Windows:
1. 检测本地网络连接,cmd下netstat-ano这个可以显示所有的网络连接,还有PID值,在任务管理器中可以对照响应的PID值进行查看相应的进程。
2. 用户检查,打开“我的电脑”-->“管理”-->“计算机用户和组”查看是否有多余用户,管理员组都是那些用户,这些用户是否安全。
3. 查看服务选项,cmd中servisces.msc打开服务面板,查看状态为“开启的服务”排除正常服务,寻找是否有可疑服务。
4. 检查系统中拥有启动方式的文件,system.ini和win.ini,在“运行”中输入这2个文件名的名字即可打开(路径在system32下)system.ini中查看有【boot】的字段查看下面shell=Explorer.exe,如果Explorer.exe后面还有exe或者cmd、com等执行文件就要进行检查这些文件了,通常Explorer.exe后面没有东西。在【386Enh】下的“dirver=路劲”以及【mic】、【drivers】、【drivers32】字段下也可能加载木马。另外在win.ini中注意【windows】下的“load=路径”,“run=路径”一般情况下是空白。
5. 启动组的检查,假设系统安装在C盘,路径为C:\Documents and Settings\用户名\“开始”菜单\程序\启动\...。或者在C:\Documents and Settings\All Users\“开始”菜单\程序\启动\...
6.修改文件关联的木马。在注册表中查看文件关联,
EXE文件的关联:HKEY_CLASSES_ROOT\exefile\shell\open\command,正常值为"%1" %*
TXT文件的关联: HKEY_CLASSES_ROOT\txtfile\shell\open\command,正常为C:\WINDOWS\notepad.exe %1
INF文
Windows系统病毒木马排查清除方法
最新推荐文章于 2024-01-11 06:42:12 发布