本文目录一览:
- 1、木马病毒是什么?怎样杀?
- 2、什么是木马病毒啊
- 3、电脑中了木马怎么办
木马病毒是什么?怎样杀?
(杀毒软件)
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端(server)。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。
什么是木马病毒啊
什么是木马 ???
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话中的特洛伊城木马屠城记。就是古希腊人在进攻特洛伊城时,制作了一种木头马,每个马中藏一个人,然后古希腊人佯装攻城不下,退兵时故意把木马丢弃在城外,然后城里的人就把木马当作战利品拖进城里,到了晚上,木马里的人一起出来,打开城门,然后就攻陷了特洛伊城.木马这里就是指隐蔽性极高,瞒天过海的程序.
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
瑞星杀毒,金山毒霸,木马克星,卡巴斯基杀毒,江民杀毒都可以
木马--并不是一种对自己不利的“病毒”,能够应用和奴驾它的人,就将它看为是一种资源,像一些黑客用木马盗取某些国家或公司的机密文件等等……
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
一般自己中了木马病毒,首先要认清这是个什么病毒 有的很简单也很好解决,像Trojan.DL.Agent.dqi Trojan/Agent.ls都是很好解决的--先断开网络,然后打开IE浏览器,点工具里的INTERNET选项,然后把INTERNET临时文件夹中的所有文件都删除,最后再用瑞星就可以杀掉了。
参考资料 ;pagelist=171
其实 Trojan是某些防毒软件对后门木马的一种统称,它并不代表着固定的一个,而是一类,所以即使遇到同样名子的木马可能它们也并不相同。 费尔托斯特安全是一款可以清除木马和病毒的软件,并且有很强的清除能力,如果您有它的正式版可以在升级到最新病毒库后尝试用它扫描清除一下,但这里需要特别提醒一点: 由于这类木马新变种层出不穷,所以不能保证费尔托斯特安全能够识别出目前所有的或者您遇到的。 那么除此之外难道就没有其他办法了吗?有的,下面就介绍一个借助免费工具“费尔木马强力清除助手”(此工具已经集成到费尔托斯特安全新版本中了)来清除这种顽固性 Trojan 木马的方法:
使用这个方法前必须要先知道这个木马的文件名是什么。防毒软件在发现木马后一般都会报告它的完整文件名,您需要先准确的记录下这个文件名。比如:如果防毒软件提示 C:\Windows\hello.dll 是 Trojan/Agent.l,则记下 C:\Windows\hello.dll 这个名字。这里需要注意文件名一定要记准确,因为有许多木马会把自己的文件名故意伪装成和正常的文件名很接近,比如 svch0st.exe(木马)-svchost.exe(正常)、Expl0rer.exe(木马)-Explorer.exe(正常)、intrenat.exe / internet.exe(木马)-internat.exe(正常)等等。特别是数字0几乎和大写字母O一样,很容易让人看错,所以一定要注意区分它们,否则万一记错将有可能把正常的文件清除掉,那就麻烦了;
暂停防毒软件的实时监控,这一点很重要,否则在清除时可能会被阻止而无法成功。比如如果当初是你的诺顿发现了这个木马,那么请先暂停诺顿的实时监控或实时扫描;
下载费尔木马强力清除助手 ;
释放 PowerRmv.zip 到一个目录,然后执行其中的 PowerRmv.exe 启动“费尔木马强力清除助手”。在“文件名”中输入要清除的木马文件名。比如如果您在第1步中记下的文件名是 C:\Windows\hello.dll,那么这时就输入它;
按“清除”。这时程序会询问你是否要举报此病毒到费尔安全实验室,建议点“是”表示同意。接着程序会继续提示是否确定要清除它,仍然选“是”;
之后,如果此木马被成功清除程序会提示成功;或者也可能提示此木马无法被立即删除需要重启电脑。无论是哪种情况请点击“确定”,这时如果您在前面同意了举报此木马那么程序会自动创建并打开一个“病毒举报”的电子邮件,其中会包含这个木马的样本文件,如果您看到了这个邮件请把它直接发送给 virus@filseclab.com 。如果您并没有看到这封邮件也没有关系,可以忽略。
最后,如果程序前面提示了重启电脑后才能清除那么请一定重启您的电脑,在电脑重启后这个木马应该就被清除掉了。
也有稍顽固的木马,你可以进入DOS彻底删除!
对木马
用Spy Sweeper杀,也可以监控
下载地址:
注册码SSDC-OPEN-AAAA-KJEA-PZAK
马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
电脑中了木马怎么办
电脑在使用的过程中容易中病毒,此时应该怎样处理呢。下面是相关的处理步骤,希望对你有帮助。
(一)删除不正常启动项目
1 开始 中 启动,大家可以看里面的程序
2 注册表中:
"HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor" 找到并双击“AutoRun”
"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion" 找到并双击“Run”
"HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun"(这个一般与“开始”中“启动”的相同,但是在“启动”中没有显示)
大家可以在这里面的程序,哪个不正常,就删除它
3 开始---运行---gpedit.msc 策略组--用户配置--管理模块--系统--登陆--
4 系统服务中的设置
大家自己看看,里面有哪个不正常的,就终止它
(二)检查电脑端口判断是否中马.
我们具体以鸽子为一个例子:
我们先查看本机远程8000的端口,看是否打开,在没有中鸽子之前是没有远程8000端口的, 由于为了让大家看得明显,我就不改鸽子的设置,
实战中大家要注意:
"GrayPigeon_Hacker.com.cn,灰鸽子服务端程序。远程监控管理,"
这些被放鸽子的人改过的信息,只要与原有的.比较一下,还是可以判断出它是木马的
运行鸽子
基本步骤:
1 查端口,一般为8000,
大家可以用专业的工具查看,
也可以用系统自带的工具查看
比如:任务管理器,命令提示符,
2 然后查程序所在位置终止进程,
3 最后删除文件
值得注意的是腾讯QQ 也会开启远程8000端口的,要注意区分,可以查询腾讯IP。
(三)文件比较判断系统是否中马
通过对比的方法,实现查找木马
基本步骤:
1备分安全状态下的一些情况
2异常时,把异常的文件情况导出
3对比前后两次的结果,根据集体情况,自己判断。
具体操作,看我演示一下:
首先因为木马一般在windowssystem32,而且后缀名为exe,dll,我们备分一个安全状态下的目录*.exe,*.dll的文件,命令dir *.exec:exe1.txt dir *.dllc:dll1.txt
意思是说 提取system32目录下所有文件名后缀名为exe和dll的文件的名字到C盘exe1.txt与dll1.txt记事本里面.
导好了,我们去看看,
假设,我中木马了,木马为 MMMMM.exe 和mmmmmm.dll,我们再来中一个鸽子,在不安全状态下,我们又导出该目录下的文件名,
命令dir *.exec:exe2.txt dir *.dllc:dll2.txt
存到C盘exe2.txt 与dll2.txt 里面, 下面我们进行比较,当然不可能一个个去看,我们让电脑自动比较,
命令fc c:exe1.txt c:exe2.txtc:1.txt
fc c:dll1.txt c:dll2.txtc:2.txt
b1.txt b2.txt这2个就是对比结果
大家看见了吧,就这样,就可以判断是否中了木马
然后我们找到他们,终止进程,删除就OK了.
(四)检查svchost.exe进程判断是否中马
通过“暂缺”判断是否是木马,再综合路径与端口
基本步骤:
1开始--运行--cmd
2再查路径,
3最后查杀木马
我们以svchost.exe为例子:
正常的svchost.exe是在%systemroot%system32下
木马病毒的svchost.exe是在windowsststem32wins 或者其他地方
像上兴,REDgirl等木马可以设置插入的进程,大家要小心,鸽子的进程也可以修改,我们来简单的操作一下,先用任务管理器查看svchost.exe,svchost.exe会有4,5个左右,我们关闭一下,
如果:出现关机倒计时,是正常的,可以这样取消:开始--运行--shutdown -a
我这里没有这样的情况,因为我没有中这样的木马,大家可以根据自己的情况具体判断,开始--运行--cmd--tasklist /svc (win2000的电脑用命令"tlist -s",我这里是XP的)
svchost.exe“暂缺” ,那就是木马了,我这里没有,其他有的 “暂缺”,不一定是木马
大家根据自己的具体情况去判断, 以上也是一个查杀木马的方法,希望大家能进一步了解木马!
(五)利用防火墙抓出木马踪迹
借助防火墙的“访问规则”来拒绝木马的进程,比如一些过主动防御的木马,虽然过了主动防御,但是在防火墙还是会留下足迹的,大家可以根据自己的判断做终止它,最后删除。这也是一个有效的方法
(六)安装还原防护软件保护系统安全
建议大家要装有杀毒软件的前提下,在做一些安全措施,比如:安系统还原精灵,影子系统等等
只要重起就没有事情了,当然这个看你会不会灵活使用,有些人自然觉得不方便,我个人觉得很好,这个就是冰点还原精灵,只要同时按住ctrl+alt+shift+F6 就可以弹出设置画面。