木马的检测、清除与防范
生活随笔
收集整理的這篇文章主要介紹了
木马的检测、清除与防范
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
木馬程序不同于病毒程序,通常并不象病毒程序那樣感染文件。木馬一般是以尋找后門、竊取密碼和重要文件為主,還可以對電腦進行跟蹤監視、控制、查看、修改資料等操作,具有很強的隱蔽性、突發性和攻擊性。由于木馬具有很強的隱蔽性,用戶往往是在自己的密碼被盜、機密文件丟失的情況下才知道自己中了木馬。在這里將介紹如何檢測自己的機子是否中了木馬,如何對木馬進行清除和防范。
木馬檢測
1、查看開放端口
當前最為常見的木馬通常是基于TCP/UDP協議進行Client端與Server端之間的通訊的,這樣我們就可以通過查看在本機上開放的端口,看是否有可疑的程序打開了某個可疑的端口。例如冰河使用的監聽端口是7626,Back Orifice 2000使用的監聽端口是54320等。假如查看到有可疑的程序在利用可疑端口進行連接,則很有可能就是中了木馬。查看端口的方法有幾種:
(1)使用Windows本身自帶的netstat命令
C:>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:113 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1230 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1232 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1239 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1740 0.0.0.0:0 LISTENING
TCP 127.0.0.1:5092 0.0.0.0: LISTENING
TCP 127.0.0.1:5092 127.0.0.1:1748 TIME_WAI
TCP 127.0.0.1:6092 0.0.0.0:0 LISTENING
UDP 0.0.0.0:69 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1703 *:*
UDP 0.0.0.0:1704 *:*
UDP 0.0.0.0:4000 *:*
UDP 0.0.0.0:6000 *:*
UDP 0.0.0.0:6001 *:*
UDP 127.0.0.1:1034 *:*
UDP 127.0.0.1:1321 *:*
UDP 127.0.0.1:1551 *:*
(2)使用windows2000下的命令行工具fport
E:software>Fport.exe
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto Path
420 svchost -> 135 TCP E:WINNTsystem32svchost.exe
8 System -> 139 TCP
8 System -> 445 TCP
768 MSTask -> 1025 TCP E:WINNTsystem32MSTask.exe
8 System -> 1027 TCP
8 System -> 137 UDP
8 System -> 138 UDP
8 System -> 445 UDP
256 lsass -> 500 UDP E:WINNTsystem32lsass.exe
(3)使用圖形化界面工具Active Ports
這個工具可以監視到電腦所有打開的TCP/IP/UDP端口,還可以顯示所有端口所對應的程序所在的路徑,本地IP和遠端IP(試圖連接你的電腦IP)是否正在活動。這個工具適用于Windows NT/2000/XP平臺。
2、查看win.ini和system.ini系統配置文件
查看win.ini和system.ini文件是否有被修改的地方。例如有的木馬通過修改win.ini文件中windows節 的“load=file.exe ,run=file.exe”語句進行自動加載。此外可以修改system.ini中的boot節,實現木馬加載。例如 “妖之吻” 病毒,將“Shell=Explorer.exe” (Windows系統的圖形界面命令解釋器)修改成“Shell=yzw.exe”,在電腦每次啟動后就自動運行程序yzw.exe。修改的方法是將“shell=yzw.exe”還原為“shell=explorer.exe”就可以了。
3、查看啟動程序
如果木馬自動加載的文件是直接通過在Windows菜單上自定義添加的,一般都會放在主菜單的“開始->程序->啟動”處,在Win98資源管理器里的位置是“C:windowsstart menuprograms啟動”處。通過這種方式使文件自動加載時,一般都會將其存放在注冊表中下述4個位置上: ??
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerShell Folders ?
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerUser Shell Folders
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
ExplorerUser Shell Folders?
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
ExplorerShell Folders
檢查是否有可疑的啟動程序,便很容易查到是否中了木馬。
在Win98系統下,還可以直接運行Msconfig命令查看啟動程序和system.ini、win.ini、autoexec.bat等文件。
4、查看系統進程
木馬即使再狡猾,它也是一個應用程序,需要進程來執行。可以通過查看系統進程來推斷木馬是否存在。
??在Windows NT/XP系統下,按下“CTL+ALT+DEL”,進入任務管理器,就可看到系統正在運行的全部進程。在Win98下,可以通過Prcview和winproc工具來查看進程。查看進程中,要求你要對系統非常熟悉,對每個系統運行的進程要知道它是做什么用的,這樣,木馬運行時,就很容易看出來哪個是木馬程序的活動進程了。
5、查看注冊表
木馬一旦被加載,一般都會對注冊表進行修改。一般來說,木馬在注冊表中實現加載文件一般是在以下等處:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServicesOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
Run
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
RunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
RunServices
此外在注冊表中的HKEY_CLASSES_ROOTexefileshellopencommand=
““%1” %*”處,如果其中的“%1”被修改為木馬,那么每次啟動一個該可執行文件時木馬就會啟動一次,例如著名的冰河木馬就是將TXT文件的Notepad.exe改成了它自己的啟動文件,每次打開記事本時就會自動啟動冰河木馬,做得非常隱蔽。還有“廣外女生”木馬就是在HKEY_CLASSES_ROOTexefileshellopen
command=““%1” %*”處將其默認鍵值改成"%1" %*",并在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices添加了名稱為"Diagnostic Configuration"的鍵值;
6、使用檢測軟件
上面介紹的是手工檢測木馬的方法,此外,我們還可以通過各種殺毒軟件、防火墻軟件和各種木馬查殺工具等檢測木馬。各種殺毒軟件主要有:KV3000,Kill3000、瑞星等,防火墻軟件主要有國外的Lockdown,國內的天網、金山網鏢等,各種木馬查殺工具主要有:The Cleaner、木馬克星、木馬終結者等。這里推薦一款工具防護工具McAfee VirusScan ,它集合了入侵防衛及防火墻技術,為個人電腦和文件服務器提供全面的病毒防護。
木馬清除
檢測到電腦中了木馬后,就要根據木馬的特征來進行清除。查看是否有可疑的啟動程序、可疑的進程存在,是否修改了win.ini、system.ini系統配置文件和注冊表。如果存在可疑的程序和進程,就按照特定的方法進行清除。主要的步驟都不外乎以下幾個:(但并不是所有的木馬清除都能夠根據下列步驟刪除,這里只是介紹清除木馬的基本方法)
1、刪除可疑的啟動程序
查看系統啟動程序和注冊表是否存在可疑的程序后,判斷是否中了木馬,如果存在木馬,則除了要查出木馬文件并刪除外,還要將木馬自動啟動程序刪除。例如Hack.Rbot病毒、后門就會拷貝自身到一些固定的windows自啟動項中:
WINDOWSAll UsersStart MenuProgramsStartUp
WINNTProfilesAll UsersStart MenuProgramsStartup
WINDOWSStart MenuProgramsStartup
Documents and SettingsAll UsersStart MenuProgramsStartup
查看一下這些目錄,如果有可疑的啟動程序,則將之刪除。
2、恢復win.ini和system.ini系統配置文件的原始配置
許多病毒會將win.ini和system.ini系統配置文件修改,使之能在系統啟動時加載和運行木馬程序。例如電腦中了“妖之吻”病毒后,病毒會將system.ini中的boot節的“Shell=Explorer.exe”字段修改成“Shell=yzw.exe”,清除木馬的方法是把system.ini給恢復原始配置,即“Shell=yzw.exe”修改回“Shell=
Explorer.exe”,再刪除掉病毒文件即可。
TROJ_BADTRANS.A病毒,也會更改win.ini以便在下一次重新開機時執行木馬程序。主要是將win.ini中的windows節的“Run=”字段修改成“Run= C:%WINDIR%INETD.EXE”字段。執行清除的步驟如下:
?? (1)打開win.ini文本文件,將字段“RUN=C:%WINDIR%INETD.EXE”中 等號后面的字符刪除,僅保留“RUN=”。
?? (2)將被TROJ_BADTRANS.A病毒感染的文件刪除。
3、停止可疑的系統進程
木馬程序在運行時都會在系統進程中留下痕跡。通過查看系統進程可以發現運行的木馬程序,在對木馬進行清除時,當然首先要停掉木馬程序的系統進程。例如Hack.Rbot病毒、后門除了將自身拷貝到一些固定的windows自啟動項中外,還在進程中運行wuamgrd.exe程序,修改了注冊表,以便病毒可隨機自啟動。在看到有木馬程序在進程中運行,則需要馬上殺掉進程,并進行下一步操作,修改注冊表和清除木馬文件。
4、修改注冊表
查看注冊表,將注冊表中木馬修改的部分還原。例如上面所提到的Hack.Rbot病毒、后門,向注冊表的以下地方:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
Run
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
Run
添加了鍵值"Microsoft Update" = "wuamgrd.exe",以便病毒可隨機自啟動。這就需要我們進入注冊表,將這個鍵值給刪除。注意:可能有些木馬會不允許執行.exe文件,這樣我們就需要先將regedit.exe改成系統能夠運行的,比如可以改成regedit.com。這里就說說如何清除Hack.Rbot病毒、后門的。
(1)將進程中運行的wuamgrd.exe進程停止,這是一個木馬程序;
(2)將Hack.Rbot拷貝到windows啟動項中的啟動文件刪除;
(3)將Hack.Rbot添加到注冊表中的鍵值"Microsoft Update"=
"wuamgrd.exe"刪除;
(4)手工或用專殺工具刪除被Hack.Rbot病毒感染的文件。并全面檢查系統。
5、使用殺毒軟件和木馬查殺工具進行木馬查殺
常用的殺毒軟件包括KV3000、瑞星、諾頓等,這些軟件對木馬的查殺是比較有效的,但是要注意時刻更新病毒庫,而且對于一些木馬查殺不徹底,在系統重新啟動后還會自動加載。此外,你還可以使用The Cleaner、木馬克星、木馬終結者等各種木馬轉殺工具對木馬進行查殺。這里推薦一款工具Anti-Trojan Shield,這是一款享譽歐洲的專業木馬偵測、攔截及清除軟件。可以在http://www.atshield.com網站下載。
木馬防范
隨著網絡的普及,硬件和軟件的高速發展,網絡安全顯得日益重要。對于網絡中比較流行的木馬程序,傳播時間比較快,影響比較嚴重,因此對于木馬的防范就更不能疏忽。我們在檢測清除木馬的同時,還要注意對木馬的預防,做到防范于未然。
1、不要隨意打開來歷不明的郵件
現在許多木馬都是通過郵件來傳播的,當你收到來歷不明的郵件時,請不要打開,應盡快刪除。并加強郵件監控系統,拒收垃圾郵件。
2、不要隨意下載來歷不明的軟件
最好是在一些知名的網站下載軟件,不要下載和運行那些來歷不明的軟件。在安裝軟件的同時最好用殺毒軟件查看有沒有病毒,之后才進行安裝。
3、及時修補漏洞和關閉可疑的端口
一般木馬都是通過漏洞在系統上打開端口留下后門,以便上傳木馬文件和執行代碼,在把漏洞修補上的同時,需要對端口進行檢查,把可疑的端口關閉。
4、盡量少用共享文件夾
如果必須使用共享文件夾,則最好設置帳號和密碼保護。注意千萬不要將系統目錄設置成共享,最好將系統下默認共享的目錄關閉。Windows系統默認情況下將目錄設置成共享狀態,這是非常危險的。
5、運行實時監控程序
在上網時最好運行反木馬實時監控程序和個人防火墻,并定時對系統進行病毒檢查。
6、經常升級系統和更新病毒庫
經常關注廠商網站的安全公告,這些網站通常都會及時的將漏洞、木馬和更新公布出來,并第一時間發布補丁和新的病毒庫等。
木馬檢測
1、查看開放端口
當前最為常見的木馬通常是基于TCP/UDP協議進行Client端與Server端之間的通訊的,這樣我們就可以通過查看在本機上開放的端口,看是否有可疑的程序打開了某個可疑的端口。例如冰河使用的監聽端口是7626,Back Orifice 2000使用的監聽端口是54320等。假如查看到有可疑的程序在利用可疑端口進行連接,則很有可能就是中了木馬。查看端口的方法有幾種:
(1)使用Windows本身自帶的netstat命令
C:>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:113 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1230 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1232 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1239 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1740 0.0.0.0:0 LISTENING
TCP 127.0.0.1:5092 0.0.0.0: LISTENING
TCP 127.0.0.1:5092 127.0.0.1:1748 TIME_WAI
TCP 127.0.0.1:6092 0.0.0.0:0 LISTENING
UDP 0.0.0.0:69 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1703 *:*
UDP 0.0.0.0:1704 *:*
UDP 0.0.0.0:4000 *:*
UDP 0.0.0.0:6000 *:*
UDP 0.0.0.0:6001 *:*
UDP 127.0.0.1:1034 *:*
UDP 127.0.0.1:1321 *:*
UDP 127.0.0.1:1551 *:*
(2)使用windows2000下的命令行工具fport
E:software>Fport.exe
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto Path
420 svchost -> 135 TCP E:WINNTsystem32svchost.exe
8 System -> 139 TCP
8 System -> 445 TCP
768 MSTask -> 1025 TCP E:WINNTsystem32MSTask.exe
8 System -> 1027 TCP
8 System -> 137 UDP
8 System -> 138 UDP
8 System -> 445 UDP
256 lsass -> 500 UDP E:WINNTsystem32lsass.exe
(3)使用圖形化界面工具Active Ports
這個工具可以監視到電腦所有打開的TCP/IP/UDP端口,還可以顯示所有端口所對應的程序所在的路徑,本地IP和遠端IP(試圖連接你的電腦IP)是否正在活動。這個工具適用于Windows NT/2000/XP平臺。
2、查看win.ini和system.ini系統配置文件
查看win.ini和system.ini文件是否有被修改的地方。例如有的木馬通過修改win.ini文件中windows節 的“load=file.exe ,run=file.exe”語句進行自動加載。此外可以修改system.ini中的boot節,實現木馬加載。例如 “妖之吻” 病毒,將“Shell=Explorer.exe” (Windows系統的圖形界面命令解釋器)修改成“Shell=yzw.exe”,在電腦每次啟動后就自動運行程序yzw.exe。修改的方法是將“shell=yzw.exe”還原為“shell=explorer.exe”就可以了。
3、查看啟動程序
如果木馬自動加載的文件是直接通過在Windows菜單上自定義添加的,一般都會放在主菜單的“開始->程序->啟動”處,在Win98資源管理器里的位置是“C:windowsstart menuprograms啟動”處。通過這種方式使文件自動加載時,一般都會將其存放在注冊表中下述4個位置上: ??
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerShell Folders ?
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerUser Shell Folders
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
ExplorerUser Shell Folders?
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
ExplorerShell Folders
檢查是否有可疑的啟動程序,便很容易查到是否中了木馬。
在Win98系統下,還可以直接運行Msconfig命令查看啟動程序和system.ini、win.ini、autoexec.bat等文件。
4、查看系統進程
木馬即使再狡猾,它也是一個應用程序,需要進程來執行。可以通過查看系統進程來推斷木馬是否存在。
??在Windows NT/XP系統下,按下“CTL+ALT+DEL”,進入任務管理器,就可看到系統正在運行的全部進程。在Win98下,可以通過Prcview和winproc工具來查看進程。查看進程中,要求你要對系統非常熟悉,對每個系統運行的進程要知道它是做什么用的,這樣,木馬運行時,就很容易看出來哪個是木馬程序的活動進程了。
5、查看注冊表
木馬一旦被加載,一般都會對注冊表進行修改。一般來說,木馬在注冊表中實現加載文件一般是在以下等處:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServicesOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
Run
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
RunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
RunServices
此外在注冊表中的HKEY_CLASSES_ROOTexefileshellopencommand=
““%1” %*”處,如果其中的“%1”被修改為木馬,那么每次啟動一個該可執行文件時木馬就會啟動一次,例如著名的冰河木馬就是將TXT文件的Notepad.exe改成了它自己的啟動文件,每次打開記事本時就會自動啟動冰河木馬,做得非常隱蔽。還有“廣外女生”木馬就是在HKEY_CLASSES_ROOTexefileshellopen
command=““%1” %*”處將其默認鍵值改成"%1" %*",并在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices添加了名稱為"Diagnostic Configuration"的鍵值;
6、使用檢測軟件
上面介紹的是手工檢測木馬的方法,此外,我們還可以通過各種殺毒軟件、防火墻軟件和各種木馬查殺工具等檢測木馬。各種殺毒軟件主要有:KV3000,Kill3000、瑞星等,防火墻軟件主要有國外的Lockdown,國內的天網、金山網鏢等,各種木馬查殺工具主要有:The Cleaner、木馬克星、木馬終結者等。這里推薦一款工具防護工具McAfee VirusScan ,它集合了入侵防衛及防火墻技術,為個人電腦和文件服務器提供全面的病毒防護。
木馬清除
檢測到電腦中了木馬后,就要根據木馬的特征來進行清除。查看是否有可疑的啟動程序、可疑的進程存在,是否修改了win.ini、system.ini系統配置文件和注冊表。如果存在可疑的程序和進程,就按照特定的方法進行清除。主要的步驟都不外乎以下幾個:(但并不是所有的木馬清除都能夠根據下列步驟刪除,這里只是介紹清除木馬的基本方法)
1、刪除可疑的啟動程序
查看系統啟動程序和注冊表是否存在可疑的程序后,判斷是否中了木馬,如果存在木馬,則除了要查出木馬文件并刪除外,還要將木馬自動啟動程序刪除。例如Hack.Rbot病毒、后門就會拷貝自身到一些固定的windows自啟動項中:
WINDOWSAll UsersStart MenuProgramsStartUp
WINNTProfilesAll UsersStart MenuProgramsStartup
WINDOWSStart MenuProgramsStartup
Documents and SettingsAll UsersStart MenuProgramsStartup
查看一下這些目錄,如果有可疑的啟動程序,則將之刪除。
2、恢復win.ini和system.ini系統配置文件的原始配置
許多病毒會將win.ini和system.ini系統配置文件修改,使之能在系統啟動時加載和運行木馬程序。例如電腦中了“妖之吻”病毒后,病毒會將system.ini中的boot節的“Shell=Explorer.exe”字段修改成“Shell=yzw.exe”,清除木馬的方法是把system.ini給恢復原始配置,即“Shell=yzw.exe”修改回“Shell=
Explorer.exe”,再刪除掉病毒文件即可。
TROJ_BADTRANS.A病毒,也會更改win.ini以便在下一次重新開機時執行木馬程序。主要是將win.ini中的windows節的“Run=”字段修改成“Run= C:%WINDIR%INETD.EXE”字段。執行清除的步驟如下:
?? (1)打開win.ini文本文件,將字段“RUN=C:%WINDIR%INETD.EXE”中 等號后面的字符刪除,僅保留“RUN=”。
?? (2)將被TROJ_BADTRANS.A病毒感染的文件刪除。
3、停止可疑的系統進程
木馬程序在運行時都會在系統進程中留下痕跡。通過查看系統進程可以發現運行的木馬程序,在對木馬進行清除時,當然首先要停掉木馬程序的系統進程。例如Hack.Rbot病毒、后門除了將自身拷貝到一些固定的windows自啟動項中外,還在進程中運行wuamgrd.exe程序,修改了注冊表,以便病毒可隨機自啟動。在看到有木馬程序在進程中運行,則需要馬上殺掉進程,并進行下一步操作,修改注冊表和清除木馬文件。
4、修改注冊表
查看注冊表,將注冊表中木馬修改的部分還原。例如上面所提到的Hack.Rbot病毒、后門,向注冊表的以下地方:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
Run
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
Run
添加了鍵值"Microsoft Update" = "wuamgrd.exe",以便病毒可隨機自啟動。這就需要我們進入注冊表,將這個鍵值給刪除。注意:可能有些木馬會不允許執行.exe文件,這樣我們就需要先將regedit.exe改成系統能夠運行的,比如可以改成regedit.com。這里就說說如何清除Hack.Rbot病毒、后門的。
(1)將進程中運行的wuamgrd.exe進程停止,這是一個木馬程序;
(2)將Hack.Rbot拷貝到windows啟動項中的啟動文件刪除;
(3)將Hack.Rbot添加到注冊表中的鍵值"Microsoft Update"=
"wuamgrd.exe"刪除;
(4)手工或用專殺工具刪除被Hack.Rbot病毒感染的文件。并全面檢查系統。
5、使用殺毒軟件和木馬查殺工具進行木馬查殺
常用的殺毒軟件包括KV3000、瑞星、諾頓等,這些軟件對木馬的查殺是比較有效的,但是要注意時刻更新病毒庫,而且對于一些木馬查殺不徹底,在系統重新啟動后還會自動加載。此外,你還可以使用The Cleaner、木馬克星、木馬終結者等各種木馬轉殺工具對木馬進行查殺。這里推薦一款工具Anti-Trojan Shield,這是一款享譽歐洲的專業木馬偵測、攔截及清除軟件。可以在http://www.atshield.com網站下載。
木馬防范
隨著網絡的普及,硬件和軟件的高速發展,網絡安全顯得日益重要。對于網絡中比較流行的木馬程序,傳播時間比較快,影響比較嚴重,因此對于木馬的防范就更不能疏忽。我們在檢測清除木馬的同時,還要注意對木馬的預防,做到防范于未然。
1、不要隨意打開來歷不明的郵件
現在許多木馬都是通過郵件來傳播的,當你收到來歷不明的郵件時,請不要打開,應盡快刪除。并加強郵件監控系統,拒收垃圾郵件。
2、不要隨意下載來歷不明的軟件
最好是在一些知名的網站下載軟件,不要下載和運行那些來歷不明的軟件。在安裝軟件的同時最好用殺毒軟件查看有沒有病毒,之后才進行安裝。
3、及時修補漏洞和關閉可疑的端口
一般木馬都是通過漏洞在系統上打開端口留下后門,以便上傳木馬文件和執行代碼,在把漏洞修補上的同時,需要對端口進行檢查,把可疑的端口關閉。
4、盡量少用共享文件夾
如果必須使用共享文件夾,則最好設置帳號和密碼保護。注意千萬不要將系統目錄設置成共享,最好將系統下默認共享的目錄關閉。Windows系統默認情況下將目錄設置成共享狀態,這是非常危險的。
5、運行實時監控程序
在上網時最好運行反木馬實時監控程序和個人防火墻,并定時對系統進行病毒檢查。
6、經常升級系統和更新病毒庫
經常關注廠商網站的安全公告,這些網站通常都會及時的將漏洞、木馬和更新公布出來,并第一時間發布補丁和新的病毒庫等。
來自 “ ITPUB博客 ” ,鏈接:http://blog.itpub.net/178883/viewspace-16315/,如需轉載,請注明出處,否則將追究法律責任。
轉載于:http://blog.itpub.net/178883/viewspace-16315/
總結
以上是生活随笔為你收集整理的木马的检测、清除与防范的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Windows 11 配置JDK 环境变
- 下一篇: mencoder_有用的Mplayer