菜鳥查殺木馬必備指南

精品文檔-下載后可編輯菜鳥查殺木馬必備指南常在河邊走，怎能不濕鞋？所以有時候上網(wǎng)時間長了，很有可能被攻擊者在電腦中種了木馬。如何來知道電腦有沒有被裝了木馬呢？

1.檢查網(wǎng)絡(luò)連接情況

由于不少木馬會主動偵聽端口，或者會連接特定的IP和端口，所以我們可以在沒有正常程序連接網(wǎng)絡(luò)的情況下，通過檢查網(wǎng)絡(luò)連接情況來發(fā)現(xiàn)木馬的存在。具體的步驟是點擊“開始”->“運行”->“cmd”，然后輸入netstat-an這個命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽的端口，它包含四個部分――proto(連接方式)、localaddress(本地連接地址)、foreignaddress(和本地建立連接的地址)、state(當(dāng)前端口狀態(tài))。通過這個命令的詳細信息，我們就可以完全監(jiān)控電腦的網(wǎng)絡(luò)連接情況。

2.查看目前運行的服務(wù)

服務(wù)是很多木馬用來保持自己在系統(tǒng)中永遠能處于運行狀態(tài)的方法之一。我們可以通過點擊“開始”->“運行”->“cmd”，然后輸入“netstart”來查看系統(tǒng)中究竟有什么服務(wù)在開啟，如果發(fā)現(xiàn)了不是自己開放的服務(wù)，我們可以進入“服務(wù)”管理工具中的“服務(wù)”，找到相應(yīng)的服務(wù)，停止并禁用它。

3.檢查系統(tǒng)啟動項

由于注冊表對于普通用戶來說比較復(fù)雜，木馬常常喜歡隱藏在這里。檢查注冊表啟動項的方法如下：點擊“開始”->“運行”->“regedit”，然后檢查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值；HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值。

Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個文件看看，在該文件的[boot]字段中，是不是有shell=Explorer.exefile.exe這樣的內(nèi)容，如有這樣的內(nèi)容，那這里的file.exe就是木馬程序了！

4.檢查系統(tǒng)賬戶

惡意的攻擊者喜歡在電腦中留有一個賬戶的方法來控制你的計算機。他們采用的方法就是激活一個系統(tǒng)中的默認賬戶，但這個賬戶卻是很少用的，然后把這個賬戶的權(quán)限提升為管理員權(quán)限，這個賬戶將是系統(tǒng)中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。針對這種情況，可以用以下方法對賬戶進行檢測。

點擊“開始”->“運行”->“cmd”，然后在命令行下輸入netuser，查看計算機上有些什么用戶，然后再使用“netuser用戶名”查看這個用戶是屬于什么權(quán)限的，一般除了Administrator是administrators組的，其他都不應(yīng)該屬于administrators組，如果你發(fā)現(xiàn)一個系統(tǒng)內(nèi)置的用戶是屬于administrators組的，那幾乎可以肯定你被入侵了。快使用“netuser用戶名/del”來刪掉這個用戶吧！

如果檢查出有木馬的存在，可以按以下步驟進行殺木馬的工作。

1.運行任務(wù)管理器，殺掉木馬進程。

2.檢查注冊表中RUN、RUNSERVEICE等幾項，先備份，記下可以啟動項的地址，再將可疑的刪除。

3.刪除上述可疑鍵在硬盤中的執(zhí)行文件。

4.一般這種文件都在WINNT、SYSTEM、SYSTEM32這樣的文件夾下，它們一般不會單獨存在，很可能是由某個母文件復(fù)制過來的，檢查C、D、E等盤下有沒有可疑的.exe、.com或.bat文件，有則刪除。

5.檢查注冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main中的幾項(如LocalPage)，如果被修改了，改回來就可以。

6.檢查HKEY_CLASSES_ROOT\txtfile\sh

ell\open\command和HKEY_CLASSES_RO

OT\txt