Windows系统病毒木马排查清除方法

最新推荐文章于 2024-01-11 06:42:12 发布
最新推荐文章于 2024-01-11 06:42:12 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: Linux、Windows服务器常用知识 文章标签: windows 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeyiboy/article/details/124530634
版权 
Windows:
1.	检测本地网络连接,cmd下netstat-ano这个可以显示所有的网络连接,还有PID值,在任务管理器中可以对照响应的PID值进行查看相应的进程。

2.	用户检查,打开“我的电脑”-->“管理”-->“计算机用户和组”查看是否有多余用户,管理员组都是那些用户,这些用户是否安全。

3.	查看服务选项,cmd中servisces.msc打开服务面板,查看状态为“开启的服务”排除正常服务,寻找是否有可疑服务。

4.	检查系统中拥有启动方式的文件,system.ini和win.ini,在“运行”中输入这2个文件名的名字即可打开(路径在system32下)system.ini中查看有【boot】的字段查看下面shell=Explorer.exe,如果Explorer.exe后面还有exe或者cmd、com等执行文件就要进行检查这些文件了,通常Explorer.exe后面没有东西。在【386Enh】下的“dirver=路劲”以及【mic】、【drivers】、【drivers32】字段下也可能加载木马。另外在win.ini中注意【windows】下的“load=路径”,“run=路径”一般情况下是空白。

5.	启动组的检查,假设系统安装在C盘,路径为C:\Documents and Settings\用户名\“开始”菜单\程序\启动\...。或者在C:\Documents and Settings\All Users\“开始”菜单\程序\启动\...

6.修改文件关联的木马。在注册表中查看文件关联,
EXE文件的关联:HKEY_CLASSES_ROOT\exefile\shell\open\command,正常值为"%1" %*
TXT文件的关联: HKEY_CLASSES_ROOT\txtfile\shell\open\command,正常为C:\WINDOWS\notepad.exe %1
INF文
了解本专栏 订阅专栏 解锁全文 超级会员免费看
miaobinfei
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
订阅专栏
六招教你检查电脑是否有病毒和***
weixin_33696822的博客
01-17 382
一、进程  首先排查的就是进程了,方法简单,开机后,什么都不要启动!  第一步:直接打开任务管理器,查看有没有可疑的进程,不认识的进程可以Google或者百度一下。  PS:如果任务管理器打开后一闪就消失了,可以判定已经中毒;如果提示已经被管理员禁用,则要引起警惕!  第二步:打开冰刃等软件,先查看有没有隐藏进程(冰刃中以红色标出),然后查看系统进程的路径是否正确。  PS:...
如何清除Windows木马?
qq_49283465的博客
04-19 2996
应急响应--干掉木马Windows账户检查日志查看最近文档注册表启动项计划任务Dns污染端口、进程检查杂项 Windows 别碰我,呀~~~ 账户检查 先看有没有开小号 net user 查看用户,管理 本地用户和组用户 net user username 查看用户登录情况 lusrmgr.msc 打开本地用户组–window 10以下版本 日志查看 看一下对方干了什么,但一个优秀的入侵者会把日志删掉–此地无银三百两 最近文档 通过查看最近文档,最近数据交互,可以判断自己主机是否真的被入侵了,可能会有临时
如何排查木马
最新发布
隐身博客
01-11 702
如果你发现了陌生的或者恶意的进程,可以将其结束,并在搜索引擎上搜索该进程的名称,了解更多相关信息。7. 使用专业的排查工具:除了杀毒软件,还可以使用一些专业的排查工具,如Rootkit Revealer、Malwarebytes Anti-Malware等,这些工具可以帮助发现和清除隐藏的木马程序。检查是否有陌生的网络连接,特别是对于远程控制或远程访问服务,如果发现可疑的连接,可以禁用它们。1. 更新和扫描杀毒软件:确保你的电脑上安装了最新版本的杀毒软件,并进行全盘扫描,以便检测和删除任何潜在的木马程序。
一次简单的排查木马(查找端口号的进程PID)
11-07 516
单位做了杀毒和漏扫服务器,想如果想远程一台机器(以下称为C),那么C开的远程端口如果不是默认端口,用漏扫能扫出C的所有开放端口吗?于是新建一个任务,指定只扫C机的IP,哦豁,竟然有个特洛伊木马,说开在6000端口,有个未知的服务。 在哪里呢?打开服务(services.msc),上下看了看,没找着!于是禁用了防火墙所有的入站、出站规则,先慢慢找吧 接着,打开cmd窗口,输入"netstat -ano",果然发现了一个本地的源端口6000,已经与本地的一个高位端口建立联接,它的进程号是9152,于是找这个
Windows电脑清理垃圾与查杀病毒方法
m0_71663621的博客
03-17 1312
Windows电脑清理垃圾与查杀病毒方法
【应急响应】————10、十字木马排查
Fly_鹏程万里
02-22 478
中毒现象: 内到外的流量大,打DDOS入侵方式: 通过SSH暴力破解病毒分析: 木马病毒在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为ls,cd之类常见的命令。杀死该进程后,会再随机产生一个新的进程,删除这些木马文件后,会再重新生成新的木马文件。由此可以判断,木马病毒会自动修复,多个进程之间会互相保护,一旦删除和被杀,立即重新启动和复制。 首先注意到/tmp/.zl文件 [...
手工轻松清除隐藏在电脑里的病毒木马
05-12
注册表是Windows操作系统中的核心数据库,存储着系统的配置信息,也是病毒木马常驻的地方。在检查注册表之前,确保创建一个备份以防止误删造成的问题。重点关注以下几个位置: 1. HKEY_LOCAL_MACHINE\Software\...
注册表修改之计算机病毒清除
09-16
"注册表修改之计算机病毒清除" 计算机病毒是一种可以对计算机系统和数据造成危害的恶意软件,它们可以通过各种手段...要清除木马病毒,需要了解木马的藏身地和通用排查技术,并且需要及时地更新杀毒软件和操作系统
木马清除小工具
10-17
"木马清除小工具"是一款专门针对这类威胁的实用工具,它能有效检测并清除那些常规的木马专杀工具可能无法处理的木马病毒。 该工具的核心功能可能包括以下几个方面: 1. **深度扫描**:它能够深入系统文件、注册表...
Windows XP操作系统常见故障诊断.docx
09-27
一旦发现感染,应立即扫描并清除病毒,同时使用系统修复工具修复受损设置。 3. 误操作与过度优化: 对于不熟悉Windows XP的用户,避免随意更改系统设置是关键。如果使用优化工具,确保先备份系统设置,以防止不...
Windows操作系统安全及入侵排查
09-30
本PPT介绍: 1、Windows操作系统的安全配置,通过设置这些配置项可以在一定程度上保证系统的安全性,有效降低被攻击的风险,为业务稳定运行提供一定的保障。安全配置加固涉及的方面包括:补丁管理、账号口令、授权管理、服务管理、功能优化、文件管理、远程访问控制防护、日志审计。课程以Windows server 2008为例,根据上述八大方面提供了详尽的配置操作及说明。 2、Windows系统被入侵后可能出现的异常现象,通过这些异常特征来判断系统是否被入侵。课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统应用日志、检查账户、检查文件、检查系统启动项和计划任务、检查进程和网络连接、检查是否存留后门等恶意程序,根据上述检查内容提供相关的操作及说明。
如何查找你计算机里隐藏的木马程序
05-25
红客入侵后要做的事就是上传木马后门,为了能够让上传的木马不被发现,他们会想尽种种方法对其进行伪装。而作为被害者,我们又该如何识破伪装,将系统中的木马统统清除掉呢! 本文件告诉您解决的几个方法
应急排查文档-打码1
08-08
【应急排查文档-打码1】是一份详细的安全事件应急响应操作指南,主要涉及软件、插件以及在Linux和Windows操作系统中的应用。该文档旨在帮助IT专业人员在面临安全事件时,快速有效地进行系统排查和恢复。以下是文档的...
Windows系统安全排查
weixin_34342578的博客
03-02 597
Windows系统安全排查内容主要包含以下内容:查看用户信息是否存在非法账号信息?命令:NET LOCALGROUP\NET USER\NET GROUP排查系统服务是否存在恶意添加服务项?排查系统进程是否异常命令:TASKLIST /SVC查看系统日志是否存在异常登录操作?登录成功事件ID:4648排查计划任务是否存在可疑计划任务?命令:SCHTASKS /Query /F...
windows命令检测系统 识别木马入侵的痕迹
calatustela的专栏
01-15 1026
转至:http://www.hackline.net/a/Special/wlgf/xtaq/2010/0107/2417.html 一些基本的Windows命令往往可以识别木马的蛛丝马迹,而且在保护网络安全上起到很大的作用。 利用以下命令可以识别木马,远离木马烦扰。   检测网络连接 如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这...
window入侵排查
weixin_42489549的博客
07-27 278
window入侵排查 0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服
用命令检查电脑是否被安装木马
weixin_30596735的博客
11-24 52
用命令检查电脑是否被安装木马一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。  检测网络连接  如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含...
网络安全应急响应----2、Windows入侵排查
七天
03-17 5932
文章目录一、系统排查1、系统信息2、​​用户信息3、启动项4、计划任务5、服务自启动二、进程、端口排查1、进程排查2、端口排查三、文件痕迹排查1、敏感目录文件2、基于时间点查找四、日志分析1、系统日志2、安全性日志3、应用程序日志五、内存分析六、流量分析 一、系统排查 1、系统信息 //可以显示本地计算机的硬件资源、组件、软件环境、正在运行的任务、服务、系统驱动程序、加载模块、启动程序等。 C:\Users\test>msinfo32 //Microsoft系统信息工具:Msinfo32.
Linux系统病毒木马排查清除方法
yeyiboy的博客
05-04 3299
Linux: 1.检查系统日志 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况) 注:此时last命令也有可能变得不可靠,需要检查 --------------------- 2.检查系统用户 查看是否有异常的系统用户 [root@yeyiboy-IDC ~]# cat /etc/passwd 查看是否产生了新用户,UID和GID为0的用户 [root@yeyiboy-IDC ~]# grep “0” /etc/passwd 查看p.
windows木马排查
09-14
对于Windows系统,可以采取以下步骤来排查木马: 1. 安装可信赖的杀毒软件:在Windows系统中,安装一个可靠的杀毒软件是非常重要的,它可以帮助你检测和清除病毒木马等恶意软件。 2. 运行全面系统扫描:使用杀毒软件对整个系统进行全面扫描,确保对所有文件和文件夹进行检查。如果发现任何可疑的文件或行为,杀毒软件会提供相应的处理方案。 3. 升级和更新操作系统及软件:及时升级操作系统和软件是防止木马入侵的重要措施。确保你的Windows系统和安装的软件都是最新版本,并且及时安装安全补丁。 4. 定期备份重要文件:定期备份你的重要文件是一种防止数据丢失的好方法。如果你的系统受到木马攻击,备份的文件可以帮助你恢复数据。 5. 警惕不明来历的文件和链接:避免下载和打开不明来历的文件和链接,尤其是通过电子邮件、社交媒体或不受信任的网站传播的文件。这些可能是木马的传播途径。 6. 加强网络安全:使用强密码、定期更改密码,关闭未使用的端口和服务等措施可以减少木马入侵的风险。此外,使用防火墙和安全软件来监控网络流量也是很重要的。 如果你怀疑系统已经感染了木马,但无法自行处理,建议寻求专业的技术支持或咨询。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

miaobinfei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值