㈠ rundll32.exe應用程序錯誤 如何解決
Rundll32.exe是系統提供的一個動態鏈接庫,它用來調用32位的DLL函數,顯然這個問題是該文件被損壞所造成的。
我們可以通過下面的方法來恢復它,
1、首先把系統安裝盤放入光碟機,然後打開「命令提示符」,並輸入「expandf:\i386\rundll32.ex_c:\windows\rundll32.exe」,其中「F:\」是光碟機盤符,根據自己的光碟機進行更改即可。
2、網上搜索rundll32.exe修復工具,下載一個!1
3、一般情況下rundll32.exe是不太容易出問題的,建議你在安全模式下全面殺毒。
因為rundll32.exe這個進程在一般情況下是不出現的,即使出現佔用的資源也相當小,基本就是0%,所以你現在的情況很有可能是中了病毒或者間諜軟體了,如果查殺病毒沒有結果的話可以試試查殺間諜廣告軟體,有時候這些東西也會造成這種現象,至於查殺間諜軟體的工具可以試試Ewido
==============
殺毒三步:
一、查看進程,(可以用上面的軟體進行)結束惡意軟體運行時建立的進程。
二,查看隱藏文件,在文件夾選項里設置。然後刪病毒程序和其所調用的模塊。
三、搜索注冊表,找到病毒文件建立的鍵值。刪。
然後重新啟動。
1、有多操作系統的用戶,可以通過引導到其它系統刪除病毒所有文件,徹底清除病毒。
2、按Ctrl+Alt+Delete調出任務管理器,在進程頁面中結束掉所有名稱為病毒的進程(建議在後面的操作中反復此操作,以確保病毒文件不會反復發作)。
3、在開始--運行中輸入「regedit」(XP系統)打開注冊表,點「編輯」——「查找」,在彈出的對話框中輸入病毒文件名,找到後全刪。
4、在我的電腦-工具-文件夾選項-查看-顯示所有文件和文件夾,把「隱藏受保護的系統文件」的勾去掉,你會看到出現了你所說的文件名的文件,直接刪除
UpLive.exe應該是金山毒霸的自動升級程序,你重新安裝一遍金山毒霸看看吧
金山毒霸2008目前也發現了這個問題。
據說自己到金山毒霸的目錄中執行Update.exe就可以升級。
使用金山毒霸升級精靈後不能正常進行升級一般只有兩種情況:
1是金山毒霸升級精靈被殺軟人為是病毒,在其啟用時被殺軟殺掉了。(樣子你們應該見過,就不貼圖了)解決方法:尋找新的免殺版
2是金山毒霸升級精靈不能截取升級信息。當金山毒霸升級精靈正常升級時點開後你會看見有N多亂碼(這些就是截取的升級信息)刷屏,如果什麼都沒有就說明其不能截取升級信息,當然也就不能正常進行升級啦!解決方法:只要刪除注冊表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\ESPI11
這個項(放心,金山毒霸升級精靈在運行後會重新在注冊表中生成這個項的),然後重新運行金山毒霸升級精靈進行升級即可成功。
㈡ 電腦中了木馬病毒怎麼解除
你好! 如果你電腦中了 -木馬,-病毒,-惡意軟體等
請接受我的建議:
如果解決中還有問題MYQQ:244344727 謝謝。,!
請容納我的解決方案:
1准備軟體:
殺毒軟體,檢測軟體。
[如果可以的話,盡量了解自己中什麼病毒,下載該病毒專殺工具www.xunlei.com上面找(有的病毒屏蔽文字)]
[再不行,發給我信息,我直接把地址發給你]
2,如果在正常狀態不能殺毒
請:開機按F8,進入安全模式。[有的連安全模式多進不去。][下面軟體有可以修復]
在那個模式可以運行殺毒軟體。
3,
用殺毒軟體,[必須更新]
檢測軟體殺完一遍磁碟就可以了,
4,重新啟動,
檢測軟體:
,360衛士http://www.360safe.com/
專殺工具:http://www.360.cn/killer/erkiller.html
金山清理專家:http://www.skycn.com/soft/37174.html
超級兔子:http://www.skycn.com/soft/2993.html
,優化大師 http://www.skycn.com/soft/2988.html
機器狗/磁碟機/AV終結者專殺工具
http://www.ba.net/zhuansha/259.shtml
AUTO木馬群專殺工具
http://www.ba.net/zhuansha/260.shtml
殺毒軟體:卡巴,瑞星,金山...,
自己動手檢查:
木馬程序是一種程序,它能提供一些有用的,或是僅僅令人感興趣的功能。但是它還有用戶所不知道的其他功能,例如在你不了解的情況下拷貝文件或竊取你的密碼。
RFC1244(Request for Comments:1244)中是這樣描述木馬的:「木馬程序是一種程序,它能提供一些有用的,或是僅僅令人感興趣的功能。但是它還有用戶所不知道的其他功能,例如在你不了解的情況下拷貝文件或竊取你的密碼。」隨著互聯網的迅速發展,木馬的攻擊、危害性越來越大。木馬實質上是一個程序,必須運行後才能工作,所以會在進程表、注冊表中留下蛛絲馬跡,我們可以通過「查、堵、殺」將它「緝拿歸案」。
查
1.檢查系統進程
大部分木馬運行後會顯示在進程管理器中,所以對系統進程列表進行分析和過濾,可以發現可疑程序。特別是利用與正常進程的CPU資源佔用率和句柄數的比較,發現異常現象。
2.檢查注冊表、ini文件和服務
木馬為了能夠在開機後自動運行,往往在注冊表如下選項中添加註冊表項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
木馬亦可在Win.ini和System.ini的「run=」、「load=」、「shell=」後面載入,如果在這些選項後面載入程序是你不認識的,就有可能是木馬。木馬最慣用的伎倆就是把「Explorer」變成自己的程序名,只需稍稍改「Explorer」的字母「l」改為數字「1」,或者把其中的「o」改為數字「0」,這些改變如果不仔細觀察是很難被發現。
在Windwos NT/2000中,木馬會將自己作為服務添加到系統中,甚至隨機替換系統沒有啟動的服務程序來實現自動載入,檢測時要對操作系統的常規服務有所了解。
3.檢查開放埠
遠程式控制制型木馬以及輸出Shell型的木馬,大都會在系統中監聽某個埠,接收從控制端發來的命令,並執行。通過檢查系統上開啟的一些「奇怪」的埠,從而發現木馬的蹤跡。在命令行中輸入Netstat na,可以清楚地看到系統打開的埠和連接。也可從www.foundstone.com下載Fport軟體,運行該軟體後,可以知道打開埠的進程名,進程號和程序的路徑,這樣為查找「木馬」提供了方便之門。
4.監視網路通訊
對於一些利用ICMP數據通訊的木馬,被控端沒有打開任何監聽埠,無需反向連接,不會建立連接,採用第三種方法檢查開放埠的方法就行不通。可以關閉所有網路行為的進程,然後打開Sniffer軟體進行監聽,如此時仍有大量的數據,則基本可以確定後台正運行著木馬。
堵
1.堵住控制通路
如果你的網路連接處於禁用狀態後或取消撥號連接,反復啟動、打開窗口等不正常現象消失,那麼可以判斷你的電腦中了木馬。通過禁用網路連接或拔掉網線,就可以完全避免遠端計算機通過網路對你的控制。當然,亦可以通過防火牆關閉或過濾UDP、TCP、ICMP埠。
2.殺掉可疑進程
如通過Pslist查看可疑進程,用Pskill殺掉可疑進程後,如果計算機正常,說明這個可疑進程通過網路被遠端控制,從而使計算機不正常。
殺
1.手工刪除
對於一些可疑文件,不能立即刪除,有可能由於誤刪系統文件而使計算機不能正常工作。首先備份可疑文件和注冊表,接著用Ultraedit32編輯器查看文件首部信息,通過可疑文件裡面的明文字元對木馬有一個大致了解。當然高手們還可以通過W32Dasm等專用反編譯軟體對可疑文件進行靜態分析,查看文件的導入函數列表和數據段部分,初步了解程序的主要功能。最後,刪除木馬文件及注冊表中的鍵值。
2.軟體殺毒
由於木馬編寫技術的不斷進步,很多木馬有了自我保護機制。普通用戶最好通過專業的殺毒軟體如瑞星、金山毒霸等軟體進行殺毒,對於殺毒軟體,一定要及時更新,並通過病毒公告及時了解新木馬的預防和查殺絕技,或者通過下載專用的殺毒軟體進行殺毒(如近期的沖擊波病毒各大公司都開發了查殺工具)。
最後清理系統:
清理系統垃圾2招:
1:
給你個批處理吧
del /f /s /q %systemdrive%\*.tmp
del /f /s /q %systemdrive%\*._mp
del /f /s /q %systemdrive%\*.log
del /f /s /q %systemdrive%\*.gid
del /f /s /q %systemdrive%\*.chk
del /f /s /q %systemdrive%\*.old
del /f /s /q %systemdrive%\recycled\*.*
del /f /s /q %windir%\*.bak
del /f /s /q %windir%\prefetch\*.*
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q "%userprofile%\recent\*.*"
隨便建個記事本,然後把上面這段話復制到記事本里,再另存為*.bat(*為任意名),然後直接運行就可以了
2:
新建一個記事本並輸入以下的內容:
@echo off
echo 正在清除系統垃圾文件,請稍等...
del /f /s /q %systemdrive%\*.tmp
del /f /s /q %systemdrive%\*._mp
del /f /s /q %systemdrive%\*.log
del /f /s /q %systemdrive%\*.gid
del /f /s /q %systemdrive%\*.chk
del /f /s /q %systemdrive%\*.old
del /f /s /q %systemdrive%\recycled\*.*
del /f /s /q %windir%\*.bak
del /f /s /q %windir%\prefetch\*.*
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\小甜餅s\*.*
del /f /q %userprofile%\recent\*.*
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q "%userprofile%\recent\*.*"
echo 清除系統LJ完成!
echo. & pause
打開還是記事本的看清楚這里最後將它保存,然後更名為「清除系統LJ.bat」
以上回答如果還有疑問,請發給我信息,順便把本頁的網址也發給我,以便我好回答,謝謝
㈢ 可以反編譯木馬apk嗎
您好
如果木馬APK源代碼沒有加密
是可以通過反編譯軟體進行反編譯的
如果您反編譯的目的是為了修改木馬繼續傳播,請不要傳播病毒、盜號木馬程序,惡意傳播病毒和木馬會污染互聯網環境,請您加入到維護網路安全的大軍中!
QQ木馬程序會導致您和他人的帳號和密碼泄露,從而可能使您和他人的QQ財產,如游戲、QB等受到嚴重威脅,嚴重的還會違反法律。
請您不要輕易安裝陌生人傳送給您的未知文件,有可能是病毒或者木馬。
建議您安裝騰訊電腦管家對您的電腦進行實時防護,保護您的電腦安全運行,避免給您的財產和個人隱私帶來威脅。
騰訊電腦管家企業平台:http://..com/c/guanjia/
㈣ 為什麼360衛士添加小紅傘引擎後就掃描出木馬
你好。
現在很多殺軟用的小紅傘引擎其實是第一代引擎,如360,電腦管家等等。第一代引擎就是憑著多年做殺軟的經驗,把一些病毒的特徵碼,數據等納入一個類似黑名單的資料庫,這樣殺軟就可以根據這個資料庫來判斷文件是不是病毒。所以第一代引擎不是誰都可以自己自主研發的,需要多年的經驗和盤大的資料庫,也要注入很多資金。像瑞星就是有自己的第一代引擎。但是有些殺軟剛剛創造的第一代引擎肯定是比不上那些國外十多年老牌的引擎的,基於競爭方面和實用性方面,很多國內的殺軟第一代本地引擎就用國外的了,如360用的是比特焚德和小紅傘,電腦管家也是小紅傘等等。
啟發引擎屬於第二代引擎,比如你所說的360安全衛士就有一個360啟發式引擎,啟發式引擎屬於第二代引擎,這是根據一套演算法來掃描病毒的,就像數學的公式一樣。病毒和木馬就有一定公式代碼組成,這些代碼都有一定的規律,啟發式引擎就是根據其規律來防禦這些木馬的,當然,由於現在的木馬比病毒還要更新快而且其隱蔽性很高,傳統第一代引擎只能掃描到已經出現過得木馬,如剛剛出現的木馬殺軟就會掃描不到,就只是會跟著木馬後面跑,所以就出現了啟發式引擎,能讓殺軟可以掃描到最新的木馬病毒。
啟發式技術,在原有的特徵值識別技術基礎上,根據反病毒樣本分析專家總結的分析可疑程序樣本經驗(移植入反病毒程序),在沒有符合特徵值比對時,根據反編譯後程序代碼所調用的win32 API函數情況(特徵組合、出現頻率等)判斷程序的具體目的是否為病毒、惡意軟體,符合判斷條件即報警提示用戶發現可疑程序,達到防禦未知病毒、惡意軟體的目的。解決了單一通過特徵值比對存在的缺陷。
所以你不用擔心360有沒有啟發式引擎,啟發式引擎很多殺軟都有的,360有,金山也有,電腦管家也有,因為第二代引擎相對第一代引擎不用靠盤大的資料庫,只要那個安全企業有那個資金去研發,都可以研發成的,不過各個殺軟的啟發式引擎的殺毒能力由於各個技術不同就不同了。
360衛士的小紅傘就只參與掃描,360殺毒的小紅傘就有參與掃描與防護。這是為了使360衛士與360殺毒不沖突而設置的。
因為網上有很多菜鳥,這些菜鳥很容易受到其他人的說法就會隨便煽動說360不好的。其實吧,殺軟都是有分優缺點的,並不是所有的殺軟都是一無是處。
360衛士和360殺毒還是挺不錯的,在AV-C,vb-100等的測試成績都很不錯,都比較靠前,360殺毒有比特焚德和小紅傘的第一代引擎,因此它的本地掃描還是不錯的,另外它也有QVM第二代人工智慧引擎,這在全國屬於首創,不過現在電腦管家的第二代鷹眼反病毒引擎應該也是屬於這種類型的吧,這是第三代引擎,應該效果和第二代啟發式引擎差不多,"簡單的說360的人工智慧引擎就是在海量病毒樣本數據中歸納出一套智能演算法,自己來發現和學習病毒變化規律。它無需頻繁更新特徵庫、無需分析病毒靜態特徵、無需分析病毒行為,但是病毒檢出率卻遠遠超過了第一、二代引擎的總和,而且查殺速度比傳統引擎至少快一倍。"(ps:所以我說電腦管家也有這個引擎了)
另外360安全衛士里有網購先陪,360連我wifi,魯大師,360游戲保險箱,360急救箱,360急救盤,360門診等等,都可以幫助你解決許多電腦的問題。這些都是免費的,不需要像金山那樣需要成為會員才可以享受某些特權。
缺點就是360和很多知名的大互聯網公司有矛盾,比如和網路,金山,騰訊等等,所以會受到這些廠商的排擠,名聲就會變得不怎麼好,比如今年就有某個公司發表了一篇關於「360黑匣子的文章」說360會盜取用戶隱私,就是隨便沒有證據污衊360的。
還有360之前的誤殺率有些高,現在好多了。其實我國的殺軟做得還是挺不錯的,一般大缺點不是挺多,像電腦管家現在就做得很不錯。
另外我覺得360也不適合小白用,小白會不懂怎麼用的,我覺得小白還是用電腦管家吧,騰訊很有錢,做什麼事錢砸下去,垃圾都可以成極品,現在電腦管家就很好,都超過360和金山了,而且電腦管家只要安裝一個電腦管家就行了,這樣方便,所以更加適合小白使用。
希望我的回答能帶給你幫助。
㈤ 今天電腦中病毒了,提供病毒文件誰能反編譯一下
這表現和autorun病毒一個樣哈,起碼類似,形式。
㈥ 病毒分析所需要的工具
1.Regfix 這裡面收集了金山IE修復和瑞星注冊表修復工具。
2.IceSword (冰刃) 這版本有點老了(1.04的)不過新版本應用有危險所以放穩定的.內部功能是十分強大,用於查探系統中的幕後黑手-木馬後門,並作出處理。使用了大量新穎的內核技術,使得這些後門躲無所躲。
3.HijackThis 能夠掃描注冊表和硬碟上的特定文件,找到一些惡意程序「劫持」瀏覽器,各代碼作用可參照幫助。壓縮包中放了漢化版和原版.
4.ResScope 一個類似 eXeScope 的軟體資源分析和編輯工具,功能已超過 eXeScope。
5.PEID 是最強大的一個查殼工具。增加WinNT平台下的自動脫殼器插件,可以應對現在大部分的軟體脫殼.
6.ServiWin 程序可以顯示已安裝在您的系統中的服務和驅動程序列表。允許您方便地控制服務和驅動程序的狀態,更改服務和驅動程序的啟動類型,以不同的顏色區分不同的狀態和啟動類型,並可以將列表保存為文件或網頁報告。
7.SrvInstw 可將任何程序加為Win系統服務的軟體,也可以卸載系統服務或驅動! 手動清理病毒要用到.
8.SniffPass可以捕捉本機和區域網中POP3, IMAP4, SMTP, FTP, 和 HTTP等協議的密碼。打開後按F9捕捉方式選擇winpcap...下面是你的網卡。可以用來捕捉木馬發送的密碼.
9.WSockExpert 嗅探工具.自己學怎麼用吧....
10.CapExpert 抓包工具。比上面的WSockExpert厲害,分析可疑數據,只要是馬,一定會向外或向內發送或接收數據的.可以檢查,跟蹤灰鴿子等後門效果特好,能查到對方IP...
上面是網上查來的 不知道專業查毒用什麼工具 但對非專業查毒這些工具已經夠全面了
另外我再推薦四個軟體
1.Ashampoo UnInstaller Platinum Suite(小巧而強大的系統監視及完美清理工具)
2.RegSnap(注冊表監控對比工具)
3.Iris(嗅探工具)
4.C32Asm( 反編譯)
一般你開上上面3個工具 運行病毒 就基本能知道病毒的行為了 知道它做了什麼 當然也就知道你該怎麼清除它 這應該屬於查到毒之後的殺毒范疇
然後就是怎麼定義病毒 (定義病毒的特徵碼)
這個不是很了解 不同殺毒軟體定義不同 習慣也不同 比如諾頓喜歡在PE文件頭部定義 有些殺毒軟體在病毒中間定義 但特徵碼不會很長
可能要用到下面的工具
PEID 查殼的 病毒98%都是加了殼的 當然要脫了才能分析
怎麼脫殼就是可以開一門課了
然後C32Asm 反編譯一下 然後就要用匯編知識來分析了 (我不會匯編。。。)
差不多這樣吧,希望對你有幫助
㈦ 被病毒軟體鎖電腦了 怎麼辦 他們的f8和那個ctrl+alt+del都沒用怎麼辦
PE試試
1、病毒大多隱藏在C盤的SYSTEM32文件夾內,這是裝載系統的文件夾,不過木馬病毒都具有隱藏性,想自己找是不行的。
2、如果電腦中毒了,可下載一個騰訊電腦管家查殺。
3、然後使用騰訊電腦管家——殺毒——全盤查殺,電腦管家擁有4+1殺毒引擎,基於「雲查殺與微特徵技術」的新一代電腦管家雲查殺引擎和本地反病毒引擎,可以輕松根據微特徵和雲病毒庫,檢測出各種流行頑固木馬病毒,並做出查殺。
4、如果遇到頑固或殺毒不掉的病毒,也可以選擇在安全模式下打開騰訊電腦管家按上述步驟進行殺毒。
關機,斷網,選擇進入模式(開機按F8鍵,選擇第一項就可以進入了,這個模式只啟動基本的驅動不會載入其它的軟體,然後把你的病毒軟體打開進行清理就可
㈧ 求SOLA病毒解決方案
你好! 如果你電腦中了 -木馬,-病毒,-惡意軟體等
請接受我的建議:
如果解決中還有問題MYQQ:244344727 謝謝。,!
請容納我的解決方案:
1准備軟體:
殺毒軟體,檢測軟體。
[如果可以的話,盡量了解自己中什麼病毒,下載該病毒專殺工具www.xunlei.com上面找(有的病毒屏蔽文字)]
2,如果在正常狀態不能殺毒
請:開機按F8,進入安全模式。[有的連安全模式多進不去。]
在那個模式可以運行殺毒軟體。
3,
用殺毒軟體,[必須更新]
檢測軟體殺完一遍磁碟就可以了,
4,重新啟動,
檢測軟體:
,360衛士http://www.360safe.com/
專殺軟體:http://www.360.cn/killer/360compkill.html?uid=1&pid=h_home&m=
金山清理專家:http://www.skycn.com/soft/37174.html
超級兔子:http://www.skycn.com/soft/2993.html
,優化大師 http://www.skycn.com/soft/2988.html
機器狗/磁碟機/AV終結者專殺工具
http://www.ba.net/zhuansha/259.shtml
AUTO木馬群專殺工具
http://www.ba.net/zhuansha/260.shtml
殺毒軟體:卡巴,瑞星,金山...,
自己動手檢查:
木馬程序是一種程序,它能提供一些有用的,或是僅僅令人感興趣的功能。但是它還有用戶所不知道的其他功能,例如在你不了解的情況下拷貝文件或竊取你的密碼。
RFC1244(Request for Comments:1244)中是這樣描述木馬的:「木馬程序是一種程序,它能提供一些有用的,或是僅僅令人感興趣的功能。但是它還有用戶所不知道的其他功能,例如在你不了解的情況下拷貝文件或竊取你的密碼。」隨著互聯網的迅速發展,木馬的攻擊、危害性越來越大。木馬實質上是一個程序,必須運行後才能工作,所以會在進程表、注冊表中留下蛛絲馬跡,我們可以通過「查、堵、殺」將它「緝拿歸案」。
查
1.檢查系統進程
大部分木馬運行後會顯示在進程管理器中,所以對系統進程列表進行分析和過濾,可以發現可疑程序。特別是利用與正常進程的CPU資源佔用率和句柄數的比較,發現異常現象。
2.檢查注冊表、ini文件和服務
木馬為了能夠在開機後自動運行,往往在注冊表如下選項中添加註冊表項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
木馬亦可在Win.ini和System.ini的「run=」、「load=」、「shell=」後面載入,如果在這些選項後面載入程序是你不認識的,就有可能是木馬。木馬最慣用的伎倆就是把「Explorer」變成自己的程序名,只需稍稍改「Explorer」的字母「l」改為數字「1」,或者把其中的「o」改為數字「0」,這些改變如果不仔細觀察是很難被發現。
在Windwos NT/2000中,木馬會將自己作為服務添加到系統中,甚至隨機替換系統沒有啟動的服務程序來實現自動載入,檢測時要對操作系統的常規服務有所了解。
3.檢查開放埠
遠程式控制制型木馬以及輸出Shell型的木馬,大都會在系統中監聽某個埠,接收從控制端發來的命令,並執行。通過檢查系統上開啟的一些「奇怪」的埠,從而發現木馬的蹤跡。在命令行中輸入Netstat na,可以清楚地看到系統打開的埠和連接。也可從www.foundstone.com下載Fport軟體,運行該軟體後,可以知道打開埠的進程名,進程號和程序的路徑,這樣為查找「木馬」提供了方便之門。
4.監視網路通訊
對於一些利用ICMP數據通訊的木馬,被控端沒有打開任何監聽埠,無需反向連接,不會建立連接,採用第三種方法檢查開放埠的方法就行不通。可以關閉所有網路行為的進程,然後打開Sniffer軟體進行監聽,如此時仍有大量的數據,則基本可以確定後台正運行著木馬。
堵
1.堵住控制通路
如果你的網路連接處於禁用狀態後或取消撥號連接,反復啟動、打開窗口等不正常現象消失,那麼可以判斷你的電腦中了木馬。通過禁用網路連接或拔掉網線,就可以完全避免遠端計算機通過網路對你的控制。當然,亦可以通過防火牆關閉或過濾UDP、TCP、ICMP埠。
2.殺掉可疑進程
如通過Pslist查看可疑進程,用Pskill殺掉可疑進程後,如果計算機正常,說明這個可疑進程通過網路被遠端控制,從而使計算機不正常。
殺
1.手工刪除
對於一些可疑文件,不能立即刪除,有可能由於誤刪系統文件而使計算機不能正常工作。首先備份可疑文件和注冊表,接著用Ultraedit32編輯器查看文件首部信息,通過可疑文件裡面的明文字元對木馬有一個大致了解。當然高手們還可以通過W32Dasm等專用反編譯軟體對可疑文件進行靜態分析,查看文件的導入函數列表和數據段部分,初步了解程序的主要功能。最後,刪除木馬文件及注冊表中的鍵值。
2.軟體殺毒
由於木馬編寫技術的不斷進步,很多木馬有了自我保護機制。普通用戶最好通過專業的殺毒軟體如瑞星、金山毒霸等軟體進行殺毒,對於殺毒軟體,一定要及時更新,並通過病毒公告及時了解新木馬的預防和查殺絕技,或者通過下載專用的殺毒軟體進行殺毒(如近期的沖擊波病毒各大公司都開發了查殺工具)。
清理系統:
清理系統垃圾2招:
1:
給你個批處理吧
del /f /s /q %systemdrive%\*.tmp
del /f /s /q %systemdrive%\*._mp
del /f /s /q %systemdrive%\*.log
del /f /s /q %systemdrive%\*.gid
del /f /s /q %systemdrive%\*.chk
del /f /s /q %systemdrive%\*.old
del /f /s /q %systemdrive%\recycled\*.*
del /f /s /q %windir%\*.bak
del /f /s /q %windir%\prefetch\*.*
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q "%userprofile%\recent\*.*"
隨便建個記事本,然後把上面這段話復制到記事本里,再另存為*.bat(*為任意名),然後直接運行就可以了
2:
新建一個記事本並輸入以下的內容:
@echo off
echo 正在清除系統垃圾文件,請稍等...
del /f /s /q %systemdrive%\*.tmp
del /f /s /q %systemdrive%\*._mp
del /f /s /q %systemdrive%\*.log
del /f /s /q %systemdrive%\*.gid
del /f /s /q %systemdrive%\*.chk
del /f /s /q %systemdrive%\*.old
del /f /s /q %systemdrive%\recycled\*.*
del /f /s /q %windir%\*.bak
del /f /s /q %windir%\prefetch\*.*
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\小甜餅s\*.*
del /f /q %userprofile%\recent\*.*
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q "%userprofile%\recent\*.*"
echo 清除系統LJ完成!
echo. & pause
打開還是記事本的看清楚這里最後將它保存,然後更名為「清除系統LJ.bat」