幫你找到計(jì)算機(jī)中隱藏的罪惡黑手
瀏覽次數(shù):|更新日期:2014年05月28日
計(jì)算機(jī)突然死機(jī),有時(shí)又自動(dòng)重新啟動(dòng)���,無(wú)端端的少了些文件��,發(fā)現(xiàn)桌面刷新慢,沒(méi)有運(yùn)行什么大的程序,硬盤卻在拼命的讀寫,系統(tǒng)也莫明其妙地對(duì)軟驅(qū)進(jìn)行搜索�����,殺毒軟件和防火墻報(bào)警�,發(fā)現(xiàn)系統(tǒng)的速度越來(lái)越慢�����,這時(shí)候你就要小心了��。
第一時(shí)間反應(yīng)(養(yǎng)成一個(gè)好的習(xí)慣往碗可以減少所受的損失):用CTRL+ALT+DEL調(diào)出任務(wù)表�,查看有什么程序在運(yùn)行���,如發(fā)現(xiàn)陌生的程序就要多加注意��,一般來(lái)說(shuō)��,凡是在任務(wù)管理器上的程序都不會(huì)對(duì)系統(tǒng)的基本運(yùn)行照成負(fù)面影響(注意:這里說(shuō)的是基本運(yùn)行��,先和大家說(shuō)明白���,關(guān)于這條我是在網(wǎng)絡(luò)上關(guān)于這個(gè)研究的結(jié)果)�����,所以大家可以關(guān)閉一些可疑的程序來(lái)看看���,發(fā)現(xiàn)一些不正常的情況恢復(fù)了正常����,那么就可以初步確定是中了木馬了,發(fā)現(xiàn)有多個(gè)名字相同的程序在運(yùn)行,而且可能會(huì)隨時(shí)間的增加而增多�,這也是一種可疑的現(xiàn)象也要特別注意����,你這時(shí)是在連入Internet網(wǎng)或是局域網(wǎng)后才發(fā)現(xiàn)這些現(xiàn)象的話��,不要懷疑����,動(dòng)手查看一下吧!�,(注:也有可能是其它一些病毒在作怪)
1 先升級(jí)殺毒軟件到最新,對(duì)系統(tǒng)進(jìn)行全面的檢查掃描。
2 點(diǎn)擊工具文件夾選項(xiàng)查看 把隱藏受保護(hù)的操作系統(tǒng)文件(推薦)和隱藏已知文件類型的擴(kuò)展名 這兩項(xiàng)前面的勾去掉,以方便查看����。
3 查看Windows目錄下的WIN.INI文件中開(kāi)頭的幾行:[WINDOWS] load= ren=這里放的是啟動(dòng)Windows自動(dòng)執(zhí)行的程序��,可以看看對(duì)比對(duì)比一下���。
4 查看Windows目錄下的SYSTEM.INI文件中的這幾行:[386Enh] device=這里是放置系統(tǒng)本身和外加的驅(qū)動(dòng)程序��。外加的驅(qū)動(dòng)程序一般都用全路徑���,如:device=c:windowssystem32tianyangdemeng.exe(這里只是打個(gè)比方)
5 查看開(kāi)始菜單中的「程序」「啟動(dòng)」�����。這里放的也是啟動(dòng)Windows自動(dòng)執(zhí)行的程序�����,如果有的話�����,它就放在C:WindowsStart MenuPrograms中���,將它保存在較安全的地方后再刪除���,需要恢復(fù)時(shí)在拿出來(lái)恢復(fù)即可�����。
6 在「開(kāi)始」「運(yùn)行」中輸入”MSCONFIG””查看是否有可疑的啟動(dòng)項(xiàng),你也許會(huì)問(wèn),前面不是說(shuō)了嗎?其實(shí),這兩種方法是不同的�,你分別用這兩個(gè)方法查看一下就會(huì)發(fā)現(xiàn)不同了��,至于要說(shuō)更深入點(diǎn),說(shuō)實(shí)在話���,我也不知道。呵呵不要笑話,希望高手出來(lái)解答一下!
7 查看注冊(cè)表�����,在「開(kāi)始」「運(yùn)行」中輸入“REGEDIT”。
先對(duì)注冊(cè)表進(jìn)行備份�,才對(duì)注冊(cè)查看��。(一定要養(yǎng)成一個(gè)習(xí)慣�,在修改木文件時(shí)��,對(duì)自己沒(méi)有把握的需要先進(jìn)行備份)
查看 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices和Run項(xiàng),看看有沒(méi)有可疑的程序�����。
查看 HKEY_CLASSES_ROOTEXEFILESHELLOPENCOMMAND��,看看是否有����。EXE文件關(guān)聯(lián)的木馬����,正確值為””%1″”%*查看 HKEY_CLASSES_ROOTINFFILESHELLOPENCOMMAND,看看是否有��。INF文件關(guān)聯(lián)的木馬���,正確值為””SYSTEM ROOT%SYSTEM32NOTEPAD.EXE%1查看 HKEY_CLASSES_ROOTTXTFILESHELLOPENCOMMAND�,看看是否有。TXT文件關(guān)聯(lián)的木馬�����,正確值為%SYSTEM ROOT%SYSTEM32NOTEPAD.EXE%1啟動(dòng)CMD��,輸入NETSTAT -AN 查看有沒(méi)有異常的端口���。
8 Windows中的執(zhí)行文件��。Exe、�����。Com��、。Dll ……它們都有可能是黑客放置的病毒或是黑客病毒的攜帶者。在系統(tǒng)正常的時(shí)候�,把以上文件做一個(gè)備份����,到需要的時(shí)候就可以寫回去!
9 在Windows目錄下,看看有無(wú)一個(gè)名為Winstart.bat的文件����。這個(gè)文件也是與Autoexec.bat類似的一個(gè)自動(dòng)批處理文件���,不過(guò)���,它只能在Windows工作而不能在DOS下使用�����。仔細(xì)看看有沒(méi)有什么你不知道的驅(qū)動(dòng)程序,把它記錄下來(lái)��,到百度查一下���,一般這個(gè)自動(dòng)批處理文件是不會(huì)被用到的���。(只能憑經(jīng)驗(yàn)判斷了) /
10 查看c:autoexec.bat與c:config.sys��,這兩個(gè)文件里有一些系統(tǒng)所需的驅(qū)動(dòng)程序�??纯从袥](méi)有什么可疑的驅(qū)動(dòng)程序。
11 右擊「我的電腦」事件查看器 查看安全日志����,看看里面有沒(méi)有可疑的內(nèi)容。/
12 在CMD下輸入NET USER 看看有沒(méi)有可疑的用戶,出現(xiàn)自己不曾設(shè)立的用戶,馬上用NET USER ABCD /DEL 把它刪除(這里的ABCD是用戶名���,只要把它改成想要?jiǎng)h除的用戶就行了,也可去下個(gè)檢查用戶克隆器查看和其它一切能幫助到你的工具,有些黑客建立的用戶用一般方法是看不見(jiàn)的��,大家就要注意了����。)
”
