[为了让更多朋友了解木马,了解是否被木马所控制了。
所以本人就写了以下这篇文章——查找木马是否在你电脑上的最有效方法。。。
查找木马无非就是通过手动和借助工具来查找,首先来介绍手动查找病毒。。当你发现进程有陌生的进程时首先去网上查找到底是什么进程,如果网上查不到怎么办?
首先,我们要有戒心是否中了木马,今天就教大家两种方法查找木马。
1.就是通过PID值来查找木马
首先你关掉可以关掉的服务,然后段网。。。这是为了减少干扰。。。。
第一步就是打开任务管理器在进程项里选者查看,然后选者列,在列里在PID选项前面打勾,然后记住陌生进程前面的PID值。。
接着我们就在cmd里输入netstat-nao看看,在state里下面有没ESTABLISHED选项然后记住PID值。如果你刚才记的陌生进程PID值跟你现在记住的PID值一样的话就是中木马了。。
在这里有朋友们为什么要这样做,因为ESTABLISHED表示这个进程正在跟网络连接起来,因为你断网了。不可能有进程跟网络连接的。
2.检查注册表和启动组来查找木马
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动 ]说好了手动查找方法,然后就介绍通过一些工具软件来查找。
这个就不说了我想大家也应该知道了。。。
以下是查杀木马的工具集合。。。。
System Repair Engineer(SREng)
说明:System Repair Engineer(SREng) 是一款全新的、强有力的、可扩充的用于调整和修复你系统的免费工具,在这个工具的帮助下,你可以察觉你的系统故障并能够很容易的修复他们。
下载:
http://www.kztechs.com/sreng/download.html使用方法:
http://bbs.51cto.com/thread-426640-1-1.htmlHijackThis
说明:解决浏览器劫持等.
下载:
http://dl.9ipc.net/SoftView/SoftView_6.htmlKillBox
说明:KillBox 实质是一个可删除任意文件的工具利器,它可以删除硬盘内任意文件(当删除系统级文件会有提示的),它不管这个文件是EXE还是DLL等其它类型文件,也不管这个文件是正在运行当中,还是正在被系统调用了,KillBox 都可以通过简单几步就将文件删除。正因如此,KillBox 在反病毒方面应用就非常之实用了。现时流行类病毒(蠕虫、木马)很多均为单独的病毒文件或N个病毒文件的组合,这些病毒文件与系统无关,均可以安全删除此类病毒文件,而不影响系统的运行。但在删除过程中,由于病毒的狡滑,总是很难成功地删除,有经验的人往往懂得进入安全模式或 DOS 模式删除病毒文件。所以,就连国际知名安全软件厂商也推荐在安全模式全面杀毒。但现在有相对简单的清除方法了,有了 KillBox ,一切变得简单多了,只要你先通过 HijackThis 等系统分析工具提供的 Log ,确认出那个是病毒文件,再在 KillBox 填上病毒文件的完整路径,或通过浏览选中这个病毒文件,一 Kill 就成功了(仍有某些病毒可能需要重启电脑)。
下载:
http://dl.9ipc.net/SoftView/SoftView_7.html冰刃 IceSword
说明:冰刃 IceSword 是一斩断黑手的利刃,它适用于Windows 2000/XP/2003 操作系统,其内部功能是十分强大,用于查探系统中的幕后黑手-木马后门,并作出处理。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword 使用了大量新颖的内核技术,使得这些后门躲无所躲。使用前请详细阅读说明。
下载:
http://dl.9ipc.net/SoftView/SoftView_32.htmlUnlocker
说明:相信许多使用者在进行档案或目录的删除时都碰过底下的问题,就是被系统告知,档案被某个程序所占用,无法顺利被删除,但是令人百思不得其解的是,该档案到底是被谁所占用呢?是那个程序导致使用者无法将档案删除呢?现在就让 Unlocker 来帮你解决吧!
Unlocker 是一个免费的右键扩充工具,使用者在安装后,它便能整合于鼠标右键的操作当中,当使用者发现有某个档案或目录无法删除时,只要按下鼠标右键中的「Unlocker」,那么程序马上就会显示出是哪一些程序占用了该目录或档案,接着只要按下弹出的窗口中的「Unlock」就能够为你的档案解套啰。
Unlocker 不同于其它解锁软件的部分在于它并非强制关闭那些占用档案的程序,而是以解除档案与程序关连性的方式来解锁,因此不会像其它解锁程序一样因为强制关闭程序而造成使用者可能的数据遗失。
Unlocker 的安装非常简单,使用者于下载后,只需双击档案就能进行安装,在安装的过程中,程序会让使用者选择要将 Unlocker 直接整合进鼠标右键选单或是「传送到...」项目中,让使用者能够更有弹性地呼叫它。这么方便又免费的软件,岂容你错过?马上就下载回去试试它的威力吧!
下载:
http://dl.9ipc.net/SoftView/SoftView_34.htmlLSPFix
说明: LSPFix.exe这个软件主要用来辅助修复HijackThis扫描发现的O10项。使用时,请关闭所有IE界面和文件夹界面后运行LSPFix,运行后,把要修复的那一个O10项从左边转到右边,点“Finish”即可。(不过这之前,需要在“I know what I`m doing”前面打勾。)
下载:
http://dl.9ipc.net/SoftView/SoftView_33.html[WinsockXPFix
说明:WinsockXPFix是一个小巧的winsock和tcp/ip修复工具。
hijackthis在修复010项时有可能会破坏winsock2的SPI,引起WinXP的Winsock故障,导致所有网络应用中断。可以通过这个工具来修复。
下载:
http://dl.9ipc.net/SoftView/SoftView_35.html 
