本文目录一览:
- 1、电脑被设置了木马病毒了,怎么办?
- 2、微信被发木马控制了怎么办?
- 3、我的电脑被木马病毒劫持了,怎么办?
- 4、电脑被木马攻击了 怎么办 杀不出毒来怎么办
- 5、电脑中木马病毒被控制会怎么样?
- 6、电脑被木马控制了怎么办?
电脑被设置了木马病毒了,怎么办?
木马小常识
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。在黑客进行的各种攻击行为中,木马都起到了开路先锋的作用。
一、木马的危害
相信木马对于众多网民来说不算陌生。它是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前,隐私?不复存在!
木马在黑客入侵中也是一种不可缺少的工具。就在去年的10月28日,一个黑客入侵了美国微软的门户网站,而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。就是这小小的QAZ让庞大的微软丢尽了颜面!
广大网民比较熟悉的木马当数国产软件冰河了。冰河是由黄鑫开发的免费软件,冰河面世后,以它简单的操作方法和强大的控制能力令人胆寒,可以说是达到了谈“冰”色变的地步。
二、木马原理
特洛伊木马属于客户/服务模式。它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。以大名鼎鼎的木马冰河为例,被控制端可视为一台服务器,控制端则是一台客户机,服务端程序G_Server.exe是守护进程,G_Client.exe是客户端应用程序。
为进一步了解木马,我们来看看它们的隐藏方式,木马隐藏方法主要有以下几种:
1.)在任务栏里隐藏
这是最基本的。如果在windows的任务来历出现一个莫名其妙的图标,傻子都会明白怎么回事。在VB中,只要把form的Viseble属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。
2.)在任务管理器里隐藏
查看正在运行的进程最简单的方法就是按下ctrl+alt+del时出现的任务管理器。如果你按下ctrl+alt+del后可以看见一个木马程序在运行,那么这肯定不是什么好的木马。所以,木马千方百计的伪装自己,使自己不出现在任务管理器里。木马发现把自己设为“系统服务”就可以轻松的骗过去。因此希望通过按ctrl+alt+del发现木马是不大现实的。
3.)端口
一台机器由65536个端口,你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下,不难发现,大多数木马使用的端口在1024以上,而且呈越来越大的趋势。当然也有占用1024以下端口的木马。但这些端口是常用端口,占用这些端口可能会造成系统不正常。这样的话,木马就会很容易暴露。也许你知道一些木马占用的端口,你或许会经常扫描这些端口,但现在的木马都提供端口修改功能,你有时间扫描65536个端口么?
4.)木马的加载方式隐蔽
木马加载的方式可以说千奇百怪,无奇不有。但殊途同归,都为了达到一个共同的目的,那就是使你运行木马的服务端程序。如果木马不加任何伪装。就告诉你这是木马,你会运行它才怪呢。而随着网站互动化进程的不断进步,越来越多的东西可以成为木马的传播介质,JavaScript、VBScript、ActiveX、XLM……..几乎www每一个新功能都会导致木马的快速进化。
5.)木马的命名
木马服务端程序的命名也有很大的学问。如果你不做任何修改的话,就使用原来的名字。谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪。不过大多是改为和系统文件名差不多的名字,如果你对系统文件不够了解,那可就危险了。例如有的木马把名字改为window.exe,如果不告诉你这是木马的话,你敢删除么?还有的就是更改一些后缀名,比如把dll改为dl等,你不仔细看的话,你会发现么?
6.)最新隐身技术
目前,除了以上所常用的隐身技术,又出现了一种更新、更隐蔽的方法。那就是修改虚拟设备驱动程序(vxd)或修改动态连接库(DLL)。这种方法与一般方法不同,它基本上摆脱了原有的木马模式—监听端口,而采用替代系统功能的方法(改写vxd或DLL文件),木马会将修改后的DLL替换系统已知的DLL,并对所有的函数调用进行过滤。对于常用的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特种情况,DLL会执行一些相应的操作。实际上这样的木马多只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到它,在正常运行时木马几乎没有任何症状,而一旦木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。
三、木马防范工具
防范木马可以使用防火墙软件和各种反黑软件,用它们筑起网上的马其诺防线,上网会安全许多。
网上防火墙软件很多,推荐使用“天网防火墙个人版”。它是一款完全的免费的软件,安装成功后,它就变成一面盾牌图表缩小到任务来的系统托盘里,并时刻监视黑客的一举一动,当有黑客入侵时,它就会自动报警,并显示入侵者的IP地址。
用鼠标双击盾牌图标,就会弹出天网的控制台,控制台上有“普通设置”、“高级设置”、“安全设置”、“检测”和“关于”五个标签。单击“普通设置”标签,会看到有局域网安全设置和互联网安全设置两个窗口。我们可以通过拖动滑块来分别设置他们的安全级别等级。在此建议普通用户选择“中”(关闭了所有的TCP端口服务,但UDP端口服务还开放着,别人无法通过端口的漏洞来入侵,它阻挡了几乎所有的蓝屏攻击和信息泄漏问题,并且不会影响普通网络软件的使用)
在控制台上点“高级设置”就可以手工选择是否取消“与网络连接”“ICMP”、“IGMP”、“TCP监听”、“UDP监听”和“NETBIOS”这几个选项。如果上网后有人想连接你的电脑,天网防火墙会将其自动拦截,并告警提示,同时在控制台的“安全纪录”里会将连接者的IP,协议,来源端口,防火墙采取的操作,时间记录等攻击信息显示出来。
在控制台的“检测”、“关于”标签里主要有安全漏洞的说明,防火墙软件的版本号、注册人的号码等信息。如果你受到攻击想立刻断开网络,点一下控制台上的“停”就可以了。
四、木马的查杀
木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
微信被发木马控制了怎么办?
微信被发木马控制了怎么办?推荐使用专用的杀毒软件进行检查。若怀疑手机中存在木马或者病毒,尝试按照以下步骤进行清除:
请尝试安装一款安全软件(例如:手机管家等)。以手机管家为例,打开手机管家,点击主界面上的一键体检即可自动检测手机中存在的问题,并且给出处理建议,点击一键清除即可删除病毒程序。
若重启手机发现病毒依然存在或者提示无法删除,请先获取ROOT权限再进行深度查杀,获取ROOT可以使用电脑端的一键ROOT工具进行。
我的电脑被木马病毒劫持了,怎么办?
1:杀软、防火墙被强制关闭
2:无法显示隐藏文件
3:无法进安全模式
4:搜索有关杀毒、病毒字眼立即自动关闭。
5:在每个盘下生成随机8位数字文件
如果你都符合,恭喜你不幸的中了当下最流行的av终结者
解决方法:(下面第4步必看)
(注:据网友反映,须多扫描几次,一次肯定不够)-非常重要
如果无法自己从上面下载专杀,请按下面方法做:
第1步:用朋友电脑登陆上面网址下载专杀工具
第2步:在朋友电脑上开启安全卫士()保护下u盘免疫,避免朋友电脑被感染,再用u盘或移动硬盘拷到你电脑上。
第3步:执行AV终结者专杀工具,清除已知的病毒,修复被破坏的系统配置。
第4步:不要立即重启电脑,请先启动杀毒软件,升级最新病毒库,进行全盘扫描。以清除木马下载器下载的其它病毒。
安全模式下杀毒
最好的专杀木马广告特效软件ewido 7.5(已破解!保证升级不反弹,看清楚安装说明再安装啰)
遇到杀不落的一是右键点击删除,二是就按它提供的路径手工删除它或(运行regedit)删除键值即可
;pn=0.html
电脑被木马攻击了 怎么办 杀不出毒来怎么办
经常上网的你可能都遇到过发现木马病毒却无法杀掉的情况,其实并不是杀毒软件无能,而是病毒和木马总是先杀毒软件一步,病毒和木马技术也是也是计算机行业最先进的技术代表,如果杀毒软件没有检测过或者收到过这个木马病毒的样本,并且这个木马或者病毒的行为和之前的木马和病毒不一样,那么杀毒软件就不会有对策,比方说将自己隐藏在系统进程里,并且没有特殊的的条件不予激活,那么这个木马或者病毒就看起来是一个安分守己的程序。这就是很多时候实际上我们的电脑并不干净,虽然用杀毒软件没有发现木马或病毒。
但是,有时候,我们确实会遇到能够查到木马病毒却无法删除的情况。这种主要是四种原因:
1、木马或者病毒文件“绑架”了程序的核心进程或文件,杀毒软件无法下手(此种情况居多,若下手就有可能是误杀了);
2、木马或病毒禁止了杀毒软件的某些核心进程或已将杀毒软件禁用;(此种情况也不少,不少木马程序对于国内的杀毒软件就是这么干的)
3、杀毒软件收到了这种病毒的样本,却还没有找到解决的办法;
4、杀毒软件的主动防御机制发现了这个文件的异常行为,并且和以上3条中的某一条相结合;
但是,对于用户的我们如果真的遇到这种查到病毒无法清除的情况怎么办?
对于那些隐藏的比较深的木马或病毒,只有靠对计算机的熟悉程度,经常关注系统的进程来发现;
对于那些能够查到但无法清除的情况反而比较好办了,你可以试试有图给你提供的以下方法。
1、使用木马病毒专杀工具试试。既然能查到病毒的名称,不妨搜索一下是否有专杀软件,金山和瑞星喜欢出专杀工具,360也有不错的木马专杀工具。
2、更换一个杀毒软件。如果当前你的杀毒软件遇到了杀不掉的木马病毒,建议你卸掉当前的杀毒软件(如果你愿意),然后安装其他的杀毒软件试试,特别是比较严格的卡巴斯基或者nod32,并且更新到最新的病毒库查杀一下试试。(很多杀毒软件都可以可以免费试用)
3、手工查杀。比较麻烦,漫漫看。
第一步、查找木马病毒文件。
启动计算机后,按Ctr+Alt+Del或右键单击“任务栏”空白处,选择“任务管理器”,找到进程,看到可疑进程在网上查一下来历,如果嫌疑身份没有排除,就查找位置,如果在windows目录下或者Windows\system32目录下,就更可疑了,如果碰巧和我们杀毒软件查到的是同一个文件,那就可以确信无疑了。记录下他们的详细位置,后面用得到。
第二步、去掉木马病毒自动运行。
如果是Windows Xp、vista、windows7可以 在开始菜单“运行”栏输入“msconfig”,进入启动项管理,如果找不到运行,可以按键盘上的windows徽标小旗帜加 R 键,只留下杀毒软件进程,或者更彻底一些,你可以将所有的对勾都去掉。
第三步、删除木马病毒。
重新启动计算机按F8进入安全模式,逐个寻找在第一步中记录的病毒文件位置,逐个删除(特别提醒:删除有可能造成不测,请慎重,对文件要确认是高度嫌疑文件之后再删除),如果无法删除,可以尝试使用attrib命令在命令行去掉文件各种属性,然后就可以删除了。
第四步、善后工作。
1)、重新启动计算机,如果提示有什么文件找不到,进入注册表(regedit),查找这些文件名称,逐个清空。注意,不是删除相关的项目,而是清空和这些文件相关的项目,例如如果病毒文件绑架核心进程 explorer.exe 那么在注册表中就会在相关的explorer.exe后面加上病毒的名称,以随explorer的启动而自动启动,我们需要清除的是和病毒有关的内容,所以不能将explorer的值也清除掉,这样会造成无法见到桌面。
2)、进入启动项msconfig,将原来正常的进程重新打勾。
3)、重新扫描计算机。
以上木马病毒清除方法只对计算机熟悉者有效,不熟悉者请勿模仿,以免给你带来不便。特别是注册表和文件删除,一不小心就可能造成无法启动。
电脑中木马病毒被控制会怎么样?
可以通过以下方法判断电脑是否被别人远程控制以及被控制的情况:
1、网络人远程控制软件需要双方电脑手动安装软件:如果怀疑电脑被远程控制,先想一下电脑有自己安装了网络人软件了,由于正规的远程控制软件是需要双方都安装,不能通过木马的方式发送一个东西点击之后自动在电脑安装运行。
2、网络人远程控制软件免杀:如果怀疑自己的电脑被远程控制,如果是木马病毒,直接使用杀毒软件进行全盘查杀。
3、网络人远程控制软件可以设置隐蔽监控对方电脑屏幕:如果怀疑电脑被远程控制,由于很多用户会使用服务方式启动来确保每次电脑重启之后软件自启动,而360会将所有不是系统自启动的程序列出来,可以到那里去看一下,清除不需要自启动的程序即可。这个并不是指针对于网络人远程控制软件,其他软件也是如此。
电脑被木马控制了怎么办?
开机按F8进安全模式杀毒更加彻底有效!
1.用“360系统急救箱”“360顽固木马专杀”先“查杀”木马病毒,修复系统!再删除后,“立即重启”!它对各类流行的顽固木马查杀效果极佳,能够强力清除木马和可疑程序,并修复被感染的系统文件,抑制木马再生,修复系统功能!
2
再用“360杀毒四引擎版”,“全盘扫描”,病毒木马,再点删除!
3
在用360安全卫士修复漏洞!应该就可以了!