本文目录一览:
木马病毒
其实楼主就是中了一个木马下载者以后,通过下载者下载了其他各类木马的。
处理办法:
1.断网。
2.结束病毒进程,可以用冰刃查可疑进程。冰刃下载地址如下:
3.卡巴全盘杀毒,碰到提示要重新启动才可以清理的病毒,别点击启动清理。最简单的方法是用一个叫unlocker的软件,下载安装完后分别解锁卡巴提示要重新启动的那个文件(安装完那个软件后会在右键菜单上自动生成一个unlocker的菜单项),然后就可以把病毒文件删除了.
去华军网下载unlocker1.85
地址:
4.删除临时文件:
C:\temp
C:\windows\prefetch
C:\document and setting\各个用户\local setting\ Temporary Internet Files
C:\document and setting\各个用户\ Templates
C:\Program Files\Internet Explorer\ PLUGINS(这个位置也会有病毒)
5.最后打开注册表编辑器(在运行里输入regedit打开),分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下找到以病毒文件名命名的项并删除。
6.到控制面板的服务里面停止病毒的服务项。
到此该病毒清理完毕。
但是为了系统的长久安全,推荐还进行下列操作:
一:首先禁用或者删除guest帐号,防止黑客帐号克隆。将系统内建的administrator帐号改名改的越复杂越好,最好改成中文的,而且要设置一个密码,最好是8位以上字母数字符号组合。
打开管理工具.本地安全设置.密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用
本地策略:
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
打开管理工具
找到本地安全设置.本地策略.审核策略
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
本地安全策略:
打开管理工具
找到本地安全设置.本地策略.安全选项
1.交互式登陆:不显示上次登陆的用户名
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.(前面已经详细讲过)
用户权限分配策略:
打开管理工具
找到本地安全设置.本地策略.用户权限分配
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机 将ID删除
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
二:
删除默认共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
关闭135端口;
135端口被用做查询服务外,它还可能引起直接的攻击,关闭方法是:开始-运行-输入dcomcnfg,在弹出的组件服务窗口里选择默认属性标签,取消“在此计算机上启用分布式COM”即可。
关闭自己的139端口(netbios协议),ipc和RPC漏洞存在于此。
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
3389的关闭
XP:我的电脑上点右键选属性-- 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
修改3389的默认端口
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
来到这里,找到PortNumber ,十进制是3389的,你随意把它改成其它4个数字吧,我改成1314了
这样入侵者就不能3389入侵你的电脑了。
三:关闭垃圾服务:
关掉大部分没用的服务,不但可以使系统安全得到提升,而且系统的资源占用率有了大幅度的下降,开机速度明显加快。
Alerter -错误警报器。
Automatic updates -windows自动更新。
COmputer browser - 用来浏览局域网电脑的服务,但关了也不影响浏览!
Distributed link tracking client-用于局域网更新连接信息,比如在电脑A有个文件,在B做了个连接,如果文件移动了,这个服务将会更新信息。占用4兆内存。
怎样删除c:\windows\temp\Ins1c.tmp病毒?
清除了又有,不死木马病毒,可能是某个程序造成的,删除了一联网又重新生成,可以清理一下插件,建议使用其他安全软件先检测一下,检测不出来的话只能自行查找了:用任务管理器查看正在运行的服务,发现异常再删除,若您可以确认此文件无毒无害(多个安全软件都没有检测出来),则可能是金山毒霸误判了,可以点添加信任。当然也可能是系统本身就有病毒,换个系统
特洛伊木马病毒专杀
我推荐你几款(为了找辛苦啊)
《木马杀客》
木马杀客是本站原创的反木马工具,软件采用杀毒引擎辨别特征码和传统病毒库辨别。软件可查杀密码偷窃类木马、QQ尾巴类木马、冰河类木马、网游盗号类木马、完全查杀灰鸽子类木马、及各种未知木马、病毒、蠕虫、后门、黑客程序等。木马内置内存监控及注册表监控功能,木马感染内存及修改注册表启动等都将被监控查杀。软件支持在线升级。
《Windows木马清道夫》
《Windows木马清道夫》是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品。《Windows木马清道夫》可自动查杀近10万种木马,配合手动分析可近100%对未知木马进行查杀!它不仅可以查木马,还可以分析出后门程序,黑客程序等等。它专业的分析功能,完美的升级功能,使您不再惧怕木马,让您远离木马的困扰!还不快把这位安全防卫专家请进您的电脑,您还在犹豫什么?
功能:性能信息,进程信息,模块信息,窗体信息,后台服务,程序卸载,扫描内存,扫描启动程序,扫描硬盘,扫描注册表,扫描可疑模块,扫描系统漏洞,扫描本地端口,清理内存,查看网络监视,查看共享目录,查看用户和组,监视IE,备份注册表,升级木马库,IE插件管理,IE相关设置,IE历史记录清理,IE缓存清理,COOKIE清理。。。
V2.1修正了算法上的几处BUG,使程序更稳定的运行,升级了新的木马库,查杀木马数量更多
V2.2优化了部分代码,修正了一处BUG,增加了NT管道查看功能,并增加了反馈留言系统。
V2.3修正了BUG,增加了木马库版本的显示。
V2.4修正了已知的所有BUG,增加了CPU的实时测速功能。
V2.5支持所有的操作系统98/me/2000/XP/2003,并增加了函数接口,软件便于扩展插件。
V2.6新增网络优化,环境变量查看,并升级了木马库,优化了部分代码。
V2.7增加所有显示列表的保存功能,修正了一处BUG。
V2.8修正了有些木马不能清除的BUG,增加了IE加载组件的管理,增加了列举网络服务提供者的功能,添加了一个传奇密码大盗exp1orer.exe木马专杀的插件。
V2.9增加了探测隐藏进程的功能,可探测出未知的木马。添加了灰鸽子最新木马及灰鸽子所有变种的专杀插件。升级了木马库。修改了几处界面上的小问题。
V3.0修改了扫描可疑模块的算法,使扫描速度更快,准确率更高。
V3.1修正了扫描硬盘算法上的一个小BUG,修正了在win98下的一处兼容性BUG。升级了木马库。
V3.2修正了用户和组的一个BUG,优化了部分代码!
V4.0一次大的升级,采用扫描新引擎配合老引擎使用,查杀面更广,准确性更高!新引擎采用了很多新技术和新算法,稳定性有很大提高!而且采用强劲的注册表扫描引擎,使木马病毒无处藏身!另外,新版本木马清道夫,为了保证软件的正常运行,采用了HOOK技术,使进程不会被木马病毒轻易终止,使系统更加安全!新版本增加了可疑模块和可疑文件的提交功能,让我们的反木马病毒专家为您分析,查杀最新的未知木马病毒刻不容缓!
V4.1增加按钮的即时帮助。修正新引擎扫描算法上的一处BUG。
V4.2修复了主程序注册表算法上的一个BUG,优化了扫描硬盘的代码,扩充了木马病毒库!
V4.3为了保证软件的正常运行,采用HOOK技术保证窗体不会被木马病毒轻易终止。扩充了木马病毒特征码库!
V4.4修正了hook上的一处错误,升级了木马病毒库!
V4.5修正了在Win98下的一处BUG,升级了木马病毒库!
V4.6修正了4.5版本的一处严重的算法错误!
V4.7重写了扫描硬盘特征码引擎的算法,速度提高数倍,而且只耗较少的CPU资源,更稳定更准确更速度!
V4.8修正了扫描硬盘文件定位引擎的算法,新增IE已安装签名插件的管理工具!
V4.8(Build 144)修正了注册表搜索引擎的BUG,对顽固性木马有了更强的查杀能力!
V4.9紧急更改了可疑模块上报的服务器地址,修正了一个BUG!
V5.0修正了一个程序BUG,增加了一个插件,添加了程序的卸载功能,扩充了木马病毒库!
V5.1修改了部分界面,修正了在Win98下的一处错误,优化了部分程序代码!
V6.0一次大的升级。附带超强大的木马防火墙,实时保护您的系统及网络,并嵌入系统底层,任何可疑程序想要启动都要经过木马防火墙的确认!采用各种最新技术,不占CPU负荷,不影响系统速度,给您的系统穿上真正的保护装,使其更稳定,更安全!3层防护技术,让木马彻底远离您的电脑!
v6.1增加了木马防火墙的节能功能!新增一台升级服务器,并对软件升级功能进行了改进,使升级稳定!
v6.2运用的嵌入COM技术,嵌入到Windows的右键菜单,支持文件单选和多选,文件和文件夹混选的指定查杀!并且支持压缩包内木马的查杀,如RAR,ZIP,CAB等。继续优化的扫描算法,使速度更快,准确率更高。
v6.3解决了与某些杀毒软件的冲突及蓝屏问题!修正了扫描引擎的算法上的一处BUG!对fygAddins.exe被其他杀毒软件误报问题进行了解决,重写了这个命令行的辅助程序,解决了98下非法操作的问题!
v6.4对木马防火墙进行了改进,修正了木马防火墙声音提示的BUG,增加窗口提示的可选项,并增加重新载入木马库功能,使升级木马库后不用再重新打开木马防火墙,只需点重新载入木马库即可!优化了木马清道夫的一些代码,使程序运行更顺畅!
V6.4修正版修正了木马防火墙出现的“Invalid data type for flag”错误,对托盘图标菜单进行了改进,增加了网络监视功能的规则过滤IP规则。对木马清道夫的代码进行了小的优化!
V6.5增加了非常安全自动化的垃圾文件清理的功能。增加了木马防火墙的系统保护功能,并修正了木马防火墙主动升级上的一个BUG。
V6.6增加了顽固文件的删除功能,增加了NT系统下虚拟DOS启动盘功能。
V7.0为保护正版用户的利益,更改了加密算法,更改了注册方式,取消了机器码注册模式。解决了软件的部分兼容性问题和在某些电脑上不能正常升级的问题!
V7.1主要修正了上一版的一个错误。兼容了以前的注册算法。增加了特征码引擎的扫描硬盘的选择所有分区的功能。
V7.2对部分算法进行了改进,扫描速度和清除速度有了提升!修正了几处小的BUG!增加了注册表清理的功能(清理注册表垃圾速度快,而且非常安全),增加了虚拟磁盘的功能。增加了木马防火墙的自身保护功能,可防止木马病毒非法终止或删除程序。
V7.3修正了一个严重的BUG。再次对部分算法的细节部分进行了修正!对升级功能的进行了改进!对程序界面进行了美化!
V7.3(改进版)对查杀引擎进行了改进,使查杀能力更强!对菜单在个别机器显示的问题进行了修正!并修正了一个BUG!
V8.0(全新的木马防火墙实时监控)可监控从网络下载的文件(支持所有的下载工具),QQ或其他聊天工具文件传输的文件,压缩包正在解压的文件,安装包正在安装的文件 等等 只要是有木马病毒在硬盘里生成,在它还没有运行就第一时间报警并自动清除!最主要的是他占用系统资源少,基本不会影响系统速度,占用极少的CPU资源!(自动智能升级) 您再也不用为每天手动升级而麻烦了!全新的自动升级,自动在后台升级,并自动载入! 而且能自动选择较快的服务器,还支持http代理升级!这一切,您完全不用点一下鼠标或键盘!(木马防火墙的文件行为监控) 重新优化并改进文件监控算法,占用零CPU,更快更准!(木马防火墙嵌入式行为分析) 改进的文件拦截的算法,对可疑文件拦截的准确性有所提高!(木马清道夫后台服务功能) 增加了木马清道夫删除后台服务的功能!在有些木马被清除后,重新启动会弹出缺少什么DLL,或者什么服务启动失败的对话框!很是烦人!现在好了,您可以打开木马清道夫的后台服务功能,将对话框提示的文件,对应的服务删除,即可解决!(木马清道夫所有显示列表的保存功能)木马清道夫现在几乎所有的显示列表都可以保存为TXT文本!方便他人为您分析或研究!(解决部分兼容性问题) 解决木马防火墙在XP下导致不能关机,或关机缓慢的问题!
V8.2最稳定的版本,修正了大多数已知的BUG,修改了扫描引擎,速度更快!重新改写了各种监控引擎,占用系统资源更少,更稳定!附带超强大的木马防火墙4.0,对实时监控进行了修正改进,增加了强大的网络程序规则功能,任何程序想要访问网络都必须经过木马防火墙的确认!增加了密码伪装保护功能,让所有盗密木马全部失效,该功能嵌入系统底层进行保护,任何盗密木马只要窃取您的密码,木马防火墙会在第一时间进行拦截,并返回伪装码给它。让您真正做到安心上网,您的密码从此100%的安全,彻底远离被盗的危险。全新的嵌入式行为分析,智能判断可疑文件,将木马病毒从底层处理掉,让木马病毒彻底失去感染您系统的机会!增加了木马防火墙的口令锁定功能。总的来说,现在木马清道夫采用六层保护技术,1.内存监控和实时监控 2.强大高速准确的硬盘扫描引擎 3.文件行为智能分析 4.网络规则监控与拦截 5.底层密码伪装保护 6.自身进程防删保护。六层的严密保护,让木马真正成为您系统的手下败将,斩杀于您的鼠标下。
V8.3解决部分冲突和兼容性问题,解决内存错误问题。对自动智能升级进行了改进,采用压缩传输,下载速度比以前更稳定更快,解决升级过程假死问题。
V8.4修正木马清道夫主程序一处BUG。继续修正木马防火墙内存错误的BUG,及再次改进密码伪装保护。增加扫描硬盘完毕后自动关机的功能。
V8.5木马防火墙监控引擎进行改进,解决与部分游戏冲突问题。改进特征码扫描硬盘功能,增加目录树与文件树多项选择功能,并对细节问题进行了改进。改进文件定位扫描引擎,速度更快更流畅!
V8.6 对扫描和监控引擎的代码进行了大量的优化与精简,解决了与某些程序不兼容的问题。对查杀引擎进行了重写,查杀率更高,查杀效果更好。对部分代码进行了封装处理,程序运行效率更高!对扫描硬盘的目录树的类,进行了重写,解决了上版本目录树缓慢读取并占用大量CPU资源的问题。增加了木马清道夫主程序密码设置的功能。
V8.7 继续优化代码。修复在个别电脑上清除木马病毒时会出错的错误。对扫描引擎进行了扩展,可查杀ASP、PHP、CGI等木马后门,这个功能可以说对服务器用户是一个福音!对注册表清理功能进行了改进,可清理更多注册表垃圾!对COM组件系统菜单Commenu.dll进行了改进,支持的右键菜单更多,更智能化,更方便。对木马防火墙进行了细微的改进,兼容性更上一层楼!改进了强大的顽固木马清除工具DOS版(Fygsoft Trojan Cleaner Kill Tools Boot With DOS Mode),借助本软件自带的虚拟DOS启动盘,支持在FAT,FAT16,FAT32,NTFS所有的磁盘格式下,直接引导进入DOS版木马清除工具,可以说现在木马清道夫对木马的清除率达到了100%。
V8.8 修正木马防火墙清除内存木马中的BUG。修正木马防火墙右小角系统托盘图标消失的问题。对木马防火墙进行了微小改进。增加扫描硬盘图标模式的一个选项。
V8.9 修正了对压缩包扫描算法中的BUG。对查杀引擎进行了细微改进。对漏洞扫描进行的少许改进。对木马防火墙进行了一些优化和改进,使其更稳定。解决了个别游戏兼容性问题。对注册算法进行了改进,老用户升级后,请用这种格式的注册码XXXX-XXXXX-XXXX-XXXX重新进行激活。
V9.0 彻底解决与网络游戏兼容问题。解决清除木马无响应的问题。增加木马防火墙的换肤功能!并提供多个皮肤文件更换!
V9.1 对木马防火墙进行了优化。创新出了对可移动磁盘(闪存,U盘,MP3等)的自动检测和实时监控功能。增加了木马防火墙对内存可疑数据的监测功能!增加了木马防火墙文件行为监控的过滤功能!增加了木马清除引擎的快速清除功能,对清除木马时无响应或者时间过长的用户,可选择这个功能。解决了密码伪装保护与支付宝的兼容性问题。
V9.2 修正了木马防火墙几个严重的BUG!增加系统托盘菜单的一项当插入可移动磁盘后的安全停用设备的功能。
V9.3 修正了扫描引擎压缩包算法的一个严重的BUG。对引擎进行小量的优化,使其清除木马病毒的速度有了一定的加快。修正了木马清道夫若干个小BUG。
V9.4 修正木马清道夫一处小的BUG。增加木马防火墙在离开状态自动扫描的功能。
V9.5 针对部分破坏网络造成无法上网的木马病毒、广告间谍等,实现了彻底查杀并且提供了恢复网络的功能。
V9.6 为了针对一些流氓软件和木马病毒对木马清道夫进行恶意破坏,导致木马清道夫打不开或弹出各种错误。此版本带有智能自动检测修复还原功能,可防止任何恶意程序对木马清道夫进行非法修改或破坏,从而保证了软件的正常运行。另外此版本增加了对流氓软件检测和卸载的功能,并可以对流氓软件数据库进行升级。还有就是对程序内部进行了小的优化处理,使程序稳定性更高,更人性化。
V9.7 修正上一版的几处小的BUG。增加对使用ROOTKIT技术的木马进行检测功能,增强了探测隐藏进程。优化木马清道夫和木马防火墙的部分核心代码,使其更稳定。增加木马防火墙的定时扫描和定时关机功能。增强了木马防火墙上的快捷菜单。修正了木马清道夫和木马防火墙在Windows2003下的所有问题。完全兼容所有操作系统。
V9.8 对查杀引擎进行了优化,增强了反Rootkit技术,查杀能力有了质的提高。
V9.9 2007的第一版,重写了可疑模块探测功能,探测更全面更彻底。并且提供了专用的双线上报服务器,速度更快。增加了自动修复host的功能。木马防火墙增加了专业的启动界面。对扫描内存进行了优化,增加了记忆功能,扫描速度更快,占用资源更少,设置成自启动后,每次开机木马防火墙启动会快很多。2007版计划在下几个版本内,推出美化简洁版,更适用一些电脑初学者。
2007年全新发布 V10.0 界面进行美化,并分为简洁界面和专业界面!全面优化木马防火墙内核 性能提升30%! 速度更快,监控更准!增加IE漏洞防御,可防止99%的未知木马从网页入侵!增加OFFICE漏洞防御,可防止99%的未知木马通过OFFICE漏洞入侵!增加对隐藏文件的拦截功能!增加拦截自动运行类病毒行为,可防止一切木马病毒从U盘或MP3感染计算机!增加恶意网站拦截,反钓鱼等功能,全新设计,不占系统资源,直接嵌入IE进行分析处理。全新的漏洞扫描功能,扫描更全面!全新的可疑模块探测功能,对未知木马的探测率更高!全面支持Windows VISTA微软最新操作系统!
关于windins.exe和wincba.exe的问题
这是一种木马病毒,反查杀能力很强,中了它以后你的系统会运行速度很慢,CPU占用率很高,因为它不停的向外网发送数据包,去攻击别的电脑,换句话说,你的电脑已经变成了“肉鸡”。
解决的办法是格式化c盘,重装系统,必要时得格式化所有分区。然后安装瑞星杀毒软件,利用瑞星漏洞扫描功能扫描系统漏洞,打上所有漏洞补丁,就会没事了。
木马病毒杀不完怎么办
如何识别木马
识别木马有新招,希望这篇文章对你有所帮助。
一、经常看到有玩家说,在输入自己的帐号的时候通故意输错帐号和码。其实这种木马是最早期的木马程序。现在已经很少有编木马程序的程序员,还按照这种监听键盘记录的思路去编写木马程序。现在的木马程序已经发展到通过内存提取数据来获得用户的帐号和密码。大家都知道,不管是传奇还是任何一款程序。它都是有他所特有的数据的(包括玩家的帐号、密码,等级装备资料等等)。这些数据都是会通过本机与游戏服务器取得了验证以后,玩家的角色资料才会出现在玩家的面前。而这些数据在运行的时候都是存放在计算机的内存里面的。木马作者只需要在自己的程序里面加入条件语句就可以取得玩家真实的游戏帐号、密码、角色等级~~~~~,以我自己的计算机知识,这种语句的大概意思应该是:当游戏进程进入到让玩家选择角色的时候再从内存中提取最后一次的帐号、密码、角色等级等资料。也就是说,其实玩家之前所做的故意输错帐号或密码完全是浪费自己的表情、浪费自己的时间。
下边先来说一下木马是如何通过网页进入你的电脑的,相信大家都知道,现在有很多图片木马,EML和EXE木马,其中的图片木马其实很简单,就是把木马exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里,接下来的事情很简单,你下次启动电脑的时候就是你噩梦的开始了,EML木马更是传播方便,把木马文件伪装成audio/x-wav声音文件,这样你接收到这封邮件的时候只要浏览一下,不需要你点任何连接,windows就会为你代劳自动播放这个他认为是wav的音乐文件,木马就这样轻松的进入你的电脑,这种木马还可以frame到网页里,只要打开网页,木马就会自动运行,另外还有一种方法,就是把木马exe编译到.JS文件里,然后在网页里调用,同样也可以无声无息的入侵你的电脑,这只是些简单的办法,还有远程控制和共享等等漏洞可以钻,知道这些,相信你已经对网页木马已经有了大概了解,
简单防治的方法:
开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉,然后打开Internet Explorer浏览器,点工具-Internet选项-安全-自定义级别,把里面的脚本的3个选项全部禁用,然后把“在中加载程序和文件”禁用,当然这只是简单的防治方法,不过可能影响一些网页的动态java效果,不过为了安全就牺牲一点啦,这样还可以预防一些恶意的网页炸弹和病毒,如果条件允许的话可以加装防火墙,再到微软的网站打些补丁,反正我所知道的网吧用的都是原始安装的windows,很不安全哦,还有尽量少在一些小网站下载一些程序,尤其是一些号称黑客工具的软件,小心盗不着别人自己先被盗了,当然,如果你执意要用的话,号被盗了也应该付出这个代价吧。还有,不要以为装了还原精灵就很安全,据我所知,一般网吧的还原精灵都只还原c:盘即系统区,所以只要木马直接感染你安装在别的盘里的游戏执行文件,你照样逃不掉的。
下边介绍一下木马和如何简单的检查一下是否中了木马。
木马程序一般分为服务器端程序和客户端程序两个部分,当服务器端程序安装在某台连接到网络的电脑后,就能使用客户端程序对其进行登陆。这和PcAnywhere以及NetMeeting的远程控制功能相似。但不同的是,木马是非法取得对对方电脑的控制权,一旦登陆成功,就可以取得管理员级的权利,对方电脑上的资料、密码等是一览无余。不过这种木马一般的“伪黑客”很少使用,因为一不小心就会引火上身,被对方反查过来就会偷鸡不成蚀把米了,一般他们都会采用只有服务器端的小木马,这类木马通常会把截取的密码发到一个免费邮箱里,不需要人为操作,有空去收趟邮件就可以了,这种木马遍布互连网的各个角落,的确防不胜防,由于木马程序众多,加之不断有新版本、新品种产生,使得软件无法完全应付,所以手动检查清除是十分必要的。
木马会想尽一切办法隐藏自己,别指望在任务管理器里看到他们的踪影,有些木马更是会和一些系统进程寄生在一起的,如著名的广外幽灵就是寄生在MsgSrv32.exe里;当然它也会悄无声息地启动,木马会在每次用户启动windows时自动装载服务端,Windows系统启动时自动加载应用程序的方法木马都会用上,如启动组、win.ini、system.ini、注册表等等都是木马藏身之地;下边简单说一下如何检查,点开始-运行,输入:
msconfig回车 就会打开系统配置实用程序,先点system.ini,看看shell=文件名,正确的文件名应该是“explorer.exe”,如果explorer.exe后边还跟有别的程序的话,就要好好检查这个程序了,然后点win.ini,“run=”和“load=”是可能加载“木马”程序的途径,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了,当然你也得看清楚,因为如“AOL木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件;最后点“启动”,检查里面的启动项是不是有不熟悉的,如果你实在不清楚的话可以把他们全部取消,然后重新运行msconfig,看一下有没有取消的启动项重新被选中的,一般木马都会存在于内存中,(就是线程插入,然后隐藏进程的木马,DLL无进程木马就不会驻留在内存里面,我们在下一次中会讲到)所以发现你取消他的启动项就会自动添加上的,然后你就可以逐步添上你的输入法,音量控制,防火墙等软件的启动项了;还有一类木马,他是关联注册表的文件打开方式的,一般木马经常关联.exe,点开始-运行,输入:regedit回车,打开注册表编辑器,点第一条,也就是HKEY_CLASSES_ROOT,找到exefile,看一下\\exefile\\shell\\open\\command里面的默认键值是不是"%1" %* ,如果是一个程序路径的话就一定是中木马了,另外配合两种以上的杀毒软件也是必要的,另外在windows下木马一般很难清除,最后重新启动到dos环境下再进行查杀。
防木马程序、防火墙、及杀毒软件介绍:
1、木马克星: 专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!
2、绿鹰PC万能精灵2.91 :专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!
3、Symantec AntiVirus:这个我就不用再介绍了吧,全球最大的杀毒软件!强力推荐8.1企业版。
4、天网防火墙2.51个人版:天网防火墙个人版在网络效率与系统安全上完全采用天网防火墙的设计思想,采用最底层的网络驱动隔绝,其作用层在网络硬件与Windows网络驱动之间,在黑客攻击数据接触Windows网络驱动之前将所有的攻击数据拦截,保护脆弱的Windows网络驱动不会崩溃 。