honghe.docVIP

honghe 七步让木马与你断绝关系 [本部分设定了隐藏,您已回复过了,以下是隐藏的内容] 大家都知道什么方法是最好的预防措施吗， 我个人觉得，就是在事情没有放生之前制止了，这个是一个比较好的方法， 从而，我们也就知道，只要在开机的时候，拒绝木马运行，也就从此和它88了 　 下面给大家操作一下，我就不打字了 1 开始 中 启动，大家可以看里面的程序 2 注册表中： \HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Command Processor\ 找到并双击“AutoRun” \HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\\ 找到并双击“Run” \HKEY_CURRENT_USER\\Microsoft\\Windows\\CurrentVersion\\Run\（这个一般与“开始”中“启动”的相同，但是在“启动”中没有显示） 大家可以在这里面的程序，哪个不正常，就删除它 3 开始---运行---gpedit.msc 策略组--用户配置--管理模块--系统--登陆-- 4 系统服务中的设置 大家自己看看，里面有哪个不正常的，就终止它 我们具体以鸽子为一个例子： 我们先查看本机远程8000的端口，看是否打开，在没有中鸽子之前是没有远程8000端口的 由于为了让大家看得明显，我就不改鸽子的设置， 实战中大家要注意： \GrayPigeon_H，灰鸽子服务端程序。远程监控管理，\ 这些被放鸽子的人改过的信息，只要与原有的比较一下，还是可以判断出它是木马的 运行鸽子 基本步骤： 1 查端口，一般为8000， 大家可以用专业的工具查看, 也可以用系统自带的工具查看 比如:任务管理器,命令提示符, 2 然后查程序所在位置终止进程， 3 最后删除文件 我就不操作了，大家知道就可以了 值得注意的是腾讯QQ 也会开启远程8000端口的，要注意区分，可以查询腾讯IP。 通过对比的方法，实现查找木马 基本步骤： 1备分安全状态下的一些情况 2异常时，把异常的文件情况导出 3对比前后两次的结果，根据集体情况，自己判断。 具体操作，看我演示一下: 首先， 因为木马一般在windows\\system32，而且后缀名为exe,dll,我们备分一个安全状态下的目录*.exe,*.dll的文件， 命令dir *.exec:\\exe1.txt dir *.dllc:\\dll1.txt 意思是说 提取system32目录下所有文件名后缀名为exe和dll的文件的名字到C盘exe1.txt与dll1.txt记事本里面. 导好了,我们去看看, 假设，我中木马了，木马为 MMMMM.exe 和mmmmmm.dll,我们再来中一个鸽子， 在不安全状态下,我们又导出该目录下的文件名, 命令dir *.exec:\\exe2.txt dir *.dllc:\\dll2.txt 存到C盘exe2.txt 与dll2.txt 里面 下面我们进行比较,当然不可能一个个去看,我们让电脑自动比较, 命令fc c:\\exe1.txt c:\\exe2.txtc:\\b1.txt fc c:\\dll1.txt c:\\dll2.txtc:\\b2.txt b1.txt b2.txt这2个就是对比结果 大家看见了吧，就这样，就可以判断是否中了木马 然后我们找到他们，终止进程，删除就OK了 我就不操作了 通过“暂缺”判断是否是木马，再综合路径与端口 基本步骤： 1开始--运行--cmd 2再查路径， 3最后查杀木马 我们以svchost.exe为例子： 正常的svchost.exe是在%systemroot%\\system32下 木马病毒的svchost.exe是在windows\\ststem32\\wins 或者其他地方 像上兴，REDgirl等木马可以设置插入的进程，大家要小心， 鸽子的进程也可以修改， 我们来简单的操作一下， 先用任务管理器查看svchost.exe，svchost.exe会有4，5个左右， 我们关闭一下， 如果：出现关机倒计时，是正常的，可以这样取消：开始--运行--shutdown -a 我这里没有这样的情况，因为我没有中这样的木马，大家可以根据自己的情况具体判断， 开始--运行--cmd--tasklist /svc (win2000的电脑用命令\tlist -s\,我这里是XP的) svchost.exe“暂缺” ，那就是木马了，我这里没有，其他有的 “暂缺”，不一定是木马