论文部分内容阅读
平时使用电脑的时候也许会遇到这样的情况:
计算机突然死机,有时又自动重新启动,无端端的少了些文件,发现桌面刷新慢,没有运行什么大的程序,硬盘却在拼命的读写,系统也莫明其妙地对软驱进行搜索,杀毒软件和防火墙报警,发现系统的速度越来越慢,这时候你就要小心了。
第一时间反应:用CTRL+ALT+DEL调出任务表,查看有什么程序在运行,如发现陌生的程序就要多加注意,一般来说,凡是在任务管理器上的程序都不会对系统的基本运行造成负面影响,所以大家可以关闭一些可疑的程序来看看,发现一些不正常的情况恢复了正常,那么就可以初步确定是中了木马了,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多,这也是一种可疑的现象也要特别注意,你这时是在连入Internet网或是局域网后才发现这些现象,不要怀疑,动手查看一下吧!(注:也有可能是其它一些病毒在作怪)
1.先升级杀毒软件到最新,对系统进行全面的检查扫描。
2.点击“工具”→“文件夹选项”→“查看”,把隐藏受保护的操作系统文件(推荐)和隐藏已知文件类型的扩展名这两项前面的勾去掉,以方便查看。
3.查看Windows目录下的WIN.INI文件中开头的几行:[WINDOWS] load= ren=,这里放的是启动Windows自动执行的程序,可以对比一下。
4.查看Windows目录下的SYSTEM.INI文件中的这几行:[386Enh] device=,这里是放置系统本身和外加的驱动程序。外加的驱动程序一般都用全路径,如:device=c:windowssystem32 tianyangdemeng.exe(这里只是打个比方)。
5.查看开始菜单中的“程序”→“启动”。这里放的也是启动Windows自动执行的程序,如果有,它就放在C:WindowsStart MenuPrograms中,将它保存在较安全的地方后再删除,需要恢复时再拿出来恢复即可。
6.在“开始”→“运行”中输入“MSCONFIG”查看是否有可疑的启动项。
7.查看注册表,在“开始”→“运行”中输入“REGEDIT”。
先对注册表进行备份,才对注册查看。
查看HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices和Run项,看看有没有可疑的程序。
查看HKEY_CLASSES_ROOTEXEFILESHELLOPENCOMMAND,看看是否有.EXE文件关联的木马,正确值为"%1"%*;查看HKEY_CLASSES_ROOTINFFILESHELLOPENCOMMAND,看看是否有.INF文件关联的木马,正确值为"SYSTEM ROOT%SYSTEM32NOTEPAD.EXE%1;查看HKEY_CLASSES_ROOTTXTFILE
SHELLOPENCOMMAND,看看是否有.TXT文件关联的木马,正确值为%SYSTEM ROOT%SYSTEM32NOTEPAD.EXE%1启动CMD,输入NETSTAT -AN查看有没有异常的端口。
8.Windows中的执行文件.exe、.com、.dll……它们都有可能是黑客放置的病毒或是黑客病毒的携带者。在系统正常的时候,把以上文件做一个备份,到需要的时候就可以写回去。
9.在Windows目录下,看看有无一个名为Winstart.bat的文件。这个文件也是与Autoexec.bat类似的一个自动批处理文件,不过,它只能在Windows工作而不能在DOS下使用。仔细看看有没有什么你不知道的驱动程序,把它记录下来,到百度一下,一般这个自动批处理文件是不会被用到的。
10.查看c:autoexec.bat与c:config.sys,这两个文件里有一些系统所需的驱动程序。看看有没有什么可疑的驱动程序。
11.右击“我的电脑”→“事件查看器”,查看安全日志,看看里面有没有可疑的内容。
12.在CMD下输入NET USER看看有没有可疑的用户,出现自己不曾设立的用户,马上用NET USER ABCD /DEL把它删除,这里的ABCD是用户名,只要把它改成想要删除的用户就行了,也可去下个检查用户克隆器查看和其它一切能帮助到你的工具,有些黑客建立的用户用一般方法是看不见的,大家就要注意了。
计算机突然死机,有时又自动重新启动,无端端的少了些文件,发现桌面刷新慢,没有运行什么大的程序,硬盘却在拼命的读写,系统也莫明其妙地对软驱进行搜索,杀毒软件和防火墙报警,发现系统的速度越来越慢,这时候你就要小心了。
第一时间反应:用CTRL+ALT+DEL调出任务表,查看有什么程序在运行,如发现陌生的程序就要多加注意,一般来说,凡是在任务管理器上的程序都不会对系统的基本运行造成负面影响,所以大家可以关闭一些可疑的程序来看看,发现一些不正常的情况恢复了正常,那么就可以初步确定是中了木马了,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多,这也是一种可疑的现象也要特别注意,你这时是在连入Internet网或是局域网后才发现这些现象,不要怀疑,动手查看一下吧!(注:也有可能是其它一些病毒在作怪)
1.先升级杀毒软件到最新,对系统进行全面的检查扫描。
2.点击“工具”→“文件夹选项”→“查看”,把隐藏受保护的操作系统文件(推荐)和隐藏已知文件类型的扩展名这两项前面的勾去掉,以方便查看。
3.查看Windows目录下的WIN.INI文件中开头的几行:[WINDOWS] load= ren=,这里放的是启动Windows自动执行的程序,可以对比一下。
4.查看Windows目录下的SYSTEM.INI文件中的这几行:[386Enh] device=,这里是放置系统本身和外加的驱动程序。外加的驱动程序一般都用全路径,如:device=c:windowssystem32 tianyangdemeng.exe(这里只是打个比方)。
5.查看开始菜单中的“程序”→“启动”。这里放的也是启动Windows自动执行的程序,如果有,它就放在C:WindowsStart MenuPrograms中,将它保存在较安全的地方后再删除,需要恢复时再拿出来恢复即可。
6.在“开始”→“运行”中输入“MSCONFIG”查看是否有可疑的启动项。
7.查看注册表,在“开始”→“运行”中输入“REGEDIT”。
先对注册表进行备份,才对注册查看。
查看HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices和Run项,看看有没有可疑的程序。
查看HKEY_CLASSES_ROOTEXEFILESHELLOPENCOMMAND,看看是否有.EXE文件关联的木马,正确值为"%1"%*;查看HKEY_CLASSES_ROOTINFFILESHELLOPENCOMMAND,看看是否有.INF文件关联的木马,正确值为"SYSTEM ROOT%SYSTEM32NOTEPAD.EXE%1;查看HKEY_CLASSES_ROOTTXTFILE
SHELLOPENCOMMAND,看看是否有.TXT文件关联的木马,正确值为%SYSTEM ROOT%SYSTEM32NOTEPAD.EXE%1启动CMD,输入NETSTAT -AN查看有没有异常的端口。
8.Windows中的执行文件.exe、.com、.dll……它们都有可能是黑客放置的病毒或是黑客病毒的携带者。在系统正常的时候,把以上文件做一个备份,到需要的时候就可以写回去。
9.在Windows目录下,看看有无一个名为Winstart.bat的文件。这个文件也是与Autoexec.bat类似的一个自动批处理文件,不过,它只能在Windows工作而不能在DOS下使用。仔细看看有没有什么你不知道的驱动程序,把它记录下来,到百度一下,一般这个自动批处理文件是不会被用到的。
10.查看c:autoexec.bat与c:config.sys,这两个文件里有一些系统所需的驱动程序。看看有没有什么可疑的驱动程序。
11.右击“我的电脑”→“事件查看器”,查看安全日志,看看里面有没有可疑的内容。
12.在CMD下输入NET USER看看有没有可疑的用户,出现自己不曾设立的用户,马上用NET USER ABCD /DEL把它删除,这里的ABCD是用户名,只要把它改成想要删除的用户就行了,也可去下个检查用户克隆器查看和其它一切能帮助到你的工具,有些黑客建立的用户用一般方法是看不见的,大家就要注意了。