Windows:
1. 检测本地网络连接,cmd下netstat-ano这个可以显示所有的网络连接,还有PID值,在任务管理器中可以对照响应的PID值进行查看相应的进程。
2. 用户检查,打开“我的电脑”-->“管理”-->“计算机用户和组”查看是否有多余用户,管理员组都是那些用户,这些用户是否安全。
3. 查看服务选项,cmd中servisces.msc打开服务面板,查看状态为“开启的服务”排除正常服务,寻找是否有可疑服务。
4. 检查系统中拥有启动方式的文件,system.ini和win.ini,在“运行”中输入这2个文件名的名字即可打开(路径在system32下)system.ini中查看有【boot】的字段查看下面shell=Explorer.exe,如果Explorer.exe后面还有exe或者cmd、com等执行文件就要进行检查这些文件了,通常Explorer.exe后面没有东西。在【386Enh】下的“dirver=路劲”以及【mic】、【drivers】、【drivers32】字段下也可能加载木马。另外在win.ini中注意【windows】下的“load=路径”,“run=路径”一般情况下是空白。
5. 启动组的检查,假设系统安装在C盘,路径为C:\Documents and Settings\用户名\“开始”菜单\程序\启动\...。或者在C:\Documents and Settings\All Users\“开始”菜单\程序\启动\...
6.修改文件关联的木马。在注册表中查看文件关联,
EXE文件的关联:HKEY_CLASSES_ROOT\exefile\shell\open\command,正常值为"%1" %*
TXT文件的关联: HKEY_CLASSES_ROOT\txtfile\shell\open\command,正常为C:\WINDOWS\notepad.exe %1
INF文件的关联: HKEY_CLASSES_ROOT\inffile\shell\open\command,正常为%SystemRoot%\System32\NOTEPAD.EXE %1
INI文件的关联: HKEY_CLASSES_ROOT\inifile\shell\open\command C:\WINDOWS\System32\NOTEPAD.EXE %1
7.dll样式木马,用木马的dll代替系统的dll,系统需要调用正常dll函数的时候,木马dll就会先被调用执行,然后再由木马dll去调用系统正常的dll,这时,系统运行正常,但是木马也随之启动.
8. 捆绑exe文件的木马,利用开机自启动的exe程序进行捆绑自身或将自身伪装成正常exe程序的图标,如QQ,MSN,PPS等,这样开机后会先启动木马,然后由木马调用正常的程序,在正常的程序启动的时候木马也悄然启用,于dll木马类似的方式.
9.注册表中的大众启动项.HKLM\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等项
还有HKCU\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等项
以及 HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run、Runonce、RunonceEx、RunServices、RunServicesOnce等项
如果找到木马进程却不能结束的话,说明木马进程之间有守护作用,不止一个进程,在cmd用taskkill –T –PID “进程PID”来判断进程之间的守护关系,然后找到写一个批处理用taskkill –PID “进程PID”结束多有的守护进程即可,如果木马嵌套在某个系统进程中,如services.exe、svchost.exe中的话只有用专业的工具(比如“冰刃”等)进行内部dll模块的卸载了。如果是因为木马运行程序无法删除的话,进入cmd下,cd切换到木马所在目录,用attrib –s –h –r “木马运行程序” 命令消除木马的系统属性,然后再用delete “木马运行程序”命令来删除木马程序。
所谓未雨绸缪说的就是提前做好准备,以便应对突发状况,在不用任何外界工具的情况下,可以再刚装好系统的时候备份系统目录下的所有文件的名字,cmd进入system32目录下运行
dir *.exe>c:\exeback.txt
dir *.dll>c:dllback.txt
这样记录了系统目录下所有的exe程序和dll文件,等需要查杀的时候,可以再用dir命令将现在的exe文件和dll文件的名称全比导出到txt文本,然后在cmd下用
fc exeback.txt exeback1.txt>bijiaoexe.txt比较exe文件
fc dllback.txt dllback1.txt>bijiaodll.txt 比较dll文件
就可以发现多出来的exe文件和dll文件了
当然,用电脑就免不了要装一些软件,安装软件自然会使system32目录中的文件发生较大的变化,多出不少文件,就算是用了fc进行比较也还是不方便,这时就可以利用对照已加载的正常软件的模块的方法来缩小杀找范围。运行中输入msinfo32.exe依次展开“软件环境”-“加载的模块”,然后选择“文件”-导出,之后再与前面比较的那份txt文档进行比较,排除正常的模块文件。
另外,查看进程中的模块的命令式cmd下tasklist /svc
二.在线查杀木马
1.procexp.exe开启virtual在线查杀,发现木马进程。
2.procexp.exe暂停木马进程打包备份木马文件,保留证据。
3.Autoruns.exe启动项中找到对应木马进程,右键删除。(此方法可删除注册表中的值)
4.Autoruns.exe开启virtual在线查毒,检查是否有可疑进程。
5.tcpview.exe检查网络连接情况,关注SYN_SENT。
苹果系统安装win7教程(苹果机安装win7系统)
很多人喜欢使用苹果电脑,但是有总有需要使用Windows系统的情况。最近有位朋友在后台询问苹果笔记本电脑怎么装win7系统。如果你也有同样的需求,那么下面就来看看苹果电脑装windows7图文教程(0)人阅读时间:2023-05-14路由器用户名是什么(小米路由器用户名是什么)
无线路由器的管理地址、用户名、密码是什么? 一、管理地址、用户名、密码是什么? 路由器的管理地址也叫网址、IP地址,是进入路由器的接口。TP-LINK路由器默认管理地址均可以在路由器的底部标签(0)人阅读时间:2023-05-14如何设置dlink无线路由器密码(dlink无线路由器怎么设置)
D-Link无线路由器怎么设置?D-Link无线路由器该如何设置才能上网呢?本文就给大家简单介绍一下D-Link无线路由器的设置过程。 操作方法: 1,先将路由器与电脑链接:用网线将路由器和电(0)人阅读时间:2023-05-14yy怎么使用变声器 yy语音怎么用变声器
随着吃鸡游戏的大热,带动变声器的兴起。下面就盘点18年有那些好用的变声软件,好用的在线变声器男声变女声的变声软件—变声专家、MorphVOXpro。而二者相同异不同,下面就来详细说下。 一、变声(0)人阅读时间:2023-05-14如何清除木马病毒(如何清除木马病毒oppo)
Windows: 1. 检测本地网络连接,cmd下netstat-ano这个可以显示所有的网络连接,还有PID值,在任务管理器中可以对照响应的PID值进行查看相应的进程。 2. 用户检查,打开..2023-05-14苹果系统安装win7教程(苹果机安装win7系统)
很多人喜欢使用苹果电脑,但是有总有需要使用Windows系统的情况。最近有位朋友在后台询问苹果笔记本电脑怎么装win7系统。如果你也有同样的需求,那么下面就来看看苹果电脑装windows7图文教程..2023-05-14柯尔鸭怎么孵化 柯尔鸭鸭蛋怎么孵化?
柯尔鸭孵化前,要准备好种蛋和孵化设备,将种蛋消毒后,放入孵化设备中。将孵化设备调试好,调整好温度、湿度,孵化7天后验蛋,观察蛋是否有网丝..2023-05-14路由器用户名是什么(小米路由器用户名是什么)
无线路由器的管理地址、用户名、密码是什么? 一、管理地址、用户名、密码是什么? 路由器的管理地址也叫网址、IP地址,是进入路由器的接口。TP-LINK路由器默认管理地址均可以在路由器的底部标签..2023-05-14