㈠ 自己電腦已經中了木馬,怎麼進行排查
首先,對進程進程進行排查,終止可疑的進程,如果對其不了解,可以使用[超級兔子 任務管理器]。
第二,為系統打上補丁(推薦用[360安全衛士],如果沒有的話就用[超級兔子 清理王],千萬別去360下載,聽說360網站被攻破了,一上去就中兩個病毒)
第三,斷開網路,察看自啟動程序(最好用[超級兔子 魔法設置]) ,發現可疑立即找到該文件地址予以刪除(刪不掉到安全模式)。
第四,進入安全模式殺毒,這……豬豬就不用說了吧……
第五,別以為殺完度就沒事了,最好到三個系統文件夾察看最新可疑程序,找到要隔離!
最後,在之後的幾周內經常殺毒。
其實我們家電腦最近也中國了一次毒,要不然我就不會耐心地解答你的問題了!
^_^要是還有問題的話可以找我QQ251808907
就這樣了。
BY 愛神小豬
2006 12
㈡ 如何才能知道自己的電腦上有沒有中了木馬
木馬程序會隱藏自己.
主要途徑有:
a,在任務欄中隱藏自己,這是最基本的只要把Form的Visible屬性設為False、 ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。
b,在任務管理器中隱形:將程序設為「系統服務」可以很輕松地偽裝自己。它也會悄無聲息地啟動,你當然不會指望用戶每次啟動後點擊「木馬」圖標來運行服務端
c,「木馬」會在每次用戶啟動時自動裝載服務端,Windows系統啟動時自動載入應用程序的方法,「木馬」都會用上,如:啟動組、win.ini、system.ini、注冊表等等都
是「木馬」藏身的好地方。下面具體談談 「木馬」是怎樣自動載入的。
在win.ini文件中,在[WINDOWS]下面,「run=」和「load=」是可能載入「木馬」程序的途徑,必須仔細留心它們。一般情況下,它們的等號後面什麼都沒有,如果發現
後面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上「木馬」了。當然你也得看清楚,因為好多「木馬」,如 「AOL Trojan木馬」,它把自身偽裝成
command.exe文件,如果不注意可能不會發現它不是真正的系統啟動文件。
在system.ini文件中,在[BOOT]下面有個「shell=文件名」。正確的文件名應該是「explorer.exe」,如果不是 「explorer.exe」,而是「shell= explorer.exe 程序名」,那麼
後面跟著的那個程序就是「木馬」程序,就是說你已經中「木馬」了。
在注冊表中的情況最復雜,通過regedit命令打開注冊表編輯器,在點擊至:「HKEY-LOCAL- 」目錄下,查
看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這里切記:有的「木馬」程序生成的文件很像系統自身文件,想通過偽裝矇混過關,如「Acid Battery
v1.0木馬」,它將注冊表「HKEY-LOCAL- 」下的 Explorer 鍵值改為Explorer=「C:WINDOWSexpiorer.exe」
,「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。當然在注冊表中還有很多地方都可以隱藏「木馬」程序,如:「HKEY-CURRENT-
」、「HKEY- USERS****」的目錄下都有可能,最好的辦法就
是在 「HKEY-LOCAL-」下找到「木馬」程序的文件名,再在整個注冊表中搜索即可。
知道了「木馬」的工作原理,查殺「木馬」就變得很容易,如果發現有「木馬」存在,最安全也是最有效的方法就是馬上將計算機與網路斷開,防止黑客通過網路對你進
行攻擊。然後編輯win.ini文件,將[WINDOWS]下面,「run=「木馬」程序」或「load=「木馬」程序」更改為「run=」 和 「load=」;編輯system.ini文件,將[BOOT]下面的
「shell=『木馬』文件」,更改為:「shell= explorer.exe」;在注冊表中,用regedit對注冊表進行編輯,先在「HKEY-LOCAL-
」下找到「木馬」程序的文件名,再在整個注冊表中搜索並替換掉「木馬」程序,有時候還需注意的是:有的「木
馬」程序並不是直接將「HKEY-LOCAL- 」下的「木馬」鍵值刪除就行了,因為有的「木馬」 如:BladeRunner「木
馬」,如果你刪除它,「木馬」會立即自動加上,你需要的是記下「木馬」的名字與目錄,然後退回到MS-DOS下,找到此 「木馬」文件並刪除掉。重新啟動計算機,然
後再到注冊表中將所有「木馬」文件的鍵值刪除。至此,我們就大功告成了
㈢ 怎麼檢查電腦木馬是否存在
放出木獅子看他跑不跑。
㈣ 怎麼檢查電腦是否有木馬
一、通過啟動文件檢測木馬
一旦電腦中了木馬,則在電腦開機時一般都會自動載入木馬文件,由於木馬的隱藏性比較強,在啟動後大部分木馬都會更改其原來的文件名;
注意:
參數「-a」的作用是顯示計算機中目前所有處於監聽狀態的埠。
如果出現不明埠處於監聽狀態,而且前又沒有進行任何網路服務的操作,則在監聽該埠的很有可能是木馬。
㈤ 如何判斷我的電腦里是否有木馬病毒啊
首先,查看system.ini、win.ini、啟動組中的啟動項目。由「開始->運行」,輸入msconfig,運行Windows自帶的「系統配置實用程序」。
1、查看system.ini文件
選中「System.ini」標簽,展開[boot]目錄,查看「shell=」這行,正常為「shell=Explorer.exe」
,如果不是這樣,就可能中了木馬了。下圖所示為正常時的情況:
2、查看win.ini文件
選中win.ini標簽,展開[windows]目錄項,查看「run=」和「load=」行,等號後面正常應該為空
3、查看啟動組
再看看啟動標簽中的啟動項目,有沒有什麼非正常項目?要是有象netbus、netspy、bo等關鍵詞,
極有可能就是木馬了。本人一般都將啟動組中的項目保持在比較精簡的狀態,不需要或無大用途的項目都
屏蔽掉了
4、查看注冊表
由「開始-運行」,輸入regedit,確定就可以運行注冊表編輯器。再展開至:
「HKEY-LOCAL-」目錄下,查看鍵值中有沒有自己
不熟悉的自動啟動文件項目,比如netbus、netspy、netserver等的單詞。注意,有的木馬程序生成的
伺服器程序文件很像系統自身的文件,想由此偽裝矇混過關。比如Acid Battery木馬,它會在注冊表項
「HKEY-LOCAL-」下加入
Explorer=「CWINDOWSexpiorer.exe」,木馬伺服器程序與系統自身的真正的Explorer之間只有一個字母
的差別!
通過類似的方法對下列各個主鍵下面的鍵值進行檢查:
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
如果操作系統是Windows NT,還得注意HKEY-LOCAL-MACHINE\Software\SAM下面的內容,如果有項目,那極有可能就是木馬了。正常情況下,該主鍵下面是空的。
當然在注冊表中還有很多地方都可以隱藏木馬程序,上面這些主鍵是木馬比較常用的隱身之處。除此之外,象HKEY-CURRENT-USER\ Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\ Microsoft\Windows\CurrentVersion\Run的目錄下都有可能成為木馬的藏身之處。最好的辦法就是在HKEY-LOCAL -MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主鍵下面找到木馬程序的文件名,再通過其文件名對整個注冊表進行全面搜索就知道它有幾個藏身的地方了。
如果有留意,注冊表各個主鍵下都會有個叫「(默認)」名稱的注冊項,而且數據顯示為「(未設置鍵值)」,也就是空的。這是正常現象。如果發現這個默認項被替換了,那麼替換它的就是木馬了。
4、其它方法
上網過程中,在進行一些計算機正常使用操作時,發現計算機速度明顯起了變化、硬碟在不停的讀寫、滑鼠不聽使喚、鍵盤無效、自己的一些窗口在未得到自己允許的情況下被關閉、新的窗口被莫名其妙地打開.....這一切的不正常現象都可以懷疑是木馬客戶端在遠程式控制制你的計算機。
如果懷疑你現在正在被木馬控制,那麼不要慌張地去拔了網線或抽了Modem上的電話線。有可能的話,最好可以逮到「黑」你的那個傢伙。下面就介紹一下相應的方法:
由「開始->運行」,輸入command,確定,開一個MS-DOS窗口。或者由「開始->程序->MS-DOS」來打開它。在MS-DOS窗口的命令行鍵入「netstat」查看目前已與本計算機建立的連接。如下圖所示:
顯示出來的結果表示為四列,其意思分別為Proto:協議,Local Address:本地地址,Foreign Address
:遠程地址,State:狀態。在地址欄中冒號的後面就是埠號。如果發現埠號碼異常(比如大於5000
),而Foreign Address中的地址又不為正常網路瀏覽的地址,那麼可以判斷你的機器正被
Foreign Address中表示的遠程計算機所窺視著。在對應行的Foreign Address中顯示的IP地址就是目前非
法連接你計算機的木馬客戶端。
當網路處於非活動狀態,也就是目前沒什麼活動網路連接時,在MS-DOS窗口中用netstat命令將看不
到什麼東西。此時可以使用「netstat -a」,加了常數「-a」表示顯示計算機中目前處於監聽狀態的埠
。對於Windows98來說,正常情況下,會出現如下的一些處於監聽狀態的埠(安裝有NETBEUI協議):
如果出現有不明埠處於監聽(LISTENING)狀態,而目前又沒有進行任何網路服務操作,那麼在監聽該
埠的就是特洛伊木馬了!如下圖所示的23456和23457埠都處於監聽狀態,很明顯是木馬造成的。
注意,使用此方法查詢處於監聽狀態的埠,一定要保證在短時間內(最好5分鍾以上)沒有運行任何
網路沖浪軟體,也沒有進行過任何網路操作,比如瀏覽網頁,收、發信等。不然容易混淆對結果的判斷。
㈥ 怎麼判斷電腦是否有木馬
判斷QQ是否中木馬,的確可以看出來的
1.正常的QQ打開是可以直接輸入數字的,中了木馬的則不行
2.正常的QQ可以使用軟體盤,中了木馬的不可以,你可以用系統自帶的軟鍵盤
3.正常的QQ可以將密碼復制進去,而中了木馬的則不行
防治:
1.你可以用系統自帶的軟鍵盤
2.打亂密碼輸入的順序讓木馬記錄一個錯誤的密碼,但保證你輸入後的密碼正確
3.直接用QQ醫生殺木馬,清楚,但如果是免殺的木馬則不好使了,所以最好還是用軟鍵盤吧
呵呵,這是我長期總結的經驗
你看行不?
㈦ 如何查看自己電腦是否中木馬
用殺毒軟體 查看 以及沒有軟體 使用doc命令怎樣查看
首先打開開始=》運行=》輸入「cmd」然後回車
具體的命令格式是:netstat -an這個命令能看到所有和本地計算機建立連接的IP,它包含四個部分——proto(連接方式)、local
aDDRess(本地連接地址)、foreign
address(和本地建立連接的地址)、state(當前埠狀態)。通過這個命令的詳細信息,我們就可以完全監控計算機上的連接,從而達到控制計算機
的目的。
很多朋友在某天系統重新啟動後會發現計算機速度變慢了,不管怎麼優化都慢,用殺毒軟體也查不出問題,這個時候很可能是別人通過入侵你的計算機後給你開放了
特別的某種服務,比如IIS信息服務等,這樣你的殺毒軟體是查不出來的。但是別急,可以通過「net
start」來查看系統中究竟有什麼服務在開啟,如果發現了不是自己開放的服務,我們就可以有針對性地禁用這個服務了。
方法就是直接輸入「net start」來查看服務,再用「net stop server」來禁止服務。
首先在命令行下輸入net user,查看計算機上有些什麼用戶,然後再使用「net
user+用戶名」查看這個用戶是屬於什麼許可權的,一般除了Administrator是administrators組的,其他都不是!如果你發現一個
系統內置的用戶是屬於administrators組的,那幾乎肯定你被入侵了,而且別人在你的計算機上克隆了賬戶。快使用「net
user用戶名/del」來刪掉這個用戶吧!
㈧ 怎樣檢查電腦是否種了木馬之類的病毒
基本都是先判斷機器可能隱藏木馬,比如機器變慢,無故丟失帳號等。
或直接用軟體查殺,主流殺毒軟體都能查殺木馬,或者用360,木馬剋星什麼的,反正多了!
㈨ 如何檢查電腦是否被木馬控制
你是不是用360恢復IE時把主頁回復了?然後打開就變成默認頁了,QQ直接進安裝目錄把除了你意外的以Q號命名的文件夾刪除,再刪除登陸界面的使用記錄,或者是不是你的其他什麼人登陸過你的電腦?或者卸載掉原來的再安裝一個新的QQ吧
㈩ 怎樣查看電腦是否中木馬
其實想看自己中木馬沒有很簡單(也就是中了會有什麼狀況)
如果自己機器突然變的很慢,發現哪個進程佔用很高的CPU等。那你就懷疑一下自己有沒有中木馬。
檢查方法:木馬必須兩個程序(一個是客戶端,即控制端,另一個是服務端,即被控制端。)
那麼當你把你所以連接網路的軟體,比如說QQ,IE,KUGOO等等需要連接網路的都關掉。
打開運行,敲入CMD回車。在命令提示提示符中輸入
netstat
-an
然後再回車
出現了很多TCP連接的IP和埠。
看一下還有沒有連接的埠,有的話那就中了木馬!~連接的埠顯示為ESTABLISHED(特別注意埠號為8000的,那一定中了灰鴿子,灰鴿子默認接受埠號就是8000)。