在计算机启动时,按F8键,会出现系统启动菜单,从中可选择进入安全模式。
2将计算机与网络断开,防止黑客通过网络继续对你进行攻击。
3显示所有文件和文件夹(包括隐含文件和系统保护文件)
4禁用系统还原
右键“我的电脑”→系统属性→“在所有驱动器上关闭系统还原”前打上勾→应用(释放硬盘空间、该空间有可能受到病毒攻击)
5删除病毒/木马程序的自启动项
打开注册表编辑器:开始→运行→输入:regedit→确定
查找自启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\文件夹下的三个子件夹
Run
RunOnce
Runservices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\文件夹下的三个子件夹:
Run
RunOnce
打开系统配置实用程序:开始→运行→输入:msconfig→确定
(如果Windows2000无此文件,可运行共享文件夹中的msconfigexe) Fom)
检查:winini、systemini启动配置文件中的加载项
winini的[windows]字段中
run=
load=
一般情况下“=”后面是空白的,如果有后跟程序,如:
run=c:\windows\fileexe
load=c:\windows\fileexe
其中的fileexe很可能是病毒
systemini的[boot]字段中
shell= explorerexe fileexe
一般情况下“explorerexe”后面是空白的,如果有后跟程序,如:
shell= explorerexe fileexe
其中的fileexe很可能是病毒 4 )
systemini的[386Enh]、[mic]、[drivers]、[drivers32]字段中
driver=“路径\程序名”
检查其它启动配置文件、初始化文件、系统配置文件中的加载项:
winintini:多用于安装
winstartbat:由应用程序、Windows自动生成、Wincom加截多数驱动程序后产生,与Autoexecbat功能相同。
autoexecbat(一般为隐含属性,掌握对隐含属性文件的搜索)
configsys(同上)
检查启动组:开始→程序→启动,其中的启动项内容。
对应注册表中的位置:
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell Folders Startup
人工查杀步骤:先杀进程、再删除病毒文件、最后修复注册表。 j'fP#d%2T1注册表或进程表中发现了病毒,先在进程表中杀进程
打开任务管理器,找到病毒程序的进程,终止运行。
如果不能终止,可运行其它监视进程的工具软件进行终止。
如果仍然不能终止只能重启后进入安全模式,并断开与网络的连接。
在DOS窗口中删除病毒文件,也可在资源管理器中删除,但病毒可能会自行恢复。
重启后回到注册表搜索、删除全部病毒的残余信息,尤其是启动项中的信息。木马可以用360杀毒软件来清除。
古希腊传说,特洛伊王子帕里斯来到希腊斯巴达王墨涅拉俄斯的皇宫作客,受到了麦尼劳斯的盛情款待,但是,帕里斯却拐走了麦尼劳斯的妻子海伦。麦尼劳斯和他的兄弟阿伽门农决定讨伐特洛伊,由于特洛伊城池牢固,易守难攻,攻战10年未能如愿。
最后英雄奥德修斯献计,让迈锡尼士兵烧毁营帐,登上战船离开,造成撤退回国的假象,并故意在城下留下一具巨大的木马,特洛伊人把木马当作战胜品拖进城内,当晚正当特洛伊人酣歌畅饮欢庆胜利的时候,藏在木马中的迈锡尼士兵悄悄溜出,打开城门,放进早已埋伏在城外的希腊军队,结果一夜之间特洛伊化为废墟。所以,有的病毒伪装成一个实用工具或者一个可爱的游戏甚至一个位图文件等等,这会诱使用户将其安装在PC或者服务器上。这样的病毒就叫做“特洛伊木马”(trojan horse),简称“木马”。
希望我能帮助你解疑释惑。中了病毒、木马不要着急,我来帮你:
其实中毒后的处理方法就是那么几种,但是借助杀毒软件用手工方法处理是最为
有效的!!!!
木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀
毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸
或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。
方法是:
1)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有
以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的
键值,再删除相应的应用程序。
2)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场
所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\
start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\
Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经
常检查这两个地方哦!
3)Winini以及Systemini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Winini的[Windows]小节下的load和run后面在正常情况下是没有跟什么
程序的,如果有了那就要小心了,看看是什么;在Systemini的[boot]小节的
Shell=Explorerexe后面也是加载木马的好场所,因此也要注意这里了。当你看
到变成这样:Shell=Explorerexe wind0wsexe,请注意那个wind0wsexe很有可
能就是木马服务端程序!赶快检查吧。
4)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstartbat、C:\windows\wininitini、Autoexecbat。
5)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否
打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木
马程序,只好再找一个这样的程序,重新安装一下了。
6)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分
木马应该没问题的。
另外,你也可以试试用下面的办法来解决:
从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件,可以放心使用
。
这个是下载地址。
>下载请用迅雷即可,网上的一般是盗版,会有病毒。
原因如下:
系统有毒:“苏拉克”木马详细分析>
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)