本文目录一览:
怎么样才能查杀到隐藏在电脑里的木马病毒?
建议下载 360杀毒+360安全卫士+360保险箱+360ARP防火墙+360安全浏览器+优化大师+超级兔子魔法设置+驱动人生. 我介绍下我建议的安全配置,安装好就可以免除病毒之苦!(以下软件,全部终身无条件免费)360杀毒:1,360杀毒承诺一切下载、升级完全免费. 2,您可能已经购买或安装了其他杀毒软件,但是还想能对病毒多一道防护,而大部分杀毒软件之间是不能共存的,不能共存的主要原因是实时防护功能的冲突,同时实时防护功能也会消耗较多系统资源。360杀毒绿色版为了能让更多用户能流畅体验我们的产品,在保持强大的查杀能力的同时,特别去掉了实时防护功能。360杀毒能与其他杀毒软件和谐共存,无冲突运行,为您的电脑安全提供另外一个优秀选择。3,360杀毒绿色版采用了更智能的系统资源申请技术,占用的系统资源可自适应调整,让您的系统运行更流畅。4,360杀毒由360安全中心及BitDefender联合出品。BitDefender在全球市场屡获好评,拥有全球领先的病毒查杀技术及最大的病毒特征库,加上360安全中心的快速响应,能实现病毒特征库的小时级更新。官方网下载地址 360安全卫士:1.全新的体检模式,安全隐患一网打尽2.优化补丁下载速度,修复漏洞更快捷3.全新软件管理,软件下载更安全更便捷4.内附360保险箱,远离帐号问题的困扰5.全新360求助中心,问题解决更快、更方便6.360文件知识库智能查询.官方下载地址 360保险箱:360保险箱是360安全中心推出的帐号密码安全保护软件,完全免费,采用的主动防御技术,可以阻止盗号木马对网游、聊天等程序的侵入,主要帮助用户保护网游帐号、聊天帐号、网银帐号、炒股帐号等,防止由于帐号丢失导致的虚拟资产和真实资产受到损失。与360安全卫士配合使用,保护效果加倍!(不需下载,360安全卫士自带) 360ARP防火墙:1,内核层双向拦截本机和外部ARP攻击,及时查杀ARP木马。2、精准追踪攻击源IP,方便网管及时查询攻击源。3、拦截DNS欺骗、网关欺骗、IP冲突等多种攻击。(不需下载,360安全卫士自带) 360安全浏览器:智能拦截恶意网站和钓鱼网站,下载文件即时扫描,百毒不侵的[超强安全模式],体积轻巧功能丰富,媲美同类多窗口浏览器。官方下载网址 优化大师:Windows优化大师是一款功能强大的系统辅助软件,它提供了全面有效且简便安全的系统检测、系统优化、系统清理、系统维护四大功能模块及数个附加的工具软件。使用Windows优化大师,能够有效地帮助用户了解自己的计算机软硬件信息;简化操作系统设置步骤;提升计算机运行效率;清理系统运行时产生的垃圾;修复系统故障及安全漏洞;维护系统的正常运转。官方下载网址 超级兔子魔法设置:超级兔子是一个完整的系统维护工具,可能清理你大多数的文件、注册表里面的垃圾,同时还有强力的软件卸载功能,专业的卸载可以清理一个软件在电脑内的所有记录。共有9大组件,可以优化、设置系统大多数的选项,打造一个属于自己的Windows。超级兔子上网精灵具有IE修复、IE保护、恶意程序检测及清除工能,还能防止其它人浏览网站,阻挡色情网站,以及端口的过滤。超级兔子系统检测可以诊断一台电脑系统的CPU、显卡、硬盘的速度,由此检测电脑的稳定性及速度,还有磁盘修复及键盘检测功能。超级兔子进程管理器具有网络、进程、窗口查看方式,同时超级兔子网站提供大多数进程的详细信息,是国内最大的进程库。超级兔子安全助手可能隐藏磁盘、加密文件,超级兔子系统备份是国内唯一能完整保存Windows XP/2003/Vista注册表的软件,彻底解决系统上的问题。官方下载网址 驱动人生:驱动人生是一款免费的驱动管理软件,实现智能检测硬件并自动查找安装驱动,为用户提供最新驱动更新,本机驱动备份、还原和卸载等功能。软件界面清晰,操作简单,设置人性化等优点,大大方便广大机友管理自己的电脑的驱动程序。驱动人生支持所有品牌(如Intel、nVidia/3DFX、AMD/ATI、VIA/S3、Realtek、C-Media、Marvell、ADI、IBM、Creative、Broadcom、Conexant、 SigmaTel、Matrox等)的主板、显卡、声卡、网卡、调制解调器、摄像头、无线、打印机、扫描仪、读卡器、阵列卡、蓝牙、手写板、读写器、USB、1394、Bluetooth、Display、Image、MEDIA、Modem、Net、PCMCIA、SCSIAdapter、 SmartCardReader、System、MODEM、串口、并口等设备的识别与驱动。官方下载网址 如果不行就加我Q:412141392反对盗版,严禁盗版,盗版枪毙! 骷髏_丶/kl 亲笔
怎么查找 电脑里的隐藏木马
有以下几种常见的查询木马方式:
一、通过启动文件检测木马
1、一旦电脑中了木马,则在电脑开机时一般都会自动加载木马文件,由于木马的隐藏性比较强,在启动后大部分木马都会更改其原来的文件名。
2、如果用户对电脑的启动文件非常熟悉,则可以从Windows系统自动加载文件中分析木马的存在并清除木马,这种方式是最有效、最直接的检测木马方式。
3、但是,由于木马自动加载的方法和存放的文职比较多,这种方法对于不太懂电脑的人来说比较有难度
二、通过进程检测木马
1、由于木马也是一个应用程序,一旦运行,就会在电脑系统的内存中驻留进程。因此,我们可以通过系统自带的【Windows 任务管理器】来检测系统中是否存在木马进程
2、在Windows系统中,按下【Ctrl+Alt+Delete】组合键,打开【Windows任务管理器】窗口,选择【进程】选项卡,查看列表 中是否存在可以的木马程序。
3、如果存在可疑进程,选中此进程并右击,从弹出的快捷菜单中选择【结束进程】即可结束词进程。
三、通过网络连接检测木马
1、木马的运行通常是通过网络连接实现的,因此,用户可以通过分析网络连接来推测木马是否存在,最简单的办法是利用Windows自带的Netstat命令。
2、选择“开始”-“运行”菜单项,打开“运行”对话框,单击“确定”按钮,打开“命令提示符”窗口。
3、在“命令提示符”窗口中输入“netstat -a”,按“Enter”键,在其运行结果中查看有哪些可以的运行程序来判断木马文件。
win7系统如何找到隐藏的木马病毒
具体方法如下:
1、集成到程序中
其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
2、隐藏在配置文件中
木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中
木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。
解决方法:大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:/windows/file.exe load=c:/windows/file.exe
4、伪装在普通文件中
对于不熟练的windows操作者,很容易上当。
解决方法:把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了。
5、内置到注册表中
注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马哦:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;
HKEY-USERS/.Default/Software/Microsoft/Windows/CurrentVersion下所有以“run”开头的键值。
按照上述五种方法操作win7系统可以找到隐藏的木马病毒,保护系统电脑安全。
怎么从进程中找出病毒和木马
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。 但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
一、病毒进程隐藏三法
当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
1.1 以假乱真
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现 过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别 了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字 之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个 iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
1.2 偷梁换柱
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为 svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件 这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000则是 C:WINNTsystem32目录),如果病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后,我们在“任务管理器” 中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
1.3 借尸还魂
除了上文中的两种方法外,病毒还有一招终极********借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件 插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困 难的。
二、系统进程解惑
上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
2.1 svchost.exe
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为 了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序 指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook” 服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可 以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。
在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进 程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果 svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进 程管理功能,查看svchost.exe的可执行文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。
2.2 explorer.exe
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们 经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任 务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理 计算机中的资源。
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:Windows”目录,除此之外则为病毒。
如何找出电脑中隐藏的木马?
需要你有电脑功底哦自己动手检查: 木马程序是一种程序,它能提供一些有用的,或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能,例如在你不了解的情况下拷贝文件或窃取你的密码。 RFC1244(Request for Comments:1244)中是这样描述木马的:“木马程序是一种程序,它能提供一些有用的,或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能,例如在你不了解的情况下拷贝文件或窃取你的密码。”随着互联网的迅速发展,木马的攻击、危害性越来越大。木马实质上是一个程序,必须运行后才能工作,所以会在进程表、注册表中留下蛛丝马迹,我们可以通过“查、堵、杀”将它“缉拿归案”。 查 1.检查系统进程 大部分木马运行后会显示在进程管理器中,所以对系统进程列表进行分析和过滤,可以发现可疑程序。特别是利用与正常进程的CPU资源占用率和句柄数的比较,发现异常现象。 2.检查注册表、ini文件和服务 木马为了能够在开机后自动运行,往往在注册表如下选项中添加注册表项: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 木马亦可在Win.ini和System.ini的“run=”、“load=”、“shell=”后面加载,如果在这些选项后面加载程序是你不认识的,就有可能是木马。木马最惯用的伎俩就是把“Explorer”变成自己的程序名,只需稍稍改“Explorer”的字母“l”改为数字“1”,或者把其中的“o”改为数字“0”,这些改变如果不仔细观察是很难被发现。 在Windwos NT/2000中,木马会将自己作为服务添加到系统中,甚至随机替换系统没有启动的服务程序来实现自动加载,检测时要对操作系统的常规服务有所了解。 3.检查开放端口 远程控制型木马以及输出Shell型的木马,大都会在系统中监听某个端口,接收从控制端发来的命令,并执行。通过检查系统上开启的一些“奇怪”的端口,从而发现木马的踪迹。在命令行中输入Netstat na,可以清楚地看到系统打开的端口和连接。也可从 下载Fport软件,运行该软件后,可以知道打开端口的进程名,进程号和程序的路径,这样为查找“木马”提供了方便之门。 4.监视网络通讯 对于一些利用ICMP数据通讯的木马,被控端没有打开任何监听端口,无需反向连接,不会建立连接,采用第三种方法检查开放端口的方法就行不通。可以关闭所有网络行为的进程,然后打开Sniffer软件进行监听,如此时仍有大量的数据,则基本可以确定后台正运行着木马。 堵 1.堵住控制通路 如果你的网络连接处于禁用状态后或取消拨号连接,反复启动、打开窗口等不正常现象消失,那么可以判断你的电脑中了木马。通过禁用网络连接或拔掉网线,就可以完全避免远端计算机通过网络对你的控制。当然,亦可以通过防火墙关闭或过滤UDP、TCP、ICMP端口。 2.杀掉可疑进程 如通过Pslist查看可疑进程,用Pskill杀掉可疑进程后,如果计算机正常,说明这个可疑进程通过网络被远端控制,从而使计算机不正常。 杀 1.手工删除 对于一些可疑文件,不能立即删除,有可能由于误删系统文件而使计算机不能正常工作。首先备份可疑文件和注册表,接着用Ultraedit32编辑器查看文件首部信息,通过可疑文件里面的明文字符对木马有一个大致了解。当然高手们还可以通过W32Dasm等专用反编译软件对可疑文件进行静态分析,查看文件的导入函数列表和数据段部分,初步了解程序的主要功能。最后,删除木马文件及注册表中的键值。 2.软件杀毒 由于木马编写技术的不断进步,很多木马有了自我保护机制。普通用户最好通过专业的杀毒软件如瑞星、金山毒霸等软件进行杀毒,对于杀毒软件,一定要及时更新,并通过病毒公告及时了解新木马的预防和查杀绝技,或者通过下载专用的杀毒软件进行杀毒(如近期的冲击波病毒各大公司都开发了查杀工具)。