当下病毒木马疯狂,在买不起正版杀毒软件的情况下
为了在木马洪流中使自己的电脑不受伤害
本人也跟病毒木马经历了几年大大小小的肉搏战
总结一下经验以备后用
一、发现木马
发现木马和病毒一般可以借助一些检测软件,如360安全卫士,超级兔子等,在没有这些工具的时候,也只能手工来查毒了。一般电脑出现启动速度变慢,经常弹出窗体,和自动关闭,当出现这些症状的时候就有可能中招了。检测的办法:
1、看进程,先把所有的程序关掉。ctrl+alt+del打开进程管理器,发现比较陌生的或者奇怪的进程如:9.exe,rund1l.exe,log_1.exe,CMD.exe……等,注意有的木马进程跟系统进程的名字只有一字之差,如rund1l.exe
2、看注册表,win+R打开运行,输入regedit回车,找到键[HKEY_CURRENT_ USER\Software\Microsoft\Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\Explorer\Run],病毒喜欢寄生在这里以便能够自启动,可以经常进来看看如果有陌生的键出现就要警惕了。
3、隐藏文件,有时候直觉告诉你中了病毒的时候,用右键点击盘符,如果菜单出现“自动播放”等选项的时候,那就肯定是中招了。这时用资源管理打开该盘,选择“工具”-“文件夹选项”-“查看” 去掉“隐藏受保护的操作系统文件”前的勾,选择“显示所有文件和文件夹”确定,这是你就可以看见所有隐藏文件了,一般除了系统所在盘的隐藏文件比较多外,其他盘只有一个回收站(RECYCLER)隐藏文件和一个系统备份(System Volume Information)隐藏文件夹。
二、清除
1、先不急着结束病毒进程,用进程信息查看工具IceSword查看进程的启动文件在什么路径,先到该路径下找到该文件,然后在进程管理器中结束该进程,然后删除该可执行文件。如果文件删掉了又回来了,就麻烦写个批处理跟它周旋一下。
打开记事本,输入:
:try
del "C:\DOCUME~1\euser\病毒所在路径\病毒名称.exe"
if exist "C:\DOCUME~1\euser\病毒所在路径\病毒名称.exe" goto try
del %0
保存后改记事本的后缀名为bat,双击运行。引号中的是病毒的完整路径。
2、打开注册表,ctrl+F查找改病毒进程名如log_1.exe,删除所有找到的带有该病毒名称的键。
最好还是进入RUN键检查一下还有没有残余。[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\Explorer\Run]
[HKEY_CURRENT_ USER\Software\Microsoft\Windows\CurrentVersion\Run]
3、用资源管理器打开所有硬盘,显示所有隐藏文件,找到AutoRun.inf文件,用记事本打开,看该文件中运行的可执行文件路径和名称,找到并删除,删除AutoRun.inf文件。
三、防备
1、打补丁,打补丁,打上所有的补丁之后养几个病毒都没问题。
360安全卫士有个“修复系统漏洞”功能,可以自动帮你系统检测所缺的补丁,并下载安装。
2、封端口。木马使用乱七八糟的端口与服务端通讯,如果把不用的端口关掉,可以安全得多。
在“TCP/IP属性”——“高级”——“选项”——“TCP/IP筛选”——“属性” 中
选中“启动TCP/IP筛选”,然后tcp端口只允许80,8080,21,4000,udp端口只允许4000
所开的端口看你一般用到什么网络软件,比如ie要用80和8080,ftp用的是21,QQ用的是4000+