1.电脑里有木马病毒了怎么办、
全面清除计算机的病毒 网络时代,病毒已经无所不在。
在层出不穷、变化多端的病毒袭击下,中招基本上是不可避免的了。那么中招以后我们改如何处理(当然必须处理,否则计算机没法替你工作)?是格式化系统然后重装windows,还是请人帮忙……。
因为职业关系,我不得不与这些让人讨厌的东西战斗着,逐步地积累了一些行之有效的办法,供大家参考。 一、中毒的一些表现 我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来。
例如机器运行十分缓慢、上不了网、杀毒软件升不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。 二、中毒诊断 1、按Ctrl Shift Ese键(同时按此三键),调出windows任务管理器查看系统运行的进程,找出不熟悉进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。
暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%。
2、查看windows当前启动的服务项,由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称,假如其名称和路径为C:/winnt/system32/explored.exe,计算机中招。
有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空白,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhlpp32.exe发作的特性。 3、运行注册表编辑器,命令为regedit或regedt32,查看都有那些程序与windows一起启动。
主要看Hkey_Local_Machine/Software/MicroSoft/Windows/CurrentVersion/Run和后面几个RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。
随着经验的积累,你可以轻易的判断病毒的启动项。 4、用浏览器上网判断。
前一阵发作的Gaobot病毒,可以上yahoo.com,sony.com等网站,但是不能访问诸如,这样著名的安全厂商的网站,安装了symantecNorton2004的杀毒软件不能上网升级。 5、取消隐藏属性,查看系统文件夹winnt(windows)/system32,如果打开后文件夹为空,表明电脑已经中毒;打开system32后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。
顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此;drivers/etc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。 6、由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败。
三、灭毒 1、在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。当成系统服务启动的病毒程序,会在Hkey_Local_Machine/System/Control set001/services和control set002/services里藏身,找到之后一并消灭。
2、停止有问题的服务,改自动为禁止。 3、如果文件system32/drivers/etc/hosts被篡改,恢复它,即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。
再把host设置成只读。 4、重启电脑,摁F8进“带网络的安全模式”。
目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。 5、搜索病毒的执行文件,手动消灭之。
6、对Windows升级打补丁和对杀毒软件升级。 7、关闭不必要的系统服务,如remoteregistryservice。
8、第6步完成后用杀毒软件对系统进行全面的扫描,剿灭漏网之鱼。 9、上步完成后,重启计算机,完成所有操作。
四、建议 防范病毒作用远甚于查杀病毒。因此建立严密的防范措施是十分必要的。
在具备条件的大中型网络里,应该软硬兼施、立体防护。理想得到情况是:Internet的接入处是外网防火墙;紧接着是防毒网关;然后是路由器,服务器区,可为应用服务器配置一台病毒服务器;再往内是内网防火墙;内网架设杀毒服务器,每个用户都安装杀毒软件的可管理客户端。
或者安装雨过天晴电脑保护系统,自定义选择保护分区。
2.电脑中了木马该怎么办
1.先升级杀毒软件到最新,对系统进行全面的检查扫描。
2.点击工具→文件夹选项→查看把隐藏受保护的操作系统文件和隐藏已知文件类型的扩展名这两项前面的勾去掉,以方便查看。 3.查看Windows目录下的WIN.INI文件中开头的几行。
4.查看Windows目录下的SYSTEM.INI文件中的这几行。 5.查看开始菜单中的「程序」→「启动」。
6.在「开始」→「运行」中输入"MSCONFIG"查看是否有可疑的启动项。 7.查看注册表,在「开始」→「运行」中输入“REGEDIT”。
8.Windows中的执行文件。 9.在Windows目录下,看看有无一个名为Winstart.bat的文件。
10.查看c:autoexec.bat与c:config.sys,这两个文件里有一些系统所需的驱动程序。看看有没有什么可疑的驱动程序。
11.右击「我的电脑」→事件查看器查看安全日志,看看里面有没有可疑的内容。 12.在CMD下输入NETUSER看看有没有可疑的用户,出现自己不曾设立的用户,马上用NETUSERABCD/DEL把它删除。
3.电脑中木马了怎么办
木马病毒的通用解法 “木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。
在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。 由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。
虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,:),“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。
当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中,在[BOOT]下面有个“shell=文件名”。
正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下的Explorer 键值改为Explorer=“C:/WINDOWS/expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。
当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER/Software/Microsoft/Windows/CurrentVersion/Run”、“HKEY-USERS/****/Software/Microsoft/Windows/CurrentVersion/Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。 知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。
然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell='木马'文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。
至此,我们就大功告成了。
4.我的电脑有了木马病毒,每天杀都有,怎么办
可以在爱问的共享资料中下载: 木马克星 (推荐使用) 可在线升级的免费杀木马软件。
解压后,运行文件夹中的“注册。reg”文件, 导入注册表,即可使用 可以在爱问的共享资料中下载: 木马查杀工具-杀马Defendio 实时防护、全面杀除超过110,000种木马/间谍/蠕虫/广告/恶意软件,包括内存、注册表、网络和文件扫描,包括文件系统、系统进程、系统内存等系统实时防护,支持NTFS数据流、Zip/GZip/Tar/Rar/Cab/Jar等压缩格式格式、Zip/Cab/RAR生成的可执行自解压格式、CHM(压缩帮助文件)、邮件(EML)和邮箱(Outlook/Foxmail)等。
下载以后,解压缩,运行文件夹中的defendio 然后 ,点击左上方的扫描,点所有硬盘,全部选择上。包括注册表,系统区,所有硬盘等等。
就可以了 可在线升级,免费的木马查杀工具。 爱问共享下载: 多特网下载: 然后,可以安装windows清理助手。
(推荐使用) 可以清理各种恶意程序。流氓软件,木马等。
爱问共享资料下载地址: 官方网站地址: 对系统进行扫描一下。 还可以安装杀毒软件 ESET Nod32简体中文版(推荐使用,本人正在使用) 世界排名第五,来自斯洛伐克。
微软公司专用过。 免费可在线升级的杀毒软件。
占用资源小,启动速度快。 国外很权威的防病毒软件评测给了NOD32很高的分数,在全球共获得超过40多个奖项,包括Virus Bulletin、PC Magazine、ICSA、Checkmark认证等,更加是全球唯一通过26次VB100%测试的防毒软件,高据众产品之榜首!产品线很长,从DOS、Windows 9x/Me、Windows NT/XP/2000,到Novell Netware Server、Linux、BSD等,都有提供。
可以对邮件进行实时监测,占用内存资源较少,清除病毒的速度效果都令人满意。 下载地址: 如果不行的话 将C盘进行格式化。
再重新安装系统。 安装所有的系统补丁(可以安装奇虎360安全卫士,来进行系统漏洞扫描,它可以修复漏洞,并下载安装系统补丁),然后安装杀毒软件。
最好是做完系统以后,用ghost,做个系统备份,以后可能用它,恢复系统)。 奇虎360安全卫士简介 它可以清除恶意软件,恶意网站,及恶意插件和木马。
还可以扫描系统漏洞。并安装系统补丁等等。
是一个不错的电脑维护软件。 奇虎360安全卫士下载地址: 官方网站: 爱问共享资料: 。
5.我的电脑有木马怎么办
中了病毒或者木马不要着急,我来帮你: 一般杀毒都是这样的几个步骤,按我说的操作来吧: 木马的查杀,可以采用自动和手动两种方式。
最简单的删除木马的方法是安装杀 毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸 或安全之星XP,它们在查杀木马方面很有一套! 由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。 方法是: 1.)检查注册表 看HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Curren Version和 HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion下,所有 以“Run”开头的键值名,其下有没有可疑的文件名。
如果有,就需要删除相应的 键值,再删除相应的应用程序。 2.)检查启动组 木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场 所,因此还是有木马喜欢在这里驻留的。
启动组对应的文件夹为:C:/windows/ start menu/programs/startup,在注册表中的位置:HKEY_CURRENT_USER/ Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders Startup="C:/windows/start menu/programs/startup"。要注意经 常检查这两个地方哦! 3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方 比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么 程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的 Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。
当你看 到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可 能就是木马服务端程序!赶快检查吧。 4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里 C:/windows/winstart.bat、C:/windows/wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否 打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木 马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动 所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分 木马应该没问题的。 另外,你也可以试试用下面的办法来解决: 从网上下一个叫“冰刃”的软件。
这是一个绿色免安装的小软件,可以放心使用 。 这个是下载地址。
这个是它的详细用法。 消费者该如何选择?六款杀毒软件横向评测(这个要详细些) 。
