“svchost.exe”,结果呼叫的却是一个不知名的厂商的模组,那该模组必定是有问题的。另外如果厂商虽然是微软的,但建立时间却与其它的DLL模组时间不同,那么也可能是DLL木马。
另外我们也可以直接切换到“可疑模组”选项,软体会自动扫描模组中的可疑档案,并在列表中显示出来。双击扫描结果列表中的可疑DLL模组,可看到呼叫此模组的程序。一般每一个DLL档案都有多个程序会呼叫,如果呼叫此DLL档案的仅仅是此一个程序,也可能是DLL木马。点选“强进删除”按钮,即可将DLL木马从程序中删除掉。
三、彻底的Rootkit检测
谁都不可能每时每刻对系统中的埠、登录档、档案、服务进行挨个的检查,看是否隐藏木马。这时候我可以使用一些特殊的工具进行检测。
1.Rootkit Detector清除Rootkit
Rootkit Detector是一个Rootkit检测和清除工具,可以检测出多个Windows下的Rootkit其中包括大名鼎鼎的hxdef.100.
用方法很简单,在命令列下直接执行程式名“rkdetector.exe”即可。程式执行后将会自动完成一系统列隐藏专案检测,查找出系统中正在执行的Rootkit程式及服务,以红色作出标记提醒,并尝试将它清除掉。
2.强大的Knlps
相比之下,Knlps的功能更为强大一些,它可以指定结束正在执行的Rootkit程式。使用时在命令列下输入“knlps.exe-l”命令,将显示系统中所有隐藏的Rootkit程序及相应的程序PID号。找到Rootkit程序后,可以使用“-k”引数进行删除。例如已找到了“svch0st.exe”的程序,及PID号为“3908”,可以输入命令“knlps.exe -k 3908”将程序中止掉。
四、克隆帐号的检测
严格意义上来说,它已经不是后门木马了。但是他同样是在系统中建立了管理员许可权的账号,但是我们检视的却是Guest组的成员,非常容易麻痹管理员。
在这里为大家介绍一款新的帐号克隆检测工具LP_Check,它可以明查秋毫的检查出系统中的克隆使用者!
LP_Check的使用极其简单,程式执行后会对登录档及“帐号管理器”中的使用者帐号和许可权进行对比检测,可以看到程式检测出了刚才Guest帐号有问题,并在列表中以红色三角符号重点标记出来,这时我们就可以开启使用者管理视窗将其删除了。
通过介绍相信已经能够让系统恢复的比较安全了,但是要想彻底避免木马的侵害,还是需要对其基础知识加以了解。
如何彻底清除病毒?
如果遇到木马或病毒杀不掉,一般是由于木马病毒正在运行,或者有其他的病毒进程守护,造成的。如果遇到这类隐藏性很高的、又释放驱动的病毒,很难处理。所以要先对病毒灭活,杀掉活体病毒之后就很容易查杀了。1、电脑杀毒建议安装专业的杀毒软件,用杀毒软件在安全模式下全盘查杀处理病毒应当可以清理彻底,推荐试试腾讯电脑管家,它是免费专业安全软件,杀毒管理二合一(只需要下载一份),占内存小,杀毒好,防护好,无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!保证杀毒质量。如果遇到顽固木马,可以用首页——工具箱——顽固木马克星,强力查杀,效果相当不错的。
2、安全模式下,将该目录的所有文件按修改时间重新排列,将该病毒以及修改时间和病毒一样的文件删除(先纪录名字)。安全模式下,在运行中输入msconfig,在“启动”中将除了ctfmon之外的所有项目的勾去掉。在安全模式下,把刚才的名字一个一个在注册表中查找一遍,一样路径和名称的键都删除
3、如果遇到所有安全类软件打不开,就可以用安全模式试试。如果安全模式下也进入不了的话没有太好的办法了,可以尝试挂盘杀毒,也可以制作一个引导杀毒的工具,很多杀毒软件都有引导杀毒工具,或者是重装系统。
建议你在用杀毒软件检测出木马病毒后,第一时间进行清除。一般当扫描出木马后,都会帮您勾选好所有木马,只需要点击“立即清除”就可以了。有些木马需要重启电脑,为了彻底清除危害千万不要嫌麻烦哦。
如果不能解决,就只能重装系统了。
相关推荐:
