如今木马数量众多、防不胜防,只要你能上网,就可能中弹落“马”,由于许多杀毒软件不能查杀木马,因此很多人中了木马之后,还全然不知呢!直到有一天你的网游帐号、装备丢失了,网银存款被盗了,才知道是木马所为。因此掌握手工查杀木马的技巧,是网上生活必备的技能,你可以用下面的方法来手工查杀木马:
一、检查木马的方法
1、启动任务管理器
按Ctrl+Alt+Del键启动任务管理器,点击“进程”选项卡,查看其中是否有陌生进程,记录下来,暂时别动它。
2、检查本机端口
启动一个命令提示符窗口,键入netstat -an 看看是否有异常端口,建议使用TCPView(下载地址http://xj-http.skycn.net:8080/down/tcpview.zip)、或者Active Ports(下载地址http://www.ttxx.com/download.asp?id=9213&downid=3)来查看端口与进程的关系(如下图),找出使用异常端口的进程,记录下来。
3、在注册表中检查
单击“开始”/运行,键入Regedit打开注册表,检查其中是否有木马,记录下来,暂时不要更改。
(1)检查自启动项
查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion、 HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值,检查其中是否有程序,木马喜欢藏在这些位置。
(2)检查文件关联是否被修改
国产木马还喜欢修改文件关联,例如TXT文件通常是由记事本(Notepad.exe)来打开的,如果你中了国产木马冰河之后,则会被修改为用木马程序打开,因此只要你一打开文本文件,就会自动启动木马。
木马修改文件关联的方法是:修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE %1”改为“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”来完成的。
注意:木马不仅仅只会修改TXT文件的关联,有时还可能修改HTM、EXE、ZIP、COM等文件的关联。因此对付这类木马,你应该检查HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值是否正常。
4、检查系统目录中文件
启动资源管理器,点击“工具”/文件夹选项/查看,设置显示全部文件(包括受保护文件),不要隐藏已知文件的扩展名,然后打开Windows\ 及 Windows\system32目录中的文件,按建立时间排序,找出建立时间或修改时间异常的程序,记录下来。
[1] [2] 下一页 |
