木马检查软件都有那些_木马程序全部检查

hacker|
143

怎么检查电脑是否有木马

一、通过启动文件检测木马

一旦电脑中了木马,则在电脑开机时一般都会自动加载木马文件,由于木马的隐藏性比较强,在启动后大部分木马都会更改其原来的文件名;

如果用户对电脑的启动文件非常熟悉,则可以从Windows系统自动加载文件中分析木马的存在并清除木马,这种方式是最有效、最直接的检测木马方式;

但是,由于木马自动加载的方法和存放的文职比较多,这种方法对于不太懂电脑的人来说比较有难度。

二、通过进程检测木马

由于木马也是一个应用程序,一旦运行,就会在电脑系统的内存中驻留进程。因此,我们可以通过系统自带的【Windows 任务管理器】来检测系统中是否存在木马进程;

在Windows系统中,按下【Ctrl+Alt+Delete】组合键,打开【Windows任务管理器】窗口,选择【进程】选项卡,查看列表 中是否存在可以的木马程序;

如果存在可疑进程,选中此进程并右击,从弹出的快捷菜单中选择【结束进程】即可结束词进程;

【Windows进程管理器】的主界面看下面的图;

在列表中选择其中一个进程选项之后,单击【描述】按钮,即可看到该进程的详细信息;

在进程列表中右击某个进程在其中可以对进程进行结束、暂停、查看属性、删除文件等操作。

三、通过网络连接检测木马

木马的运行通常是通过网络连接实现的,因此,用户可以通过分析网络连接来推测木马是否存在,最简单的办法是利用Windows自带的Netstat命令;

选择“开始”-“运行”菜单项,打开“运行”对话框,单击“确定”按钮,打开“命令提示符”窗口;

在“命令提示符”窗口中输入“netstat -a”,按“Enter”键,在其运行结果中查看有哪些可以的运行程序来判断木马文件。

注意:

参数“-a”的作用是显示计算机中目前所有处于监听状态的端口。

如果出现不明端口处于监听状态,而且前又没有进行任何网络服务的操作,则在监听该端口的很有可能是木马。

电脑检测到特洛伊木马程序咋办

1、打开电脑管家,然后点击左侧的工具栏,如下图。

2、点击工具箱里面的系统急救箱,如下图。

3、第一次使用这个功能需要下载,点击下载。

4、接下来需要点击快速急救,如下图。

5、系统自动进行扫描,扫描大概需要进行几分钟。最后在扫描完毕重启电脑就行了,如下图所示。

如何检测软件是否带有木马程序?

以下地址任选其一(第一个快些), 建议添加到迅雷任务中下载!

;downid=2id=4335

许可代码: 70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY

安装步骤:必须严格遵守前1-4部安装步骤,才能确保更新后不会返回免费版,笔者经数次验证可行!

1。先安装主程序(选英文的),装完后若自动运行了则要完全退出(见下说明1);

2。汉化覆盖安装:将“汉化覆盖”文件夹内的1个文件和1个文件夹同时复制到主程序安装文件夹中;

3。运行ewido,并依次完成,输入许可代码---开始更新---再次输入许可代码---完全退出(许可代码见说明2);

4。运行补丁:步骤为,双击“破解补丁”-- 点BROWSE--浏览到ewido.exe打开--PATCH--FilePatched!确定;

5。检验你的ewido安装得是否成功:点2次“开始更新”后,若显示为“无可用更新”,且状态仍然是加强版即为安装成功。

6。恭喜你!此时应该是永久加强版了,ewido会每天自动更新病毒库2次,且更新后不会返回免费版了。

附 说明1,完全退出方法:右击屏幕右下ewido图标,点 “退出” ,再点“是” 。

说明2,许可代码:70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY 输入代码后首次更新会显示错误,请再点一次“开始更新”即可。

说明3,默认安装或许为“不随Windows启动”,想随Windows启动,右击屏幕右下ewido图标,勾选“随Windows启动”。

说明4,如此安装的ewido可使用其全部功能,在默认设置下,会定期自动链接官方服务器并更新病毒库且不会返回免费版。

于06年07月16日草编

东东 QQ: 53551099

以下引自网络:

许多的反木马程序中,Ewido 是最好的。国内的木马x星等和它比简直是小儿科了。

最近在上的测试里表明,它可以有

效地检测出多形态和进程注入式木马,这些甚至完全不能被像诺顿和AVG等杀毒软件所查杀。

不过它没有TDS-3 或Trojan Hunter有效.但TDS-3目前还没推出支持中文操作系统的版本,

Trojan Hunter是英文的没汉化版。但对于个人而言Ewido足够强大了,和kaspersky结合使

用加上ZoneAlarm防火墙,可以使得系统坚若磐石。推荐所有没有安装反木马扫描器的个人

计算机用户下载这个软件,并每周定期扫描。我猜你可能在你会为所得到的结果感到惊讶

检测到木马程序,无法删除,求教高手!

分类: 电脑/网络 反病毒

问题描述:

用卡巴斯基时出现:注意!检测到木马程序.访问 对象C:\program\UPDAT\update.exe阻止,对象是特洛伊木马Trojan-Downloader.win32.QQHdper.gon建议删除对象.删除确定后出现:C:\program\UPDAT\update.exe不能删除,没有访问权限或拒绝访问.忽略打开UPDAT文件夹后,发现这个文件,我把这个文件直接删除了.但不久后卡巴斯基又提示在相同位置发现这个病毒.UPDAT文件夹中还有一个文件是update.dat,请各位帮帮忙,我对这些东西实在不太懂,要讲详细点啊.

解析:

一、常规解决办法:

1.注消或重启电脑,然后再试着删除。

2.进入“安全模式删除”。

3.在纯DOS命令行下使用DEL,DELTREE和RD命令将其删除。

4.如果是文件夹中有比较多的子目录或文件而导致无法删除,可先删除该文件夹中的子目录和文件,再删除文件夹。

5.在任务管理器中结束Explorer.exe进程,然后在命令提示符窗口删除文件。

6.如果你有安装ACDSee,FlashFXP,Nero,Total这几个软件,可以尝试在这几个软件中删除文件夹。

二、高级解决方案:

1.磁盘错误

运行磁盘扫描,并扫描文件所在分区,扫描前确定已选上修复文件和坏扇区,全面扫描所有选项,扫描后再删除文件。

2.预读机制:

某些媒体播放中断或正在预览时会造成无法删除。在“运行”框中输入:REGSVR32 /U SHMEDIA.DLL,注销掉预读功能。或删除注册表中下面这个键值:[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{87D62D94-71B3-4b9a-9489-5FE6850DC73E}\InProcServer32]。

3.防火墙:

由于反病毒软件在查毒时会占用正在检查的文件,从而导致执行删除时提示文件正在使用,这时可试着暂时关闭它的即时监控程序,或许可以解决。

4.OFFice、WPS系列软件:

OFFice的非法关闭也会造成文件无法删除或改名。重新运行该程序,然后正常关闭,再删除文件。

5.借助WinRAR:

右击要删除的文件夹,选择“添加到压缩文件”。在弹出的对话框中选中“压缩后删除源文件,”随便写个压缩包名,点确定。

6.权限问题:

如果是2000和xp系统,请先确定是否有权限删除这个文件或文件夹。

7.可执行文件的删除:

如果可执行文件的映像或程序所调用的DLL动态链接库文件还在内存中未释放,删除时就会提示文件正在使用,解决方法是删除系统的页面文件,Win98中是Win386.SWP,Win2000/XP是pagefile.sys。注意要在DOS下删除。

8.文件粉碎法:

使用文件粉碎机,如File Pulverizer,可以彻底删除一些顽固文件。

三、制作一个无法删除的“文件保险箱”

文件夹无法删除,未必就是不好的事情,如果把一些重要的文件放在这个目录中,不就可以避免误删了吗?一个文件名只包含空格的文件夹在Windows中是不允许创建和删除的,但在DOS下却可以创建文件名包含\的文件夹。

在我们使用Windows的过程中,会遇到各种各样的问题。即使是最简单的删除文件也可能遇到麻烦,要么系统提示“文件正在被另一个人或程序使用”,要么就是报告“访问被拒绝”……如果你也遇到过这种情况,不妨看看本文。

原因一:文件正在使用中

在删除文件时,经常会遇到的一个问题是,文件正在使用,无法删除。如果试图删除以独占访问而不是以共享访问方式打开,并且正在使用中的文件时,系统就会出现错误提示:“无法删除xxx:文件正在被另一个人或程序使用”。而另一种情况则是,能够使用删除命令删除文件,但在打开文件的进程释放该文件之前,文件实际上并未删除。

要解决上述问题,需要确定拥有文件打开句柄的进程,然后关闭此进程。在以前的Windows中,我们可以使用资源工具包的Oh.exe。但在XP中,安装好的Support

Tools却不带Oh.exe。不过,XP提供了一个新的Openfiles.exe命令行工具,它能够报告进程打开的各个文件。与Oh.exe相似,Openfiles.exe也要求打开系统内核监视,这会消耗一些内存,并降低系统操作的性能。打开系统监视的命令是“Openfiles

/local

on”,它会启用系统全局标志“维护对象列表”,需重新启动系统才能生效。重新启动系统后,在命令提示符下执行不带参数的“Openfiles”,即可看到各个进程打开文件的清单。

原因二:文件系统损坏

磁盘上的坏区、其他硬件故障或者软件错误都可能会损坏文件系统,使文件出现问题而无法删除。典型操作失败的方式可能各不相同,当检测到文件系统损坏时,通常会收到一条提示运行Cdsk的信息。

如果遇到这种情况,可以在磁盘卷上运行Cdsk实用工具以纠正任何存在的错误。根据损坏的性质,Cdsk也许能够恢复文件数据,也许无法恢复,但Cdsk可以使文件系统返回到一种在内部一致的状态。有关Cdsk实用工具的命令及参数,可以在命令提示符下执行“Cdsk

/?”查阅。

原因三:文件使用了存取控制列表

如果某个文件使用了存取控制列表(Access Control

List,简称ACL),而操作者又没有相应的权限,那么删除文件时就可能出现“访问被拒绝”的提示。

通常情况下,管理员具有取得任何文件所有权的隐含能力,文件所有者也具有修改文件权限的隐含能力。不过,这些默认的权限是可以被修改的。

要解决因ACL导致文件无法删除的问题,就必须以具有相应权限的用户身份登录,或者是赋予自己删除文件的权限,然后才能删除文件。要注意的是,操作者必须拥有这些文件的所有权才能更改权限。如果是因为文件使用了不规范的ACL而不能使用某些安全工具显示或修改其权限时,可以尝试使用命令行工具Cacls.exe进行修改。

原因四:文件名使用了一个保留名称

众所周知,像AUX、LPT1这样的名称是为旧式DOS设备保留的。为了向后兼容,在Windows中不允许使用这些文件名,也不能使用典型的Win32文件调用来创建它们。反之,如果文件名是Win32命名空间中的一个保留名称,则同样可能无法删除此文件。

要解决此类问题,可以在Linux或其他非Windows的操作系统下重命名或删除该文件。另外,如果能够使用特定的语法指定到该文件的路径,也可以使用一些内置的命令绕过典型的Win32保留名称检查。例如,在Windows

XP中使用以下命令,可以删除名为“lpt1”的文件(Del命令后面加上“?”来避免Windows检查文件名的合法性):

Del 3800cc/news/w31/file?c:]?c:[/URL]文件路径lpt1

原因五:无效的文件名称

如果文件名中包括一个无效名称,例如文件名有一个尾随空格,或一个尾随句点,或者文件名仅由一个空格组成,同样可能无法删除该文件。值得一提的是,如果使用典型的Win32语法打开名称中有尾随空格或尾随句点的文件,则尾随空格或句点在打开实际文件之前会被去掉。因此,如果在同一个文件夹中有两个分别名为“File.txt”和“File.txt

”的文件(注意第二个文件名后面的空格),当使用标准Win32调用打开第二个文件时,实际上会打开第一个文件。同样,如果文件的名称仅是“

”(一个空格字符),当尝试使用标准Win32调用打开它时,实际上会打开该文件的父文件夹。在此情况下,如果尝试更改这些文件上的安全设置,就有可能会意外更改其他文件上的设置。

与解决文件名使用保留名称的方法类似,可以使用一种适当的内部语法删除此文件。例如要删除包含尾随空格的文件,可以使用如下命令:

Del 3800cc/news/w31/file?]?[/URL] c:文件路径(尾随空格的文件名)

原因六:文件路径太深无法访问

文件位于比最大路径字符数(MAX_PATH)更深的路径中,可能导致文件无法访问,当然,这种情况较为少见。如果路径深的原因是文件夹名称太长,最简便的解决方案是使用自动生成的8.3名称访问该文件。如果8.3路径也太长,可以从根文件夹开始重命名文件夹,缩短它们的名称,以使目标文件的路径深度不超过MAX_PATH。若是文件的深度超过128个文件夹,可以通过创建一个网络共享,使其位于文件夹树中尽可能深的位置,然后通过访问此共享来访问文件。

一般情况下,如果遇到因文件路径太深无法访问的情况,可以通过使用创建文件的软件来管理这些文件。也就是说,如果有一个程序,它可以创建超过MAX_PATH的文件,则我们也可以使用该程序来管理这些文件。此外,对于通过网络共享创建的深层次结构的文件也可以通过使用同一共享来进行删除。

前面介绍了Windows系统中文件或文件夹无法删除的几种原因以及解决的方法。在某些情况下,可能还会遇到上述各种原因的不同组合,使得删除文件的过程更加复杂。这就需要读者能够举一反三,灵活应用微软提供的各种实用工具进行解决了。

Windows XP中删除AVI文件的问题

很多朋友可能会遇到Windows XP中无法删除AVI文件的问题,这主要是由于Windows

XP视频预览功能的Bug所导致的。你可以尝试用以下方法进行删除。

方法一 在运行命令框中输入“Regs-vr32/u

Shmedia.dll”并回车,卸去Windows

XP的视频文件预览功能。当以后想要恢复视频预览功能时,再使用“Regsvr32Shmedia.dll”命令重新注册即可。

方法二

先打开命令提示符窗口,然后在任务管理器中结束Explorer进程,再从命令提示符窗口中切换到保存视频文件的文件夹下,用Del命令删除文件。

方法三

如果安装了双系统,可以从另一个系统,如Win98下进行删除。

如何判断手机是否有木马?

病毒查杀默认开启。随时全盘扫描设备,轻松查杀隐藏病毒,净化使用环境。

1.查看手机安全状态

进入手机管家,点击病毒查杀,可查看设备当前的安全状态。

2.开启或关闭联网病毒查杀

进入 手机管家 齿轮按钮,点击防病毒软件更新和联网查杀,选择以下任一状态:

仅 WLAN 下

所有网络下

您也可选择关闭来禁用此功能。

木马的检测

木马的检测、清除与防范

来源:CNCERT/CC广东分中心编写

木马程序不同于病毒程序,通常并不象病毒程序那样感染文件。木马一般是以寻找后门、

窃取密码和重要文件为主,还可以对电脑进行跟踪监视、控制、查看、修改资料等操作,具有很强的隐蔽性、

突发性和攻击性。由于木马具有很强的隐蔽性,用户往往是在自己的密码被盗、

机密文件丢失的情况下才知道自己中了木马。在这里将介绍如何检测自己的机子是否中了木马,

如何对木马进行清除和防范。

木马检测

1、查看开放端口

当前最为常见的木马通常是基于TCP/UDP协议进行Client端与Server端之间的通讯的,

这样我们就可以通过查看在本机上开放的端口,看是否有可疑的程序打开了某个可疑的端口。

例如冰河使用的监听端口是7626,Back Orifice 2000使用的监听端口是54320等。

假如查看到有可疑的程序在利用可疑端口进行连接,则很有可能就是中了木马。

查看端口的方法有几种:

(1)使用Windows本身自带的netstat命令

C:\netstat -an

Active Connections

Proto Local Address Foreign Address State

TCP 0.0.0.0:113 0.0.0.0:0 LISTENING

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1230 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1232 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1239 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1740 0.0.0.0:0 LISTENING

TCP 127.0.0.1:5092 0.0.0.0: LISTENING

TCP 127.0.0.1:5092 127.0.0.1:1748 TIME_WAI

TCP 127.0.0.1:6092 0.0.0.0:0 LISTENING

UDP 0.0.0.0:69 *:*

UDP 0.0.0.0:445 *:*

UDP 0.0.0.0:1703 *:*

UDP 0.0.0.0:1704 *:*

UDP 0.0.0.0:4000 *:*

UDP 0.0.0.0:6000 *:*

UDP 0.0.0.0:6001 *:*

UDP 127.0.0.1:1034 *:*

UDP 127.0.0.1:1321 *:*

UDP 127.0.0.1:1551 *:*

(2)使用windows2000下的命令行工具fport

E:\softwareFport.exe

FPort v2.0 - TCP/IP Process to Port Mapper

Copyright 2000 by Foundstone, Inc.

Pid Process Port Proto Path

420 svchost - 135 TCP E:\WINNT\system32\svchost.exe

8 System - 139 TCP

8 System - 445 TCP

768 MSTask - 1025 TCP E:\WINNT\system32\MSTask.exe

8 System - 1027 TCP

8 System - 137 UDP

8 System - 138 UDP

8 System - 445 UDP

256 lsass - 500 UDP E:\WINNT\system32\lsass.exe

(3)使用图形化界面工具Active Ports

这个工具可以监视到电脑所有打开的TCP/IP/UDP端口,还可以显示所有端口所对应的程序所在的路径,

本地IP和远端IP(试图连接你的电脑IP)是否正在活动。这个工具适用于Windows NT/2000/XP平台。

2、查看win.ini和system.ini系统配置文件

查看win.ini和system.ini文件是否有被修改的地方。

例如有的木马通过修改win.ini文件中windows节 的“load=file.exe ,run=file.exe”语句进行自动加载。

此外可以修改system.ini中的boot节,实现木马加载。

例如 “妖之吻” 病毒,将“Shell=Explorer.exe” (Windows系统的图形界面命令解释器)

修改成“Shell=yzw.exe”,在电脑每次启动后就自动运行程序yzw.exe。

修改的方法是将“shell=yzw.exe”还原为“shell=explorer.exe”就可以了。

3、查看启动程序

如果木马自动加载的文件是直接通过在Windows菜单上自定义添加的,

一般都会放在主菜单的“开始-程序-启动”处,

在Win98资源管理器里的位置是“C:\windows\start menu\programs\启动”处。

通过这种方式使文件自动加载时,一般都会将其存放在注册表中下述4个位置上:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Explorer\Shell Folders  

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Explorer\User Shell Folders

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Explorer\User Shell Folders 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Explorer\Shell Folders

检查是否有可疑的启动程序,便很容易查到是否中了木马。

在Win98系统下,还可以直接运行Msconfig命令查看启动程序和system.ini、win.ini、autoexec.bat等

文件。

4、查看系统进程

木马即使再狡猾,它也是一个应用程序,需要进程来执行。可以通过查看系统进程来推断木马是否存在。

在Windows NT/XP系统下,按下“CTL+ALT+DEL”,进入任务管理器,就可看到系统正在运行的全部进程。

在Win98下,可以通过Prcview和winproc工具来查看进程。查看进程中,要求你要对系统非常熟悉,

对每个系统运行的进程要知道它是做什么用的,这样,木马运行时,

就很容易看出来哪个是木马程序的活动进程了。

5、查看注册表

木马一旦被加载,一般都会对注册表进行修改。一般来说,

木马在注册表中实现加载文件一般是在以下等处:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\RunServices

此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=

““%1” %*”处,如果其中的“%1”被修改为木马,那么每次启动一个该可执行文件时木马就会启动一次,

例如著名的冰河木马就是将TXT文件的Notepad.exe改成了它自己的启动文件,

每次打开记事本时就会自动启动冰河木马,做得非常隐蔽。

还有“广外女生”木马就是在HKEY_CLASSES_ROOT\exefile\shell\open

\command=““%1” %*”处将其默认键值改成"%1" %*",

并在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices添加了名称为"Diagnostic Configuration"的键值;

6、使用检测软件

上面介绍的是手工检测木马的方法,此外,我们还可以通过各种杀毒软件、

防火墙软件和各种木马查杀工具等检测木马。各种杀毒软件主要有:KV3000,Kill3000、瑞星等,

防火墙软件主要有国外的Lockdown,国内的天网、金山网镖等,各种木马查杀工具主要有:The Cleaner、

木马克星、木马终结者等。这里推荐一款工具防护工具McAfee VirusScan ,

它集合了入侵防卫及防火墙技术,为个人电脑和文件服务器提供全面的病毒防护。

木马清除

检测到电脑中了木马后,就要根据木马的特征来进行清除。查看是否有可疑的启动程序、

可疑的进程存在,是否修改了win.ini、system.ini系统配置文件和注册表。

如果存在可疑的程序和进程,就按照特定的方法进行清除。

主要的步骤都不外乎以下几个:

(但并不是所有的木马清除都能够根据下列步骤删除,这里只是介绍清除木马的基本方法)

1、删除可疑的启动程序

查看系统启动程序和注册表是否存在可疑的程序后,判断是否中了木马,

如果存在木马,则除了要查出木马文件并删除外,还要将木马自动启动程序删除。

例如Hack.Rbot病毒、后门就会拷贝自身到一些固定的windows自启动项中:

WINDOWS\All Users\Start Menu\Programs\StartUp

WINNT\Profiles\All Users\Start Menu\Programs\Startup

WINDOWS\Start Menu\Programs\Startup

Documents and Settings\All Users\Start Menu\Programs\Startup

查看一下这些目录,如果有可疑的启动程序,则将之删除。

2、恢复win.ini和system.ini系统配置文件的原始配置

许多病毒会将win.ini和system.ini系统配置文件修改,使之能在系统启动时加载和运行木马程序。

例如电脑中了“妖之吻”病毒后,病毒会将system.ini中的boot节的

“Shell=Explorer.exe”字段修改成“Shell=yzw.exe”,清除木马的方法是把system.ini给恢复原始配置,

即“Shell=yzw.exe”修改回“Shell=Explorer.exe”,再删除掉病毒文件即可。

TROJ_BADTRANS.A病毒,也会更改win.ini以便在下一次重新开机时执行木马程序。

主要是将win.ini中的windows节的“Run=”字段修改成“Run= C:%WINDIR%INETD.EXE”字段。

执行清除的步骤如下:

(1)打开win.ini文本文件,将字段“RUN=C:%WINDIR%INETD.EXE”中 等号后面的字符删除,

仅保留“RUN=”。

(2)将被TROJ_BADTRANS.A病毒感染的文件删除。

3、停止可疑的系统进程

木马程序在运行时都会在系统进程中留下痕迹。通过查看系统进程可以发现运行的木马程序,

在对木马进行清除时,当然首先要停掉木马程序的系统进程。

例如Hack.Rbot病毒、后门除了将自身拷贝到一些固定的windows自启动项中外,

还在进程中运行wuamgrd.exe程序,修改了注册表,以便病毒可随机自启动。

在看到有木马程序在进程中运行,则需要马上杀掉进程,并进行下一步操作,修改注册表和清除木马文件。

4、修改注册表

查看注册表,将注册表中木马修改的部分还原。例如上面所提到的Hack.Rbot病毒、后门,

向注册表的以下地方:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Run

添加了键值"Microsoft Update" = "wuamgrd.exe",以便病毒可随机自启动。

这就需要我们进入注册表,将这个键值给删除。注意:可能有些木马会不允许执行.exe文件,

这样我们就需要先将regedit.exe改成系统能够运行的,比如可以改成regedit.com。

这里就说说如何清除Hack.Rbot病毒、后门的。

(1)将进程中运行的wuamgrd.exe进程停止,这是一个木马程序;

(2)将Hack.Rbot拷贝到windows启动项中的启动文件删除;

(3)将Hack.Rbot添加到注册表中的键值"Microsoft Update"=

"wuamgrd.exe"删除;

(4)手工或用专杀工具删除被Hack.Rbot病毒感染的文件。并全面检查系统。

5、使用杀毒软件和木马查杀工具进行木马查杀

常用的杀毒软件包括KV3000、瑞星、诺顿等,这些软件对木马的查杀是比较有效的,

但是要注意时刻更新病毒库,而且对于一些木马查杀不彻底,在系统重新启动后还会自动加载。

此外,你还可以使用The Cleaner、木马克星、木马终结者等各种木马转杀工具对木马进行查杀。

这里推荐一款工具Anti-Trojan Shield,这是一款享誉欧洲的专业木马侦测、拦截及清除软件。

可以在网站下载。

木马防范

随着网络的普及,硬件和软件的高速发展,网络安全显得日益重要。对于网络中比较流行的木马程序,

传播时间比较快,影响比较严重,因此对于木马的防范就更不能疏忽。

我们在检测清除木马的同时,还要注意对木马的预防,做到防范于未然。

1、不要随意打开来历不明的邮件

现在许多木马都是通过邮件来传播的,当你收到来历不明的邮件时,请不要打开,应尽快删除。

并加强邮件监控系统,拒收垃圾邮件。

2、不要随意下载来历不明的软件

最好是在一些知名的网站下载软件,不要下载和运行那些来历不明的软件。

在安装软件的同时最好用杀毒软件查看有没有病毒,之后才进行安装。

3、及时修补漏洞和关闭可疑的端口

一般木马都是通过漏洞在系统上打开端口留下后门,以便上传木马文件和执行代码,

在把漏洞修补上的同时,需要对端口进行检查,把可疑的端口关闭。

4、尽量少用共享文件夹

如果必须使用共享文件夹,则最好设置帐号和密码保护。注意千万不要将系统目录设置成共享,

最好将系统下默认共享的目录关闭。Windows系统默认情况下将目录设置成共享状态,这是非常危险的。

5、运行实时监控程序

在上网时最好运行反木马实时监控程序和个人防火墙,并定时对系统进行病毒检查。

6、经常升级系统和更新病毒库

经常关注厂商网站的安全公告,这些网站通常都会及时的将漏洞、木马和更新公布出来,

并第一时间发布补丁和新的病毒库等。

采用注册表来管理系统配置,主要是为了提高系统的稳定性,平时操作系统出现的一些问题,

诸如系统无法启动、应用程序无法运行、系统不稳定等情况,很多都是因为注册表出现错误而造成的,

而通过修改相应的数据就能解决这些问题,所以,掌握如何正确备份、恢复注册表的方法,

可以让每一个用户更加得心应手地使用自己的电脑。

一、利用注册表编辑器手工备份注册表

注册表编辑器(Regedit)是操作系统自带的一款注册表工具,通过它就能对注册表进行各种修改。

当然,"备份"与"恢复"注册表自然是它的本能了。

(1)通过注册表编辑器备份注册表

由于修改注册表有时会危及系统的安全,因此不管是WINDOWS 98还是WINDOWS 2000甚至WINDOWS XP,

都把注册表编辑器"藏"在了一个非常隐蔽的地方,要想"请"它出山,必须通过特殊的手段才行。

点击"开始"菜单,选择菜单上的"运行"选项,在弹出的"运行"窗口中输入"Regedit"后,点击"确定"按钮,

这样就启动了注册表编辑器。

点击注册表编辑器的"注册表"菜单,再点击"导出注册表文件"选项,

在弹出的对话框中输入文件名"regedit",将"保存类型"选为"注册表文件",再将"导出范围"设置为"全部",

接下来选择文件存储位置,最后点击"保存"按钮,就可将系统的注册表保存到硬盘上。

完成上述步骤后,找到刚才保存备份文件的那个文件夹,就会发现备份好的文件已经放在文件夹中了。

(2)在DOS下备份注册表

当注册表损坏后,WINDOWS(包括"安全模式")无法进入,此时该怎么办呢?

在纯DOS环境下进行注册表的备份、恢复是另外一种补救措施,下面来看看在DOS环境下,

怎样来备份、恢复注册表。

在纯DOS下通过注册表编辑器备份与恢复注册表前面已经讲解了利用注册表编辑器在WINDOWS环境下备份、

恢复注册表,其实"Regedit.exe"这个注册表编辑器不仅能在WINDOWS环境中运行,也能在DOS下使用。

虽然在DOS环境中的注册表编辑器的功能没有在WINDOWS环境中那么强大,但是也有它的独到之处。

比如说通过注册表编辑器在WINDOWS中备份了注册表,可系统出了问题之后,无法进入WINDOWS,

此时就可以在纯DOS下通过注册表编辑器来恢复注册表。

应该说在DOS环境中备份注册表的情况还是不多见的,一般在WINDOWS中备份就行了,

不过在一些特殊的情况下,这种方式就显得很实用了。

进入DOS后,再进入C盘的WINDOWS目录,在该目录的提示符下输入"regedit"后按回车键,

便能查看"regedit"的使用参数。

通过"Regedit"备份注册表仍然需要用到"system.dat"和"user.dat"这两个文件,

而该程序的具体命令格式是这样的:

Regedit /L:system /R:user /E filename.reg Regpath

参数含义:

/L:system指定System.dat文件所在的路径。

/R:user指定User.dat文件所在的路径。

/E:此参数指定注册表编辑器要进行导出注册表操作,在此参数后面空一格,输入导出注册表的文件名。

Regpath:用来指定要导出哪个注册表的分支,如果不指定,则将导出全部注册表分支。在这些参数中

,"/L:system"和"/R:user"参数是可选项,如果不使用这两个参数,

注册表编辑器则认为是对WINDOWS目录下的"system.dat"和"user.dat"文件进行操作。

如果是通过从软盘启动并进入DOS,

那么就必须使用"/L"和"/R"参数来指定"system.dat"和"user.dat"文件的具体路径,

否则注册表编辑器将无法找到它们。

比如说,如果通过启动盘进入DOS,

则备份注册表的命令是"Regedit /L:C:\windows\/R:C:\windows\/e regedit.reg",

该命令的意思是把整个注册表备份到WINDOWS目录下,其文件名为"regedit.reg"。

而如果输入的是"regedit /E D:\regedit.reg"这条命令,

则是说把整个注册表备份到D盘的根目录下(省略了"/L"和"/R"参数),其文件名为"Regedit.reg"。

( 3)用注册表检查器备份注册表

在DOS环境下的注册表检查器Scanreg.exe可以用来备份注册表。

命令格式为:

Scanreg /backup /restore /comment

参数解释:

/backup用来立即备份注册表

/restore按照备份的时间以及日期显示所有的备份文件

/comment在/restore中显示同备份文件有关的部分

注意:在显示备份的注册表文件时,压缩备份的文件以 .CAB文件列出,

CAB文件的后面单词是Started或者是NotStarted,Started表示这个文件能够成功启动Windows,

是一个完好的备份文件,NotStarted表示文件没有被用来启动Windows,

因此还不能够知道是否是一个完好备份。

比如:如果我们要查看所有的备份文件及同备份有关的部分,命令如下:

Scanreg /restore /comment

注册表恢复

注册表中存放着计算机软硬件的配置信息,病毒、网页恶意代码往往要修改注册表,

平时安装、操作软件也会使注册表内容发生变化。当计算机工作不正常时,

往往可以通过恢复注册表来修复。所以,平时我们应经常备份注册表(运行regedit,导出注册表文件)。

这样,需要时就可以导入过去某个备份,使电脑恢复正常。

如果平时没有导出注册表,则只好通过运行 scanreg /restore来恢复注册表,

或运行scanreg

/fix来修复注册表。不过该命令应该在DOS下执行。对于win98系统,开机时按F8,

选择Command Prompt

Only进入DOS;对于WinMe系统,则可以运行Command进入DOS。当然,也可以用软盘引导系统,

进入C:\windows\command子目录,然后执行上述修复注册表的命令。

目前网页恶意代码最可恶的破坏行为之一是在注册表中禁止了程序运行。

此时因IE无法运行,不能使用在线自动修复;且“微机数据维护”等修复软件也不能运行;

同样也不能导入注册表文件来修复注册表。此时唯一的办法就是在DOS下运行C:\windows

scanreg /restore来修复注册表。

0条大神的评论

发表评论