如何清除盗号木马
网络中肆无忌惮泛滥的木马盗取网络交易账号、获取用户私密信息以谋取利益,一般用户往往由于对木马不够了解和对安全防范麻痹大意,造成严重的后果。许多人都有中木马的经受,那么中了木马怎么去除,平常怎么防护,请看下面的文章。
怎么推断中了木马
病人:木马危害实在太大了,那我怎么知道自己的电脑中了木马呢?
医生:电脑中了木马后,有时候会有一些特殊典型的症状,比方杀毒软件自动关闭、电脑运行速度变慢、经常有一些生疏网页窗口弹出、系统中某些程序无法运行等;也有时候症状并不明显,不过我们可以通过一些蛛丝马迹来初步分析电脑是否中了木马,比方查看“任务管理器”是否有不熟识的进程〔一旦觉察则到网上进行搜寻看是否是病毒程序〕,从系统文件夹、注册表、启动程序等查看是否有可疑的文件或项目。
下面我们以感染了近期比较活跃的SoundMan木马的电脑为例来了解一下木马的一些常见行为。
小学问:SoundMan木马
SoundMan木马是利用Realtek声卡相关程序以及图标迷惑用户的一款“网游木马下载器”,它
怎么推断中了木马
病人:木马危害实在太大了,那我怎么知道自己的电脑中了木马呢?
医生:电脑中了木马后,有时候会有一些特殊典型的症状,比方杀毒软件自动关闭、电脑运行速度变慢、经常有一些生疏网页窗口弹出、系统中某些程序无法运行等;也有时候症状并不明显,不过我们可以通过一些蛛丝马迹来初步分析电脑是否中了木马,比方查看“任务管理器”是否有不熟识的进程〔一旦觉察则到网上进行搜寻看是否是病毒程序〕,从系统文件夹、注册表、启动程序等查看是否有可疑的文件或项目。
下面我们以感染了近期比较活跃的SoundMan木马的电脑为例来了解一下木马的一些常见行为。
小学问:SoundMan木马
SoundMan木马是利用Realtek声卡相关程序以及图标迷惑用户的一款“网游木马下载器”,它
除了具备一般木马能够屏蔽显示隐藏文件的功能外,还可以用替换服务等方式启动自身,并具有结束杀毒软件和在后台下载大量网游木马的功能。
1.隐藏文件已经无法显示
打开一个文件夹,在上方菜单中选择“工具/文件夹选项”,在“查看”中勾选“显示全部文件和文件夹”,并去掉“隐藏已知文件类型的扩展名”前面的勾。经过这样的操作后,隐藏文件还是无法显示。
提示:一旦觉察设置了“显示全部文件和文件夹”,而系统仍无法显示隐藏文件的话,确定要引起足够的重视,极有可能有木马入侵。
2.查看System32文件夹
进入System32文件夹中〔假设Windows XP安装在C盘〕,可以觉察木马创建了、、tthh3.ini这三个文件〔编注:之前我们已经对显示隐藏文件做了处理〕。
提示:木马一般会在系统文件夹System32中释放病毒文件以及相关的ini文件,假如怀疑中了木马,留意检查此文件夹中那些在出现中毒症状前后所创建的文件。
1.隐藏文件已经无法显示
打开一个文件夹,在上方菜单中选择“工具/文件夹选项”,在“查看”中勾选“显示全部文件和文件夹”,并去掉“隐藏已知文件类型的扩展名”前面的勾。经过这样的操作后,隐藏文件还是无法显示。
提示:一旦觉察设置了“显示全部文件和文件夹”,而系统仍无法显示隐藏文件的话,确定要引起足够的重视,极有可能有木马入侵。
2.查看System32文件夹
进入System32文件夹中〔假设Windows XP安装在C盘〕,可以觉察木马创建了、、tthh3.ini这三个文件〔编注:之前我们已经对显示隐藏文件做了处理〕。
提示:木马一般会在系统文件夹System32中释放病毒文件以及相关的ini文件,假如怀疑中了木马,留意检查此文件夹中那些在出现中毒症状前后所创建的文件。
郑中基余思敏3.查看用户账户
单击“开始/设置/把握面板”,双击“用户账户”,假如觉察电脑中的Guest账户无故被激活,或是多出其它的生疏账号,例如名为Microsoft的账户,也要提高警惕,这也是感染木马的一个典型特征。
4.查看auto文件
当系统中了木马后,只要有新的可移动存储接入,此木马便会写入和autorun.inf 文件,所以我们在鼠标右键菜单中觉察有auto、autorun任何一个选项,或是在移动硬盘或闪存根名目下查看觉察和autorun.inf 这两个文件,则证明中毒。
提示:如今的木马一般都会利用移动存储设置的自动播放功能进行病毒的写入和传播,所以假如在硬盘分区以及移动存储设备根名目下觉察和autorun.inf 这两个文件,则电脑与移动硬盘都已经中毒。
除了检查上面那些地方外,我们还可以从以下几个木马宠爱宠爱藏身的地方来查蛛丝马迹。
一是从“Win.ini”文件推断是否中毒。利用记事本打开“C:\Windows”名目下的Win.ini文件。哈林个人资料
单击“开始/设置/把握面板”,双击“用户账户”,假如觉察电脑中的Guest账户无故被激活,或是多出其它的生疏账号,例如名为Microsoft的账户,也要提高警惕,这也是感染木马的一个典型特征。
4.查看auto文件
当系统中了木马后,只要有新的可移动存储接入,此木马便会写入和autorun.inf 文件,所以我们在鼠标右键菜单中觉察有auto、autorun任何一个选项,或是在移动硬盘或闪存根名目下查看觉察和autorun.inf 这两个文件,则证明中毒。
提示:如今的木马一般都会利用移动存储设置的自动播放功能进行病毒的写入和传播,所以假如在硬盘分区以及移动存储设备根名目下觉察和autorun.inf 这两个文件,则电脑与移动硬盘都已经中毒。
除了检查上面那些地方外,我们还可以从以下几个木马宠爱宠爱藏身的地方来查蛛丝马迹。
一是从“Win.ini”文件推断是否中毒。利用记事本打开“C:\Windows”名目下的Win.ini文件。哈林个人资料
在文件的[windows]字段中查启动指令“load=”和“run=”后面是否跟有程序,在一般状况下“=”后面是空白的,假如在“=”号后面跟着程序〔图2〕,那一般是中了木马病毒。注册苹果id账号
二是从“System.ini”文件推断是否中毒。利用记事本方式打开位于“C:\Windows”名目下的“System.ini”文件,假如觉察[boot]字段中“”后添加了程序,一般都是木马服务端程序。另外,在System.ini中的[386Enh]字段,要留意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,它们起到加载驱动程序的作用,但也是添加木马程序的好场所,所以也需要进行检查。
三是打开注册表编辑器进行查。木马一般会利用注册表中的Run、RunServices、RunOnce等子项来加载,在“开始”/“运行”中输入“regedit”进入注册表编辑器,在以下几个地方进行查看。
〔1〕注册表中的启动项
查看“HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion”下的RunServices、RunServices Once、Run、RunOnce以及 “HKEY_CURRENT_USER\Soft
二是从“System.ini”文件推断是否中毒。利用记事本方式打开位于“C:\Windows”名目下的“System.ini”文件,假如觉察[boot]字段中“”后添加了程序,一般都是木马服务端程序。另外,在System.ini中的[386Enh]字段,要留意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,它们起到加载驱动程序的作用,但也是添加木马程序的好场所,所以也需要进行检查。
三是打开注册表编辑器进行查。木马一般会利用注册表中的Run、RunServices、RunOnce等子项来加载,在“开始”/“运行”中输入“regedit”进入注册表编辑器,在以下几个地方进行查看。
〔1〕注册表中的启动项
查看“HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion”下的RunServices、RunServices Once、Run、RunOnce以及 “HKEY_CURRENT_USER\Soft
ware\Microsoft\Windows\CurrentVersion”下的RunServices、Run、RunOnce下是否有可疑项目。
假如觉察其中加载了一些生疏程序到系统文件夹中,那么则可能中了木马病毒。
〔2〕文件关联键
有些木马还会通过修改注册表中的某一类型文件的键值来加载程序。检查“HKEY_CLASSES_ROOT\XXX〔编注:这里的XXX可以是exefile、comfile、batfile、htafile、piffile〕\shell\open\command”子键中“默认”值:““%1” %*”;检查“HKEY_LOCAL_MACHINE\Software\CLASSES\ XXX〔编注:这里的XXX可以是exefile、comfile、batfile、htafile、piffile〕\shell\open\command”子键中“默认”值:““%1” %*”。
这些“%1 %*”可以被赋值,假如觉察默认值被修改,例如病毒木马将其改为“ %1 %*”,则可能中毒。
横扫网络木马
病人:我已经中了木马,应当怎么去除?
医生:假如电脑系统分区中没有重要数据,那么利用备份及一键恢复直接重新恢复系统是
假如觉察其中加载了一些生疏程序到系统文件夹中,那么则可能中了木马病毒。
〔2〕文件关联键
有些木马还会通过修改注册表中的某一类型文件的键值来加载程序。检查“HKEY_CLASSES_ROOT\XXX〔编注:这里的XXX可以是exefile、comfile、batfile、htafile、piffile〕\shell\open\command”子键中“默认”值:““%1” %*”;检查“HKEY_LOCAL_MACHINE\Software\CLASSES\ XXX〔编注:这里的XXX可以是exefile、comfile、batfile、htafile、piffile〕\shell\open\command”子键中“默认”值:““%1” %*”。
这些“%1 %*”可以被赋值,假如觉察默认值被修改,例如病毒木马将其改为“ %1 %*”,则可能中毒。
横扫网络木马
病人:我已经中了木马,应当怎么去除?
医生:假如电脑系统分区中没有重要数据,那么利用备份及一键恢复直接重新恢复系统是
最简洁的方法。假如无法这样做,可以用一些工具软件来关心清理木马。
目前很多木马病毒,譬如本例中的能够删除安全软件的启动项目、劫持安全/杀毒软件,并且连接网络下载其它木马及病毒。所以首先要做的就是删除注册表的启动项、修复被劫持的杀毒软件/安全软件,然后利用杀毒软件或专杀工具来去除木马。
下载SREng软件并更改名称运行,首先对注册表中的RUN键进行修复,选择“系统修复”选项中的“注册表”选项卡,删除未知的启动项目,比方路径为系统文件夹〔C:\win dows\system32或C:\winnt\system32〕中的木马病毒程序启动项〔图3〕。
提示:除了“注册表”启动项外,我们最好进入 “启动项目”中的“Win.ini”、“System.ini”等选项中进行查看并去除相关联的病毒加载项,以免病毒死灰复燃。
然后再选择“系统修复”中的“文件关联”选项,勾选错误的文件关联,单击“修复”按钮,修复被木马病毒劫持的程序,包括杀毒软件和一些安全工具等。
为了防止激活木马,在“系统修复”的“高级修复”选项中单击下方“修复安全模式”对电脑安全模式进行修复,最终进入到安全模式下进行杀毒软件病毒库的更新及病毒查杀,同时下载
目前很多木马病毒,譬如本例中的能够删除安全软件的启动项目、劫持安全/杀毒软件,并且连接网络下载其它木马及病毒。所以首先要做的就是删除注册表的启动项、修复被劫持的杀毒软件/安全软件,然后利用杀毒软件或专杀工具来去除木马。
下载SREng软件并更改名称运行,首先对注册表中的RUN键进行修复,选择“系统修复”选项中的“注册表”选项卡,删除未知的启动项目,比方路径为系统文件夹〔C:\win dows\system32或C:\winnt\system32〕中的木马病毒程序启动项〔图3〕。
提示:除了“注册表”启动项外,我们最好进入 “启动项目”中的“Win.ini”、“System.ini”等选项中进行查看并去除相关联的病毒加载项,以免病毒死灰复燃。
然后再选择“系统修复”中的“文件关联”选项,勾选错误的文件关联,单击“修复”按钮,修复被木马病毒劫持的程序,包括杀毒软件和一些安全工具等。
为了防止激活木马,在“系统修复”的“高级修复”选项中单击下方“修复安全模式”对电脑安全模式进行修复,最终进入到安全模式下进行杀毒软件病毒库的更新及病毒查杀,同时下载
木马病毒的专杀工具对木马及病毒进行扫描去除。
提示:除了利用SREng软件进行修复 ,我们还可以利用小工具包来进行系统修复,小工具包在电脑报网站2.cpcw/bzsoft/进行下载,打开工具包后,双击恢复显示隐藏文件.REG导入注册表,再打开Icesword软件,去除系统文件夹中的病毒文件、使用IFEO映像劫持修复工具修复被劫持的杀毒软件及安全软件,最终就是用杀毒软件进行查杀。小工具下载下来后改名后再使用,以免被木马病毒劫持。叶倩文 写真
如何预防木马
病人:木马虽然已经去除了,但是我怎么避开以后电脑再被木马侵袭呢?
医生:为了更好的爱惜系统不受到破坏,打好我们的网游账号保卫战,除了为一个完全干净无毒系统做个备份,我们还可以通过以下的方法来进行网游木马的预防。
赵文卓主演的电影 1.必需安装杀毒软件及防火墙,并对其进行升级,相应系统补丁也要随时更新,还要定期进行病毒木马扫描。
2.安装游戏账号爱惜软件
目前有很多特地针对网游账号爱惜的安全工具,它们实行的原理不同,但对游戏账号都有确定的爱惜作用,条件允许的状况下可安装这样的爱惜软件。如何选择,可参考本期F7版
提示:除了利用SREng软件进行修复 ,我们还可以利用小工具包来进行系统修复,小工具包在电脑报网站2.cpcw/bzsoft/进行下载,打开工具包后,双击恢复显示隐藏文件.REG导入注册表,再打开Icesword软件,去除系统文件夹中的病毒文件、使用IFEO映像劫持修复工具修复被劫持的杀毒软件及安全软件,最终就是用杀毒软件进行查杀。小工具下载下来后改名后再使用,以免被木马病毒劫持。叶倩文 写真
如何预防木马
病人:木马虽然已经去除了,但是我怎么避开以后电脑再被木马侵袭呢?
医生:为了更好的爱惜系统不受到破坏,打好我们的网游账号保卫战,除了为一个完全干净无毒系统做个备份,我们还可以通过以下的方法来进行网游木马的预防。
赵文卓主演的电影 1.必需安装杀毒软件及防火墙,并对其进行升级,相应系统补丁也要随时更新,还要定期进行病毒木马扫描。
2.安装游戏账号爱惜软件
目前有很多特地针对网游账号爱惜的安全工具,它们实行的原理不同,但对游戏账号都有确定的爱惜作用,条件允许的状况下可安装这样的爱惜软件。如何选择,可参考本期F7版
的评测。
3.通过注册表设置,阻挡病毒通过IFEO劫持杀毒软件,具体操作方法:单击“开始”“运行”,在指令行中输入regedt32,到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options,右键单击此选项,在弹出的菜单中选择“权限”,然后把Administrors用户组和Users用户组的权限全部取消。
利用注册表限制IFEO的读写权限
总结
养成安全的电脑操作习惯+严密的安全设置+定期检查这三大强效药剂,我们完全可以让病毒木马远离自己的电脑系统,玩网络游戏时再也不用担忧和木马亲热接触!但是由于杀毒软件以及安全工具的设置及使用需要确定的电脑基础,整个木马产业链由于缺少相关法律有效的监控而进展的越来越大,导致许多对电脑安全设置不熟识的用户遭受木马侵袭围剿,用户的私密信息一旦被不法分子把握,将会给用户造成严重的后果。我们呼吁除了电
3.通过注册表设置,阻挡病毒通过IFEO劫持杀毒软件,具体操作方法:单击“开始”“运行”,在指令行中输入regedt32,到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options,右键单击此选项,在弹出的菜单中选择“权限”,然后把Administrors用户组和Users用户组的权限全部取消。
利用注册表限制IFEO的读写权限
总结
养成安全的电脑操作习惯+严密的安全设置+定期检查这三大强效药剂,我们完全可以让病毒木马远离自己的电脑系统,玩网络游戏时再也不用担忧和木马亲热接触!但是由于杀毒软件以及安全工具的设置及使用需要确定的电脑基础,整个木马产业链由于缺少相关法律有效的监控而进展的越来越大,导致许多对电脑安全设置不熟识的用户遭受木马侵袭围剿,用户的私密信息一旦被不法分子把握,将会给用户造成严重的后果。我们呼吁除了电
脑用户加强自身的电脑安全意识和技能外,还需要国家法律以及网络监管部门一起携手,共同打造一个安全的网络环境!
发布评论