下载
加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 斩杀盗号木马

斩杀盗号木马.doc

斩杀盗号木马

Freda乐乐
2018-01-15 0人阅读 举报 0 0 暂无简介

简介:本文档为《斩杀盗号木马doc》,可适用于综合领域

斩杀盗号木马网络中肆无忌惮泛滥的木马盗取网络交易账号,获取用户私密信息以谋取利益,普遍用户由于对木马不够了解和对安全防范麻痹大意,造成严重的后果许多人都有中木马的经历,那么中了木马怎么清除,平时怎么防范呢请看下文:怎么判断中了木马电脑中了木马后,有时候会有一些非常典型的症状,比如杀毒软件自动关闭、电脑运行速度变慢、经常有一些陌生网页窗口弹出、穖中某些程序无法运行等,也有时候症状并不明显,不过我们可以通过一些蛛丝马迹初步分析电脑是否中了木马,比如查看"任务管理器"是否有不熟悉的进程(一旦发现则到网上进行搜索看是否是病毒进程)、从系统文件夹、注册表、启动程序等查看是否在可疑的文件或项目下面我们以感染了SoundMan木马的电脑为例来了解一下木马的一些常见行为SoundMan木马是利用Realtek声卡相关程序以及图标迷惑用户的一款"网游木马下载器",它除了具备普通木马能够屏蔽显示隐藏文件的功能外,还可以用替换服务等方式启动自身,并具有结束杀毒软件和在后台下载大量网游木马的功能隐藏文件已经无法显示打开一个文件夹,在上方菜单中选择"工具文件夹选项",在"查看"中勾选"显示所有文件和文件夹",并去掉"隐藏已知文件类型的扩展名"前面的勾经过这样后隐藏文件还是无法显示提示:一旦发现设置了"显示所有文件和文件夹",而系统仍无法显示隐藏的文件的话,一定要引起足够的重视,极有可能有木马侵入查看System文件夹进入System文件夹中(假设系统安装在C盘),可以发现木马创建了inetersexe,SoundManexe,tthhini这三个文件(之前我们已经对显示隐藏文件做了处理)提示:木马一般会在系统文件System中释放病毒文件以及相关的ini文件,如果怀疑中了木马,注意检查此文件夹中那些在出现中毒症状前后所创建的文件查看用户账户单击"开始设置控制面板",双击"用户账户",如果发现电脑中的Guest账户无故被激活,或是多出其它的陌生账户,例如名为Microsoft的账户,也要提高警惕,这也是感染木马的一个典型症状查看auto文件当系统中了SoundMan木马后,只要有新的可移动存储设备接入,此木马便会写入autoexe和autoruninf文件,所以我们在鼠标右键菜单中发现有auto,autorun任何一个选项,或是在移动硬盘或闪存根目录下查看发现autoexe和autoruninf这两个文件,则证明中毒提示:现在的木马一般都会利用移动存储设备的自动播放功能进行病毒的写入和传播,所以如果在硬盘分区以及移动存储设备根目录下发现autoexe和autoruninf这两个文件,则电脑与移动硬盘都已经中毒除了检查上面那些地方外,我们还可以从以下几个木马喜欢藏身的地方来查找蛛丝马迹一是从"Winini"文件判断是否中毒利用记事本打开"C:Windows"目录下的"Winini"文件在文件的windows字段中查找启动命令"load="和"run="后面是否跟有程序,在一般情况下"="后面是空白的,如果在=号后面跟着程序,那一般是中了木马病毒二是从"Systemini"文件判断是否中毒利用记事本方式打开位于"C:Windows"目录下的"Systemini"文件,如果发现boot字段中"shell=Explorerexe"后面添加了程序,一般都是木马服务端程序另外,在"Systemini"中的Enh字段,要注意检查在此段内的"driver=路径程序名"地,这里也有可能被木马所利用在"Systemini"中的mic,drivers,drivers这三个字段,它们起到加载驱动程序的作用,但也是添加木马程序的好场所,所以也需要进行检查三是打开注册表编辑器进行检查木马一般会利用注册表中的Run,RunServices,RunOnce等子项来加载,在"开始运行"中输入"regedit"进入注册表编辑器,在以下几个地方进行查看()注册表中的启动项查看HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersion下的RunServices,RunServicesOnce,Run,RunOnce以及HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersion下的RunServices,Run,RunOnce下是否有可疑项目如果发现其中加载了一些陌生程序到系统文件夹中,那则可能中了木马病毒()文件关联键有些木马还会通过修改注册表中的某一类型文件的键值来加载程序检查"HKEYCLASSESROOTXXX(这里的XXX可以是exefile,comfile,batfile,htafile,piffile)shellopencommand"子键中"默认"值:"""*",检查"HKEYLOCALMACHINESoftwareCLASSESXXX(这里的XXX可以是exefile,comfile,batfile,htafile,piffile)shellopencommand"子键中"默认"值:"""*"这些"""*"可以被赋值,如果发现默认值被修改,例如病毒木马将其改为"mumaexe*",则可能中毒横扫网络木马已经中了木马,应当怎么清除如果电脑系统分区中没有重要数据,那么利用备份及一键恢复直接重新恢复系统是最简单的方法如果无法这样做,可以用一些工具软件来帮忙清理木马目前很多木马病毒能够删除安全软件的启动项目,劫持安全杀毒软件,并且连接网络下载其它木马及病毒,所以首先要做的就是删除注册表中的启动项,修复被劫持的安全杀毒软件,然后利用杀毒软件或专杀工具进行清除下载软件SREng并更改名称运行,首先对注册表中的RUN键进行修复,选择"系统修复"选项中的"注册表"选项卡,删除未知的启动项目,比如路径为系统文件夹(C:windowssystem或C:winntsystem)中的SoundManexe木马病毒程序启动项提示:除了"注册表"启动项外,我们最好进入"启动项目"中的"Winini","Systemini"等选项中进行查看并清除关联的病毒加载项,以免病毒死灰复燃然后再选择"系统修复"中的文件关联"选项,勾选错误的文件关联,单击"修复"按钮,修复被木马病毒劫持的程序,包括杀毒软件和一些安全工具等为了防止激活木马,在"系统修复"的"高级修复"选项中单击下方"修复安全模式"对电脑安全模式进行修复,最后进入安全模式下进行杀毒软件病毒库的更新及病毒查杀,同时下载木马病毒的专杀工具对木马及病毒进行扫描清除提示:除了利用SREng软件进行修复,我们还可以利用小工具包在电脑报网站wwwcpcwcombzsoft进行下载,打开工具包后,双击恢复显示隐藏文件REG导入注册表,再打开Icesword软件,清除系统文件夹中的病毒文件,使用IFEO映像劫持修复工具修复被劫持的杀毒软件及安全软件,最后就是用杀毒软件进行查杀小工具下载下来后改名再使用,以免被木马病毒劫持如何预防木马为了更好的保护好系统不受到破坏,除了为一个完全干净无毒的系统做个备份外,我们还可以通过以下的方法来进行木马预防必须安装杀毒软件及防火墙,并对其进行升级,相应系统补丁也要随时更新,还要定期进行病毒木马扫描通过注册表设置阻止病毒通过IFEO劫持杀毒软件,具体操作方法:打开"运行"对话框,输入regedt,找到HKEYLOCALMACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOption,右键单击此选项,在弹出的菜单中选择"权限",然后把Administrors用户组和Users用户组的权限全部取消总结:养成安全的电脑操作习惯和严密的安全设置及定期检查这三大强效药剂,我们完全可以让语素木马远离自己的电脑系统,但是由于杀毒软件以及安全工具的设置及使用需要一定的电脑基础,整个木马产业链由于缺少相关法律有效的监控而发展越来越大,导致许多对电脑安全设置不熟悉的用户遭遇木马侵袭围剿,用户的私密信息一旦被不法分子掌握,将会给用户造成严重的后果,我们呼吁除了电脑用户加强自身的电脑安全意识和技能外,还需要国家法律以及网络部门一起携手,共同打造一个安全的网络社会

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

文档小程序码

使用微信“扫一扫”扫码寻找文档

1

打开微信

2

扫描小程序码

3

发布寻找信息

4

等待寻找结果

我知道了
评分:

/5

斩杀盗号木马

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利