<暑期活动01>遭遇木马病毒,该怎样处理?
木马是网络用户常遭遇的一种威胁,当电脑中已经有木马在内存运行中,如何将其干净的清除呢?假如这台电脑完全没有防御软件。请将使用的软件和使用步骤详细标明。
全部回答
首先支持这次活动并支持long管理员,我来说说我的办法:
如何不用任何工具来判断并清除木马病毒呢?
1):启动任务管理器,看其中是否有陌生进程,将它们记录下来,暂时别动它们。
2):启动注册表编辑器,查看以下几个地方:(点击“开始”-“运行”输入regedit) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Run。
。。。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CuurentVersion\Run。。。 看看启动表项里是否有可疑的程序: HKEY_CLASSES_ROOT\exefile\shell\open\command 看看是不是有exe文件关联型木马程序,正确的键值应该是:"%1"%* HKEY_CLASSES_ROOT\inffile\shell\open\command 看看是不是有inf文件关联型木马程序,正确的键值应该是: %SystemRoot%\system32\NOTEPAD。
EXE%1 HKEY_CLASSES_ROOT\inifile\shell\open\command 看看是不是有ini文件关联型木马程序,正确的键值应该是: %SystemRoot%\system32\NOTEPAD。
EXE%1 HKEY_CLASSES_ROOT\txtfile\shell\open\command 看看是不是有txt文件关联型木马程序,正确键值应该是: %SystemRoot%\system32\NOTEPAD。
EXE%1 将它们都记录下来,暂时不要更改。 3):启动一个cmd窗口,输入netstat -an看看有没有异常端口,建议下载一个Active Ports,用来查看端口与进程的关系,找出使用异常端口的进程。
4):用资源管理器查看winnt\ 及winnt\system32的文件(记住全部文件,包括受保护文件),按时间排序,找出建立时间或修改时间异常的程序,记录下来。 5):查看“开始”-“程序”-“启动”中有没有奇怪的文件。
综合以上5步的结果,应该能排列的出来一个可以程序的清单,然后开始照单杀木马了。 6):清除木马的顺序:先停止进程--清理注册表相关表项--删除硬盘上的木马文件。 提示:如果遭遇病毒,将exe文件进行关联后,些时exe文件无法正常打开,就无法进入注册表,这时可以将regedit。
exe改为 ,并运行 ,即可进入注册表。 这只是简单清除木马病毒的方法,一些木马病毒则需要专杀来清除,关键是平时防御,打开系统的自动更新,及时安装微软的系统补丁,尽量不要运行一些可疑程序,并安装强效防病毒软件,关键是防御!!!。
2):启动注册表编辑器,查看以下几个地方:(点击“开始”-“运行”输入regedit) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Run。
。。。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CuurentVersion\Run。。。 看看启动表项里是否有可疑的程序: HKEY_CLASSES_ROOT\exefile\shell\open\command 看看是不是有exe文件关联型木马程序,正确的键值应该是:"%1"%* HKEY_CLASSES_ROOT\inffile\shell\open\command 看看是不是有inf文件关联型木马程序,正确的键值应该是: %SystemRoot%\system32\NOTEPAD。
EXE%1 HKEY_CLASSES_ROOT\inifile\shell\open\command 看看是不是有ini文件关联型木马程序,正确的键值应该是: %SystemRoot%\system32\NOTEPAD。
EXE%1 HKEY_CLASSES_ROOT\txtfile\shell\open\command 看看是不是有txt文件关联型木马程序,正确键值应该是: %SystemRoot%\system32\NOTEPAD。
EXE%1 将它们都记录下来,暂时不要更改。 3):启动一个cmd窗口,输入netstat -an看看有没有异常端口,建议下载一个Active Ports,用来查看端口与进程的关系,找出使用异常端口的进程。
4):用资源管理器查看winnt\ 及winnt\system32的文件(记住全部文件,包括受保护文件),按时间排序,找出建立时间或修改时间异常的程序,记录下来。 5):查看“开始”-“程序”-“启动”中有没有奇怪的文件。
综合以上5步的结果,应该能排列的出来一个可以程序的清单,然后开始照单杀木马了。 6):清除木马的顺序:先停止进程--清理注册表相关表项--删除硬盘上的木马文件。 提示:如果遭遇病毒,将exe文件进行关联后,些时exe文件无法正常打开,就无法进入注册表,这时可以将regedit。
exe改为 ,并运行 ,即可进入注册表。 这只是简单清除木马病毒的方法,一些木马病毒则需要专杀来清除,关键是平时防御,打开系统的自动更新,及时安装微软的系统补丁,尽量不要运行一些可疑程序,并安装强效防病毒软件,关键是防御!!!。
处理病毒木马的一般步骤:
一、搜集病毒信息
1。杀毒软件提供的信息
2。任务管理器提供的信息
3。事件查看器提供的信息
通过以上的资料,可以上网搜相关方案来查杀。
二、无任何资料下,或者是病毒木马群的查杀方案 在安全模式下和关闭系统还原情况下, 1。 运行msconfig看启动项和服务项,非必要性的启动和服务都禁用。
2。我的电脑右键->管理->设备管理器->查看->显示非即插即用设备(删除非必须的驱动)不重启。 3。删除临时文件: C:\temp C:\windows\prefetch C:\document and setting\各个用户\local setting\ Temporary Internet Files C:\document and setting\各个用户\ Templates C:\Program Files\Internet Explorer\ PLUGINS(这个位置可能也会有病毒) 删最新文件---遇到不能删除的文件,基本可以说明有问题了 。
C:\ C:\WINDOWS C:\WINDOWS\SYSTEM32 C:\WINDOWS\SYSTEM32\DRIVERS\(这个不要随便删,一般是卸载完驱动后再删) 4。
删注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 删除里面相关项,当然如果知道是什么病毒文件的话,直接搜索注册表,然后全都删除。
5。右键IE属性->程序->管理插件——禁用非官方或者不认识的插件。 遇到删不掉的文件,可以先禁止进线程,然后强制删除。 而后在同样位置创建同名文件并设置属性 attrib 路径\文件名 +s +h +r +a 遇到系统文件被损坏的,可以从别的机器拷贝替代 遇到顽固的病毒,可以通过组策略限制。
方法:计算机配置->windows设置->安全设置->软件限定策略->额外策略->新建一策略,然后找到病毒文件名,即可。同时,在用户配置->管理员模版->系统->禁止运行的应用程序->启用添加病毒程序名(不需要路径)。
安装杀毒软件和反间谍软件,升级并查杀,再重启进安全模式,确认一遍是否问题还在。 。
二、无任何资料下,或者是病毒木马群的查杀方案 在安全模式下和关闭系统还原情况下, 1。 运行msconfig看启动项和服务项,非必要性的启动和服务都禁用。
2。我的电脑右键->管理->设备管理器->查看->显示非即插即用设备(删除非必须的驱动)不重启。 3。删除临时文件: C:\temp C:\windows\prefetch C:\document and setting\各个用户\local setting\ Temporary Internet Files C:\document and setting\各个用户\ Templates C:\Program Files\Internet Explorer\ PLUGINS(这个位置可能也会有病毒) 删最新文件---遇到不能删除的文件,基本可以说明有问题了 。
C:\ C:\WINDOWS C:\WINDOWS\SYSTEM32 C:\WINDOWS\SYSTEM32\DRIVERS\(这个不要随便删,一般是卸载完驱动后再删) 4。
删注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 删除里面相关项,当然如果知道是什么病毒文件的话,直接搜索注册表,然后全都删除。
5。右键IE属性->程序->管理插件——禁用非官方或者不认识的插件。 遇到删不掉的文件,可以先禁止进线程,然后强制删除。 而后在同样位置创建同名文件并设置属性 attrib 路径\文件名 +s +h +r +a 遇到系统文件被损坏的,可以从别的机器拷贝替代 遇到顽固的病毒,可以通过组策略限制。
方法:计算机配置->windows设置->安全设置->软件限定策略->额外策略->新建一策略,然后找到病毒文件名,即可。同时,在用户配置->管理员模版->系统->禁止运行的应用程序->启用添加病毒程序名(不需要路径)。
安装杀毒软件和反间谍软件,升级并查杀,再重启进安全模式,确认一遍是否问题还在。 。
支持一下软件分类的活动,根据自己的经验,尝试回答一下LZ的问题。
对于不小心感染病毒木马的计算机,对于有经验的使用者,可以从任务管理器的进程中发现可疑的对象,或者从系统文件夹中发现可疑文件,进而手工结束进程,删除可疑文件及删除可能搜索到的注册表相关信息。
但是从大多数人的水平及高效率角度出发,可以依次做以下工作。 1、如果有网络连接,首先拔掉网线断网。 2、在开始->运行中,键入msconfig。
将启动项中,除输入法相关ctfmon及机器本身可能安装的杀毒防护,如江民的KVMonXp等保留外,其它全部禁用。将服务中的项目,首先,然后将除杀毒服务,如江民的KVSrvXp之外的所有服务全部禁用,然后确定。
3、重新启动计算机,按F8进入安全模式。 4、然后重点推荐安装使用中天在线的《流氓软件清理工具合集》,合集中包括360安全卫士、Windows清理助手、超级兔子IE修复专家、超级兔子清理王、恶意软件清理卫士、恶意软件清理助手、流氓软件清除大师。
综合使用以上软件,可以比较完美对机器的流氓插件、木马、IE修复、注册表垃圾、垃圾文件等进行全面的围剿和清理。 对于杀病毒,很多人一直都说什么卡巴、诺顿之类的外国货。个人认为它们可能是水土不服吧,有点名过于实。
个人推荐还是使用国货,如江民,瑞星。之前要全盘通杀一遍,以后注意开着实时监控,基本就可以了。 5、然后按正常模式重新启动机器,以上基本就差不多。不过,为安全起见,还是按Ctrl+Alt+Del调出Windows任务管理器,检查是否有可疑进程出现。
如果有怀疑,可以百度一下,确定是否可靠。再重新运行Msconfig,检查一下启动和服务项中是否多了不该多的东西。对于上述怀疑对象,可以使用冰刃或autoruns之类的工具,确定它们的文件位置,结束进程,然后删除文件。
6、当手工删除怀疑对象时,也要注意搜索一下相关注册表信息并删除。 如果无法删除,系统提示文件或文件夹在使用,可以使用unclock。exe进行剥离。
如果unclock也不成,那就使用《深山红叶》光盘,或者其它系统光盘,从光驱重新引导系统,这样,顽固的东西已不再顽固,可以彻底删除之。 7、相信经过上面的工作,结果已经是OK了!。
但是从大多数人的水平及高效率角度出发,可以依次做以下工作。 1、如果有网络连接,首先拔掉网线断网。 2、在开始->运行中,键入msconfig。
将启动项中,除输入法相关ctfmon及机器本身可能安装的杀毒防护,如江民的KVMonXp等保留外,其它全部禁用。将服务中的项目,首先,然后将除杀毒服务,如江民的KVSrvXp之外的所有服务全部禁用,然后确定。
3、重新启动计算机,按F8进入安全模式。 4、然后重点推荐安装使用中天在线的《流氓软件清理工具合集》,合集中包括360安全卫士、Windows清理助手、超级兔子IE修复专家、超级兔子清理王、恶意软件清理卫士、恶意软件清理助手、流氓软件清除大师。
综合使用以上软件,可以比较完美对机器的流氓插件、木马、IE修复、注册表垃圾、垃圾文件等进行全面的围剿和清理。 对于杀病毒,很多人一直都说什么卡巴、诺顿之类的外国货。个人认为它们可能是水土不服吧,有点名过于实。
个人推荐还是使用国货,如江民,瑞星。之前要全盘通杀一遍,以后注意开着实时监控,基本就可以了。 5、然后按正常模式重新启动机器,以上基本就差不多。不过,为安全起见,还是按Ctrl+Alt+Del调出Windows任务管理器,检查是否有可疑进程出现。
如果有怀疑,可以百度一下,确定是否可靠。再重新运行Msconfig,检查一下启动和服务项中是否多了不该多的东西。对于上述怀疑对象,可以使用冰刃或autoruns之类的工具,确定它们的文件位置,结束进程,然后删除文件。
6、当手工删除怀疑对象时,也要注意搜索一下相关注册表信息并删除。 如果无法删除,系统提示文件或文件夹在使用,可以使用unclock。exe进行剥离。
如果unclock也不成,那就使用《深山红叶》光盘,或者其它系统光盘,从光驱重新引导系统,这样,顽固的东西已不再顽固,可以彻底删除之。 7、相信经过上面的工作,结果已经是OK了!。
一、搜集病毒信息
1。杀毒软件提供的信息
2。任务管理器提供的信息
3。事件查看器提供的信息
通过以上的资料,可以上网搜相关方案来查杀。
二、无任何资料下,或者是病毒木马群的查杀方案
在安全模式下和关闭系统还原情况下,
1。
运行msconfig看启动项和服务项,非必要性的启动和服务都禁用。 2。我的电脑右键->管理->设备管理器->查看->显示非即插即用设备(删除非必须的驱动)不重启。
3。删除临时文件: C:\temp C:\windows\prefetch C:\document and setting\各个用户\local setting\ Temporary Internet Files C:\document and setting\各个用户\ Templates C:\Program Files\Internet Explorer\ PLUGINS(这个位置可能也会有病毒) 学到知识了,我还没中过,了解一下,以防万一。
介绍一个杀毒软件,我用的是瑞星,但是听说卡巴的比较好。
运行msconfig看启动项和服务项,非必要性的启动和服务都禁用。 2。我的电脑右键->管理->设备管理器->查看->显示非即插即用设备(删除非必须的驱动)不重启。
3。删除临时文件: C:\temp C:\windows\prefetch C:\document and setting\各个用户\local setting\ Temporary Internet Files C:\document and setting\各个用户\ Templates C:\Program Files\Internet Explorer\ PLUGINS(这个位置可能也会有病毒) 学到知识了,我还没中过,了解一下,以防万一。
介绍一个杀毒软件,我用的是瑞星,但是听说卡巴的比较好。
1、首先进入安全模式
方法有两种
一、开机自检后按f8,选择进入安全模式,更具体方法看我的blog(有图)
二、开始,运行,输入msconfig, i,选择safeboot,确定重新启动(退出安全模式时要将对号去掉)
2、下载木马查杀软件ewido
汉化补丁
许可码:75SP-TH1VD1-P09-C01-S30MUE-NNK-I1X8
安装软件,下拉选择English,next安装……执行汉化,进入界面右侧,选择输入新的许可代码
75SP-TH1VD1-P09-C01-S30MUE-NNK-I1X8
然后选择更新,开始更新,升级病毒库到最新
然后按我的方法进入安全模式,打开ewido(AVG Anti-Spyware)
扫描器,选择完整扫描系统,查杀木马,然后用软件将木马文件注册信息删除,也可以按路径自己删除。
重新启动计算机,进入正常模式下,如果由于病毒感染系统文件,而杀毒软件将系统文件一起杀掉造成的不正常现象,可以使用windows的安装光盘修复系统。 但是这一切都是中了木马后才采取的措施,最好的办法还是防患于未然,使用正版杀毒软件,并开启监视功能,打开防火墙。
保证计算机的安全,这才是最重要的!。 。
重新启动计算机,进入正常模式下,如果由于病毒感染系统文件,而杀毒软件将系统文件一起杀掉造成的不正常现象,可以使用windows的安装光盘修复系统。 但是这一切都是中了木马后才采取的措施,最好的办法还是防患于未然,使用正版杀毒软件,并开启监视功能,打开防火墙。
保证计算机的安全,这才是最重要的!。 。
热点推荐
热度TOP
-
贵阳利美康整形医院去眼袋哪家医院好?
0人阅读
-
医院的任务是什么?
195人阅读
-
嘉兴联勤男科医院好不好呢?
0人阅读
-
义乌哪家男科比较好,义乌常春怎么样?
40人阅读
-
长春早孕检查费用
1人阅读
-
什么方法增高会对身体有伤害?
100人阅读
相关推荐
加载中...