新人电脑木马查杀上手指南

安全咖啡屋　计算机与网络创新生活　３３　新人电脑木马查杀上手指南　手工方法：　１、检查网络连接情况　然后检查ＨＫＥＹ—ＬＯＣＡＬＭＡＣＨＩＮＥ　ＳｏｆｔｗａｒｅＭｉｃｒｏｓｏｆｔＷｉｎｄｏｗｓＣ，ｕｒｔｅｎｔ　Ａｄｍｉｎｉｓｔｒａｔ０ｒ是ａｄｍｉｎｉｓｔｒａｔｏｒｓ组的．其　他都不应该属于ａｄｍｉｎｉｓｔｒａｔｏｒｓ组，如　果你发现一个系统内置的用户是属　于ａｄｍｉｎｉｓｔｒａｔｏｒｓ组的，那几乎可以肯　定你被入侵了。快使用“ｎｅｔ　ｕｓｅｒ用户　由于不少木马会主动侦听端口，　或者会连接特定的ＩＰ和端口，所以　我们可以在没有正常程序连接网络　的情况下，通过检查网络连情情况来　Ｖｅｒｓｉｏｎ下所有以“ｒｕｎ”开头的键值：　ＨＫＥＹＣＵＲＲＥＮ￡　ＳＥＲＳｏｆｔｗａｒｅＭｉ—　＿ｃｒｏｓｏｆｔＷｉｎｄｏｗｓＣｕｒｒｅｎｔＶｅｒｓｉｏｎ下所有　以“ｒｕｎ”开头的键值：ＨＫＥＹ－ＵＳＥＲＳ．　Ｄｅｆａｕ￣ＳｏｆｔｗａｒｅＭｉｃｒｏｓｏｆｔＷｉｎｄｏｗｓ　名／ｄｅｌ”来删掉这个用户吧！　如果检查出有木马的存在，可以　按以后步骤进行杀木马的工作。　发现木马的存在。具体的步骤是点击　“开始”一＞“运行”一＞“ｃｍｄ”，然后输　ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ下所有以“Ｆｕｎ”开头的　键值。　入ｎｅｔｓｔａｔ—ａｎ这个命令能看到所有　和自己电脑建立连接的ＩＰ以及自己　电脑侦听的端口．它包含四个部分　运行任务管理器，检查注册表中　ＲＵＮ、ＲＵＮＳＥＲＶＥＩＣＥ等几项，先备　Ｗｉｎｄｏｗｓ安装目录下的Ｓｙｓｔｅｍ．　ｉｎｉ也是木马喜欢隐蔽的地方。打开　份，记下可以启动项的地址，再将可　疑的删除。一般这种文件都在　ＷＩＮＮＴ，ＳＹＳＴＥＭ，ＳＹＳＴＥＭ３２这样　的文件夹下，他们一般不会单独存　在，很可能是有某个母文件复制过来　ｐｒｏｔｏ（连接方式）、ｌｏｃａｌ　ａｄｄｒｅｓｓ（本地　这个文件看看，在该文件的【ｂｏｏｔ】字　段中，是不是有ｓｈｅｌｌ＝Ｅｘｐｌｏｒｅｒ．ｅｘｅ　ｉｆｌｅ．ｅｘｅ这样的内容。如有这样的内　容，那这里的ｆｉｌｅ．ｅｘｅ就是木马程序　了１　连接地址）、ｆｏｒｅｉｇｎ　ａｄｄｒｅｓｓ（和本地建　立连接的地址）、ｓｔａｔｅ（当前端口状　态）。通过这个命令的详细信息，我们　就可以完全监控电脑的网络连接情　况。　的，检查ｃ、Ｄ、Ｅ等盘下有没有可疑　的．ｅｘｅ，．ｃｏｒｎ或．ｂａｔ文件，有则删除　之。　４、检查系统帐户　恶意的攻击者喜在电脑中留有　一个账户的方法来控制你的计算机。　检查注册表ＨＫＥＹ＿ＬＯＣＡＩ　ＭＡＣＨＩＮＥ和ＨＫＥＹ—ＣＵＲＲ．ＥＮＴ＿　ＵＳＥＲＳＯＦＴＷＡＲ＿ＥＭｉｃｒｏｓｏｆｔｌｎｔｅｍｅｔ　他们采用的方法就是激活一个系统　中的默认账户，但这个账户却很少用　的，然后把这个账户的权限提升为管　ＥｘｐｌｏｒｅｒＭａｉｎ中的几项（如Ｌｏｃａｌ　理员权限，这个帐户将是系统中最大　的安全隐患。恶意的攻击者可以通过　２、查看目前运行的服务　服务是很多木马用来保持自己　在系统中永远能处于运行状态的方　Ｐａｇｅ），如果被修改了，改回来就可　以。　这个账户任意地控制你的计算机。针　对这种情况．可以用以下方法对账户　进　行检测。　６、检查ＨＫＥＹ＿ＣＬＡＳＳＥｓ＿ＲＯＯＴ　ｘｔｉｆｌｅｓｈｅＵｏｐｅｎｃｏｍｍａｎｄ和ＨＫＥＹ＿　ｉｌｅｓｈｅＵｏｐｅｎｃｏｍ－　ＣＬＡＳＳＥＳＲＯＯＴｘｔｆ法之一。我们可以通过点击“开始”　ｍａｎｄ等等几个常用文件类型的默认　＞“运行”一＞“ｃｍｄ”。然后输入“ｎｅｔ　打开程序是否被更改。这个一定要改　回来。很多病毒就是通过修改．ｔｘｔ文　件的默认打开程序让病毒在用户打　开文本文件时加载的。　利用工具：　查杀木马的工具有ＬｏｃｋＤｏｗｎ、　ｓｔａｒｔ”来查看系统中究竟有什么服务　在开启，如果发现了不是自己开放的　服务，我们可以进入“服务”管理工具　中的“服务”，找到相应的服务，停止　并禁用它。　３、检查系统启动项　由于注册表对于普通用户来说　“点击“开始”一＞“运行”一＞　Ｔｈｅ　Ｃｌｅａｎ、木马克星、金山木马专　ｃｍｄ”，然后在命令行下输入ｎｅｔ　杀、木马清除大师、木马分析专家等，　比较复杂，木马常常喜欢隐藏在这　里。检查注册表启动项的方法如下：　点击“开始”一＞“运行”一＞“ｒｅｇｅｄｉｔ”。　ｕｓｅｒ，查看计算机上有些什么用户，然　后再使用“ｎｅｔ　ｕｓｅｒ用户名”查看这个　用户是属于什么权限的，一般除了　其中有些工具，如果想使用全部功　能，需要付一定的费用，其中木马分　析专家是免费授权使用的。　２０１０年第１２期《计算机与网络》