这里的方法是总结的前辈们的经验,在此感谢他们!!!!!
其实中毒后的处理方法就是那么几种,但是借助杀毒软件用手工方法处理是最为有效的!!!!
木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
另外,你也可以试试用下面的办法来解决:
从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件,可以放心使用。
这个是下载地址。
http://www.ttian.net/website/2005/0829/391.html
这个是它的详细用法。
http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm
一般来说,不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服务、隐文件的,利害的能将杀毒软件有实时监控给杀死!但在这个冰刃里,它是无法遁身的。开启的非法进程会以红色显示出来。
至于杀毒软件,应该说各人有各人的喜好,下面给出的链接上你看看比较一下:
六款主流杀毒软件横向评测
http://it.sohu.com/2004/05/19/39/article220183986.shtml
消费者该如何选择?六款杀毒软件横向评测(这个要详细些)
http://tech.tom.com/1380/1383/2005513-197230.html
通常情况下是无法通过木马病毒找到黑客ip,我们只能通过木马病毒样本分析此病毒都做了哪些操作。
建议安装带有监控功能的杀毒软件,这样可以有效的防止病毒攻击计算机所造成的损失。
而且这时候不能打开其他的程序,因为使用命令列举出所有的连接到你的电脑的IP地址.
在运行那输入 cmd 再按回车,打开了命令提示符.
输入 netstat -an 回车.既可看到连接到你的电脑的IP地址了.
下面是例子:
(协议) | (本机IP:端口) | (远程主机:端口)
Proto | Local Address | Foreign Address | State
TCP | 59.34.116.2*:1410 | 219.133.49.*:443 | CLOSE_WAIT
TCP | 59.34.116.2*:1420 | 219.133.49.*:443 | CLOSE_WAIT
从上面可以看出,我自己的IP:1410端口正和 远程219.133.49.*:443 连接着!
本机发现中了木马如何查到木马控制端IP
呵呵呵..开如>>运行>>CMD>>NETSTAT -AN 看看它是用哪个程序上线的.后面那个就是它的IP..这个太麻烦了.但是用工具又怕你不会.哎..当中那个IP就是远程IP
本机发现被中木马如何查到木马控制端IP
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动 所以,平时多注意一下你...
电脑给远程控制了,成了别人的肉鸡,怎样查到对方的IP?
首先,电脑重新安装的话,绝大部分情况下木马是已经被安装时删除掉了。所以重新安装后木马与对方的联系已经中断,所以没有可能查出来了。第二,如果现在木马已经在运行的话,在开始,运行里输入cmd回车,然后输入命令netstat -an可以看到你的电脑与其它主机通信的IP地址和端口。由此是可以查到木马那一头的...
如何查询木马控制端IP
你可以解析木马程序,或者进行端口监听 3.端口复用木马 以pcshare为例,它不开放古怪的端口,以http的端口(80)进行数据交流(隧道技术),你在防火墙,CMD中看不出来,需要特定的查杀软件(也可以 ES 抓包然后去掉普通的包,加以分析,既以包头来判断)以上你查出来的木马ip都是直接连接的IP 不一定是...
电脑被别人远程控制了 怎么查看控制者的ID
远程控制者ID是看不到的,只能查看对方的IP。远程控制常见的方法都是通过木马病毒进行远程控制。关闭所有上网软件和网页,在【开始】-【运行】-输入【cmd】-输入【netstat -a】就可以看到对方的IP,如图:(图中红框内的就是本地电脑与外网访问的建立连接时对方的IP地址)...
机器中木马以后怎么查看来源IP
运行cmd net status 查看端口 跟源IP 如果我没记错的话...
如何查找木马病毒
一、1、检查网络连接情况由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”-“运行”-“cmd”,然后输入net statan这个命令,能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,...
怎样发现自己的电脑被人安装了木马?
一、检测网络连接 如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(...
怎么看电脑中木马
1、通过安全软件关闭全部要联网的程序,然后点击“开始→运行”,输入“netstat –an”2、如果发现有外网IP地址,查询该IP地址对应的信息 3、如果该IP地址来源说不清楚,就表明电脑极有可能已经被木马控制了。3、此外,如果电脑已经变成肉鸡了,上网的时候时不时的会出现卡一下,或者鼠标时不时的不听使唤...
怎么查询入侵自己电脑的IP
察看你的计算机日志,方法是鼠标右键“我的电脑”—管理—选择事件查看器 仔细看看里面的安全,看看有谁成功登陆了你的机器,如果发现你的日志里什么都没有或则很少,最近几日的日志突然没了就说明你的机器可能被入侵了,还有简单的方法杀毒,一般的黑客入侵机器后都会在机器中留下自己的后门程序,用最新的...
