快速清除系统中的木马病毒
黑客入侵后要做的事就是上传木马后门,为了能够让上传的木马不被发现,他们会想尽种种方法对其进行伪装。而作为被害者,我们又该如何识破伪装,将系统中的木马统统清除掉呢!
一、文件捆绑检测
将木马捆绑在正常程序中,一直是木马伪装攻击的一种常用手段。下面我们就看看如何才能检测出文件中捆绑的木马。
1.MT捆绑克星
文件中只要捆绑了木马,那么其文件头特征码一定会表现出一定的规律,而MT捆绑克星正是通过分析程序的文件头特征码来判断的。程序运行后,我们只要单击“浏览”按钮,选择需要进行检测的文件,然后单击主界面上的“分析”按钮,这样程序就会自动对添加进来的文件进行分析。此时,我们只要查看分析结果中可执行的头部数,如果有两个或更多的可执行文件头部,那么说明此文件一定是被捆绑过的!
2.揪出捆绑在程序中的木马
光检测出了文件中捆绑了木马是远远不够的,还必须请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。
程序运行后会首先要求选择需要检测的程序或文件,然后单击主界面中的“Process”按钮,分析完毕再单击“Clean File”按钮,在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马。
二、清除DLL类后门
相对文件捆绑运行,DLL插入类的木马显的更加高级,具有无进程,不开端口等特点,一般人很难发觉。因此清除的步骤也相对复杂一点。
1.结束木马进程
由于该类型的木马是嵌入在其它进程之中的,本身在进程查看器中并不会生成具体的项目,对此我们如果发现自己系统出现异常时,则需要判断是否中了DLL木马。
在这里我们借助的是IceSword工具,运行该程序后会自动检测系统正在运行的进程,右击可疑的进程,在弹出的菜单中选择“模块信息”,在弹出的窗口中即可查看所有DLL模块,这时如果发现有来历不明的项目就可以将其选中,然后单击“卸载”按钮将其从进程中删除。对于一些比较顽固的进程,我们还将其中,单击“强行解除”按钮,然后再通过“模块文件名”栏中的地址,直接到其文件夹中将其删除。
2.查找可疑DLL模块
由于一般用户对DLL文件的调用情况并不熟悉,因此很难判断出哪个DLL模块是不是可疑的。这样ECQ-PS(超级进程王)即可派上用场。
运行软件后即可在中间的列表中可以看到当前系统中的所有进程,双击其中的某个进程后,可以在下面窗口的“全部模块”标签中,即可显示详细的信息,包括模块名称、版本和厂商,以及创建的时间等。其中的厂商和创建时间信息比较重要,如果是一个系统关键进程如“svchost.exe”,结果调用的却是一个不知名的厂商的模块,那该模块必定是有问题的。另外如果厂商虽然是微软的,但创建时间却与其它的DLL模块时间不同,那么也可能是DLL木马。
另外我们也可以直接切换到“可疑模块”选项,软件会自动扫描模块中的可疑文件,并在列表中显示出来。双击扫描结果列表中的可疑DLL模块,可看到调用此模块的进程。一般每一个DLL文件都有多个进程会调用,如果调用此DLL文件的仅仅是此一个进程,也可能是DLL木马。点击“强进删除”按钮,即可将DLL木马从进程中删除掉。
三、彻底的Rootkit检测
谁都不可能每时每刻对系统中的端口、注册表、文件、服务进行挨个的检查,看是否隐藏木马。这时候我可以使用一些特殊的工具进行检测。
1.Rootkit Detector清除Rootkit
Rootkit Detector是一个Rootkit检测和清除工具,可以检测出多个Windows下的Rootkit 其中包括大名鼎鼎的hxdef.100。
用方法很简单,在命令行下直接运行程序名“rkdetector.exe”即可。程序运行后将会自动完成一系统列隐藏项目检测,查找出系统中正在运行的Rootkit程序及服务,以红色作出标记提醒,并尝试将它清除掉。
2.强大的Knlps
相比之下,Knlps的功能更为强大一些,它可以指定结束正在运行的Rootkit程序。使用时在命令行下输入“knlps.exe -l”命令,将显示系统中所有隐藏的Rootkit进程及相应的进程PID号。找到Rootkit进程后,可以使用“-k”参数进行删除。例如已找到了“svch0st.exe”的进程,及PID号为“3908”,可以输入命令“knlps.exe -k 3908”将进程中止掉。
四、克隆帐号的检测
严格意义上来说,它已经不是后门木马了。但是他同样是在系统中建立了管理员权限的账号,但是我们查看的却是Guest组的成员,非常容易麻痹管理员。
在这里为大家介绍一款新的帐号克隆检测工具LP_Check,它可以明查秋毫的检查出系统中的克隆用户!
LP_Check的使用极其简单,程序运行后会对注册表及“帐号管理器”中的用户帐号和权限进行对比检测,可以看到程序检测出了刚才Guest帐号有问题,并在列表中以红色三角符号重点标记出来,这时我们就可以打开用户管理窗口将其删除了。
通过介绍相信已经能够让系统恢复的比较安全了,但是要想彻底避免木马的侵害,还是需要对其基础知识加以了解。
转载于:https://www.cnblogs.com/ted2009/archive/2009/08/05/1539986.html
快速清除系统中的木马病毒相关推荐
- 如何干净地清除电脑中的木马病毒
本文只是针对常见的已知病毒的一些通用的基本的清除方法,并不专门讨论针对某种或者某类病毒的清除方法,如果按照这些清除方法仍不能干净清除病毒,请参见相关的文章,或另文提出,谢谢! 一.使用正确的杀毒方法 ...
- Office|【Word】如何快速清除Word中大量的无效样式
目录 一.假清除:通过管理样式隐藏不需要的样式 二.真清除:快速清除Word中大量的冗余样式 在做一个大项目的前期,如果未统一模板,众多部门发来的文档在Word中完成合并后,可能会导致样式千奇百怪,不 ...
- 对症下药教你清除电脑中的木马
特洛伊木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在不知情的的状态下控制或者监视用户的电脑.下面就讲讲木马经常藏身的地方和清除方法. 首先查看自己的电脑中是否有木马 1.集 ...
- db2 快速清除表中所以的数据
db2 "alter table t1 activate not logged initially with empty table" 快速清除表数据操作, 这个操作是不记录日志的 ...
- 让我来教你清除系统中的垃圾(转)
1.软件安装过程中产生的临时文件 许多软件在安装时,首先要把自身的安装文件解压缩到一个临时目录(一般为 Windows文件夹下的Temp目录),如WinZip等工具,然后再进行安装.如果软件设计有疏忽 ...
- 一次Linux中的木马病毒解决经历
病毒入侵解决方案 情景 最近几天一直CPU100%,也没有注意看到了以为正常的服务调用,直到腾讯给发了邮件警告说我的服务器正在入侵其他服务器的6379端口,我就是正常的使用不可能去入侵别人的系统的,这 ...
- 计算机蠕虫是一个程序或程序系列,它采取截取口令并试图在系统中,计算机蠕虫病毒是一个程序或程序系列,它采取截取口令并试图在系统中做非法动作的方式直接攻击计算机。...
采用FCA条件时,计算机蠕计算机卖方应负的责任是( ) 某资本家制衣厂内,虫病程序工人一个月工作30天,虫病程序其月工资为1500元.据工厂统计,每天每位工人能生产5件衣服,每件价值100元,每件衣服 ...
- 计算机感染木马或病毒后,计算机中木马病毒的症状
大家好,我是Time Fortune.com的明智客户服务.我将为您解答以上问题. 计算机中的木马病毒的症状是: 1.文件或文件夹无故消失 如果发山词霸和QQ管理器,这三种主流的国内安全保护软件都具有 ...
- 清除window 系统中的垃圾文件-转
在Windows在安装和使用过程中都会产生相当多的垃圾文件,包括临时文件(如:*.tmp.*._mp)日志文件(*.log).临时帮助文件 (*.gid).磁盘检查文件(*.chk).临时备份文件(如 ...
- 如何快速清理笔记本电脑中的系统垃圾及合并TXT文档
要轻松流畅上网你是否注意到你的电脑系统磁盘的可用空间正在一天天在减少呢?是不是像老去的猴王一样动作一天比一天迟缓呢?下面格莱富就说说如何快速清理笔记本中的电脑垃圾. 新建记事本 我们知道在Window ...
最新文章
- 基于深度学习OpenCV与python进行字符识别
- CVPR 2021评审出炉,评审员奇葩意见遭热议 | AI日报
- 图解Elasticsearch中的_source、_all、store和index属性
- Tungsten Fabric SDN — 零宕机(ZIU)自动化运维
- 2017年第八届蓝桥杯 - 省赛 - C/C++大学A组 - A. 迷宫
- spring的AOP配置之@注解方式
- Linux中输入输出重定向和管道
- 都在说云原生,它的技术图谱你真的了解吗?
- nodejs实现拉钩网爬虫
- 尴尬!微软的 PowerShell 竟是 Linux 用户最多!| 极客头条
- 世界上没有一模一样的东西_免费是世界上最昂贵的东西
- Linux命令学习符以及安装程序
- 模拟集成电路大牛的经验
- 任意版本JLink驱动官方下载指引
- Matlab中xlsread 函数读取excel表格数据或者字符串
- 获取银行卡Log接口
- numpy.arctan, math.atan, math.atan2的区别
- PHP 毫秒级时间戳生成
- 建站用阿里云还是腾讯云好?
- 博客原创声明以及转载免责声明