1、您的计算机是否已被装了木马?如何检测?
1)检查注册表
看
HKEY_LOCAL_MACHINE/SOFTWARE/MicrosoftWindows/Curren Version |
和
HKEY_CURRENT_USER/Software/MicrosoftWindows/CurrentVersion |
下,所有以"Run"开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:
C:windowsstart menuprograms startup |
HKEY_CURRENT_USER/Software/MicrosoftWindows/Current Version/ExplorerShell Folders Startup="C:windowsstart menuprogramsstartup" |
要注意经常检查这两个地方哦!
3)Win.ini以及System.ini
这里也是木马们喜欢的隐蔽场所,要注意这些地方。
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exewind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4)检查C:windowswinstart.bat、C:windowswininit.ini、Autoexec.bat。木马们也很可能隐藏在那里。
5)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6)木马启动都有一个方式,它只是在一个特定的情况下启动,所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
2、清除一般木马的机制原理主要是:
1)检测木马。
2)找到木马启动文件,一般在注册表及与系统启动有关的文件里能找到木马文件的位置。
3)删除木马文件,并且删除注册表或系统启动文件中关于木马的信息。
但对于一些十分狡滑的木马,这些措施是无法把它们找出来的,现在检测木马的手段无非是通过网络连接和查看系统进程,事实上,一些技术高明的木马编制者完全可以通过合理的隐藏通讯和进程使木马很难被检测到。
引自:http://it.rising.com.cn/safe/protect/2009-12-08/5653.html
608
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
