• WAP手機版 RSS訂閱 加入收藏  設為首頁
電腦故障

如何快速清除系統中的木馬病毒

時間:2012-2-8 22:39:18   作者:電腦技術商城   來源:電腦技術商城   閱讀:7506   評論:0
內容摘要:黑客入侵后要做的事就是上傳木馬后門,為了能夠讓上傳的木馬不被發現,他們會想盡種種方法對其進行偽裝。而作為被害者,我們又該如何識破偽裝,將系統中的木馬統統清除掉呢!  一、文件捆綁檢測  將木馬捆綁在正常程序中,一直是木馬偽裝攻擊的一種常用手段。下面我們就看看如何才能檢測出文件中捆...

黑客入侵后要做的事就是上傳木馬后門,為了能夠讓上傳的木馬不被發現,他們會想盡種種方法對其進行偽裝。而作為被害者,我們又該如何識破偽裝,將系統中的木馬統統清除掉呢!

  一、文件捆綁檢測

  將木馬捆綁在正常程序中,一直是木馬偽裝攻擊的一種常用手段。下面我們就看看如何才能檢測出文件中捆綁的木馬。

  1.MT捆綁克星

  文件中只要捆綁了木馬,那么其文件頭特征碼一定會表現出一定的規律,而MT捆綁克星正是通過分析程序的文件頭特征碼來判斷的。程序運行后,我們只要單擊“瀏覽”按鈕,選擇需要進行檢測的文件,然后單擊主界面上的“分析”按鈕,這樣程序就會自動對添加進來的文件進行分析。此時,我們只要查看分析結果中可執行的頭部數,如果有兩個或更多的可執行文件頭部,那么說明此文件一定是被捆綁過的!

  2.揪出捆綁在程序中的木馬

  光檢測出了文件中捆綁了木馬是遠遠不夠的,還必須請出“Fearless Bound File Detector”這樣的“特工”來清除其中的木馬。

  程序運行后會首先要求選擇需要檢測的程序或文件,然后單擊主界面中的“Process”按鈕,分析完畢再單擊“Clean File”按鈕,在彈出警告對話框中單擊“是”按鈕確認清除程序中被捆綁的木馬。

  二、清除DLL類后門

  相對文件捆綁運行,DLL插入類的木馬顯的更加高級,具有無進程,不開端口等特點,一般人很難發覺。因此清除的步驟也相對復雜一點。

  1.結束木馬進程

  由于該類型的木馬是嵌入在其它進程之中的,本身在進程查看器中并不會生成具體的項目,對此我們如果發現自己系統出現異常時,則需要判斷是否中了DLL木馬。

  在這里我們借助的是IceSword工具,運行該程序后會自動檢測系統正在運行的進程,右擊可疑的進程,在彈出的菜單中選擇“模塊信息”,在彈出的窗口中即可查看所有DLL模塊,這時如果發現有來歷不明的項目就可以將其選中,然后單擊“卸載”按鈕將其從進程中刪除。對于一些比較頑固的進程,我們還將其中,單擊“強行解除”按鈕,然后再通過“模塊文件名”欄中的地址,直接到其文件夾中將其刪除。

  2.查找可疑DLL模塊

  由于一般用戶對DLL文件的調用情況并不熟悉,因此很難判斷出哪個DLL模塊是不是可疑的。這樣ECQ-PS(超級進程王)即可派上用場。

  運行軟件后即可在中間的列表中可以看到當前系統中的所有進程,雙擊其中的某個進程后,可以在下面窗口的“全部模塊”標簽中,即可顯示詳細的信息,包括模塊名稱、版本和廠商,以及創建的時間等。其中的廠商和創建時間信息比較重要,如果是一個系統關鍵進程如“svchost.exe”,結果調用的卻是一個不知名的廠商的模塊,那該模塊必定是有問題的。另外如果廠商雖然是微軟的,但創建時間卻與其它的DLL模塊時間不同,那么也可能是DLL木馬。

  另外我們也可以直接切換到“可疑模塊”選項,軟件會自動掃描模塊中的可疑文件,并在列表中顯示出來。雙擊掃描結果列表中的可疑DLL模塊,可看到調用此模塊的進程。一般每一個DLL文件都有多個進程會調用,如果調用此DLL文件的僅僅是此一個進程,也可能是DLL木馬。點擊“強進刪除”按鈕,即可將DLL木馬從進程中刪除掉。

  三、徹底的Rootkit檢測

  誰都不可能每時每刻對系統中的端口、注冊表、文件、服務進行挨個的檢查,看是否隱藏木馬。這時候我可以使用一些特殊的工具進行檢測。

  1.Rootkit Detector清除Rootkit

  Rootkit Detector是一個Rootkit檢測和清除工具,可以檢測出多個Windows下的Rootkit 其中包括大名鼎鼎的hxdef.100。

  用方法很簡單,在命令行下直接運行程序名“rkdetector.exe”即可。程序運行后將會自動完成一系統列隱藏項目檢測,查找出系統中正在運行的Rootkit程序及服務,以紅色作出標記提醒,并嘗試將它清除掉。

  2.強大的Knlps

  相比之下,Knlps的功能更為強大一些,它可以指定結束正在運行的Rootkit程序。使用時在命令行下輸入“knlps.exe -l”命令,將顯示系統中所有隱藏的Rootkit進程及相應的進程PID號。找到Rootkit進程后,可以使用“-k”參數進行刪除。例如已找到了“svch0st.exe”的進程,及PID號為“3908”,可以輸入命令“knlps.exe -k 3908”將進程中止掉。

  四、克隆帳號的檢測

  嚴格意義上來說,它已經不是后門木馬了。但是他同樣是在系統中建立了管理員權限的賬號,但是我們查看的卻是Guest組的成員,非常容易麻痹管理員。

  在這里為大家介紹一款新的帳號克隆檢測工具LP_Check,它可以明查秋毫的檢查出系統中的克隆用戶!

  LP_Check的使用極其簡單,程序運行后會對注冊表及“帳號管理器”中的用戶帳號和權限進行對比檢測,可以看到程序檢測出了剛才Guest帳號有問題,并在列表中以紅色三角符號重點標記出來,這時我們就可以打開用戶管理窗口將其刪除了。

  通過介紹相信已經能夠讓系統恢復的比較安全了,但是要想徹底避免木馬的侵害,還是需要對其基礎知識加以了解。這樣使用起電腦來就不可怕了。


【電腦技術城】http://www.nnpznq.tw 是專門為客戶網上處理電腦問題和南寧市地區電腦上門維修服務的平臺。一切的電腦問題你都可以在網上免費咨詢(客服QQ全程在線)。同時我們也提供了網上電腦維修服務和電腦技術支持,專門處理客戶系統的常見問題、網上重裝系統、和一切均能上網QQ遠程處理的電腦問題。我們還開設了組裝電腦配置清單及價格_臺式電腦主機配置推薦_電腦維修_手機推薦,最權威的、電腦維修、知識學習、技術問題咨詢、視頻教程網站、提供電腦維修知識、電腦維修視頻教程、電腦維修技術、電腦維修問題咨詢、南寧電腦上門服務維修店電話、電腦維修學習相關資料希望大家能夠自覺遵守網站規則,不做任何傷害國家、辱罵他人及擾亂網站管理和違反法律管理的一切行為。   

 

 客服QQ:小美(2276781688) 小夕 (2689901577)  QQ交流群: 3920471   電腦技術商城交流群
 
相關評論
電腦故障
    該欄目下無二級欄目

電腦技術城-組裝電腦配置清單及價格_臺式電腦主機配置推薦_電腦維修_手機推薦,電腦維修、知識學習、技術問題咨詢、視頻教程網站、提供電腦維修知識、電腦維修視頻教程

鄭重聲明:歡迎大家活躍轉載分享。但未經授權禁止、摘編、復制或建立鏡像、采取一切手段修改本站文章發布到其他網站的一切行為,如有違反,追究法律責任。

電腦技術城客服QQ   小美(2276781688)   飛躍夢想(349693211)    坦誠相待(344368100)    QQ交流群:3920471

本站部分內容來源于互聯網,如有侵犯您的權利,請聯系我們,我們將會及時刪除,謝謝!

桂公網安備 45010202000198號
桂ICP備11007466號
中国福利26选5