黑客入侵后要做的事就是上传木马后门,为了能够让上传的木马不被发现,他们会想尽种.种方法对其进行伪装。而作为被害者,我们又该如何识破伪装,将系统中的木马统统清除掉呢!
快速清除系统中的木马病毒1
一、文件捆绑检测
将木马捆绑在正常程序中,一直是木马伪装攻击的一种常用手段。下面我们就看看如何才能检测出文件中捆绑的木马。
1.MT捆绑克星
文件中只要捆绑了木马,那么其文件头特征码一定会表现出一定的规律,而MT捆绑克星正是通过分析程序的文件头特征码来判断的。程序运行后,我们只要单击“浏览”按钮,选择需要进行检测的文件,然后单击主界面上的“分析”按钮,这样程序就会自动对添加进来的文件进行分析。此时,我们只要查看分析结果中可执行的头部数,如果有两个或更多的可执行文件头部,那么说明此文件一定是被捆绑过的!
2.揪出捆绑在程序中的木马
光检测出了文件中捆绑了木马是远远不够的,还必须请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。
程序运行后会首先要求选择需要检测的程序或文件,然后单击主界面中的“Process”按钮,分析完毕再单击“Clean File”按钮,在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马。
二、清除DLL类后门
相对文件捆绑运行,DLL插入类的木马显的更加高级,具有无进程,不开端口等特点,一般人很难发觉。因此清除的步骤也相对复杂一点。
1.结束木马进程
由于该类型的木马是嵌入在其它进程之中的,本身在进程查看器中并不会生成具体的项目,对此我们如果发现自己系统出现异常时,则需要判断是否中了DLL木马。
在这里我们借助的是IceSword工具,运行该程序后会自动检测系统正在运行的进程,右击可疑的进程,在弹出的菜单中选择“模块信息”,在弹出的窗口中即可查看所有DLL模块,这时如果发现有来历不明的项目就可以将其选中,然后单击“卸载”按钮将其从进程中删除。对于一些比较顽固的进程,我们还将其中,单击“强行解除”按钮,然后再通过“模块文件名”栏中的地址,直接到其文件夹中将其删除。
2.查找可疑DLL模块
由于一般用户对DLL文件的调用情况并不熟悉,因此很难判断出哪个DLL模块是不是可疑的。这样ECQ-PS(超级进程王)即可派上用场。
运行软件后即可在中间的列表中可以看到当前系统中的所有进程,双击其中的某个进程后,可以在下面窗口的“全部模块”标签中,即可显示详细的信息,包括模块名称、版本和厂商,以及创建的时间等。其中的厂商和创建时间信息比较重要,如果是一个系统关键进程如“svchost.exe”,结果调用的却是一个不知名的厂商的模块,那该模块必定是有问题的。另外如果厂商虽然是微软的,但创建时间却与其它的DLL模块时间不同,那么也可能是DLL木马。
另外我们也可以直接切换到“可疑模块”选项,软件会自动扫描模块中的可疑文件,并在列表中显示出来。双击扫描结果列表中的.可疑DLL模块,可看到调用此模块的进程。一般每一个DLL文件都有多个进程会调用,如果调用此DLL文件的仅仅是此一个进程,也可能是DLL木马。点击“强进删除”按钮,即可将DLL木马从进程中删除掉。
三、彻底的Rootkit检测
谁都不可能每时每刻对系统中的端口、注册表、文件、服务进行挨个的检查,看是否隐藏木马。这时候我可以使用一些特殊的工具进行检测。
1.Rootkit Detector清除Rootkit
Rootkit Detector是一个Rootkit检测和清除工具,可以检测出多个Windows下的Rootkit 其中包括大名鼎鼎的hxdef.100。
用方法很简单,在命令行下直接运行程序名“rkdetector.exe”即可。程序运行后将会自动完成一系统列隐藏项目检测,查找出系统中正在运行的Rootkit程序及服务,以红色作出标记提醒,并尝试将它清除掉。
2.强大的Knlps
相比之下,Knlps的功能更为强大一些,它可以指定结束正在运行的Rootkit程序。使用时在命令行下输入“knlps.exe -l”命令,将显示系统中所有隐藏的Rootkit进程及相应的进程PID号。找到Rootkit进程后,可以使用“-k”参数进行删除。例如已找到了“svch0st.exe”的进程,及PID号为“3908”,可以输入命令“knlps.exe -k 3908”将进程中止掉。
四、克隆帐号的检测
严格意义上来说,它已经不是后门木马了。但是他同样是在系统中建立了管理员权限的账号,但是我们查看的却是Guest组的成员,非常容易麻痹管理员。
在这里为大家介绍一款新的帐号克隆检测工具LP_Check,它可以明查秋毫的检查出系统中的克隆用户!
LP_Check的使用极其简单,程序运行后会对注册表及“帐号管理器”中的用户帐号和权限进行对比检测,可以看到程序检测出了刚才Guest帐号有问题,并在列表中以红色三角符号重点标记出来,这时我们就可以打开用户管理窗口将其删除了。
快速清除系统中的木马病毒2
1、设置“启动和故障恢复”
1)接下来在下面的“启动和故障恢复”项中,点击“设置”按钮,进入启动设置;
将“系统失败”中的三个勾都去掉,将“写入调试信息”选择“无”,这样系统失败的时候不会发生写盘操作,缺点是不能查到相关信息;
点“确定”返回,提示重启动后生效;
2)点击下面的“环境变量”按钮,环境变量主要指临时文件的存放位置,正常操作结束后,临时文件会自动删除;
点一下“编辑”按钮,在出来的.对话框中,将变量值改为“E:\Temp”,先在E:盘中新建一个名为Temp的文件夹;
同样选中上面的TMP,然后点“编辑”按钮,将变量值也改为“E:\Temp”,以后定期清除里头的临时文件;
点“确定”返回,再点环境变量旁边的“错误报告”按钮,选择“禁用错误报告”;
3)点“确定”返回,点击“系统还原”标签;
一般来说,操作熟练后可以关闭所有的系统还原,新手可以先留着,点右边的“设置”,还可以设定所占空间;
4)自动更新,建议打开,这样可以保证系统处于较安全的状态;
5)远程协助,一般设为关闭,把两个小白方框里的勾去掉,然后点“应用”即可;
到这儿系统属性基本设置好了,操作中注意细致和耐心;
2、练习:按照步骤设置一下自己的计算机,找本子记一下修改了哪些设置;
本节学习了系统属性中的系统还原等设置,如果你成功地理解并完成了练习,请继续学习下一课内容;
快速清除系统中的木马病毒3
上一课我们学习了设置桌面,接下来我们来学习怎样设置一下系统;
1、设置系统属性
1)在桌面上瞄准“我的电脑”图标,敲右键选“属性”命令;
2)在上边找到“高级”标签,单击进入高级窗口;
3)找到上面第一个“性能”右边的“设置”按钮,单击进入性能设置;
将“平滑字体”、“为每种文件夹使用背景图”和“在文件夹使用常见任务”,三个勾留下,其它的都可以去掉,点一下“应用”;
4)接着点“视觉效果”旁边的“高级"标签,进入高级设置,找到下边虚拟内存的“更改”按钮,点一下;
5)在上边选中C:在中间选择“无分页文件”,然后点右边的“设置”,将C:盘的虚拟内存去掉;
6)选中E:在中间设定最小值为推荐值,最大值可先设稍大些,以后运行大型软件后看一下虚拟内存,以满足不同情况;
点一下右边的“设置”按钮,再点“确定”,出来一个提示,重启动后生效;
点“确定”按钮,完成对“性能”选项的`设置,返回前面的窗口;
E:盘设置了虚拟内存,因此这个盘尽量减少其他的操作,可以存放一些不经常修改的文件;
2、练习:按步骤设置一下自己的计算机,找本子记下更改了哪些设置;;
本节学习了 系统属性中的高级设置,如果你成功地理解并完成了练习,请继续学习下一课内容;
【快速清除系统中的木马病毒】相关文章:
职场中如何快速获得对方的信任09-11
生活中快速融入朋友圈要掌握的技巧09-22
上班族生活中要牢记的快速减压法08-16
清除粉刺科学小妙招09-18
如何清除唇边汗毛10-20
生活中可快速缓解压力的10个金点子08-21
文件夹病毒清除方法11-25
如何清除蔬菜农药残留08-22
如何清除蔬菜上的农药残留10-04
木马清除百种方法11-27