利用工具
查殺木馬的工具有EWIDO木馬克星金山木馬專殺木馬清除大師木馬分析專家等其中有些工具如果想使用全部功能需要付一定的費用
查看目前運行的服務
服務是很多木馬用來保持自己在系統中永遠能處於運行狀態的方法之一我們可以通過點擊開始運行cmd然後輸入net
start來查看系統中究竟有什麼服務在開啟如果發現了不是自己開放的服務我們可以進入服務管理工具中的服務找到相應的服務停止並禁用它
檢查系統啟動項
由於注冊表對於普通用戶來說比較復雜木馬常常喜歡隱藏在這裡檢查注冊表啟動項的方法如下:點擊開始運行regedit然後檢查:
HKEY_LOCAL_MACHINE Software Microsoft Windows
CurrentVersion下所有以run開頭的鍵值; HKEY_CURRENT_USER
Software Microsoft Windows CurrentVersion下所有以run開頭的鍵值;
HKEYUSERS Default Software Microsoft Windows
CurrentVersion下所有以run開頭的鍵值
Windows安裝目錄下的Systemini也是木馬喜歡隱蔽的地方打開這個文件看看在該文件的[boot]字段中是不是有shell=Explorerexe
fileexe這樣的內容如有這樣的內容那這裡的fileexe就是木馬程序了!
檢查網絡連接情況
由於不少木馬會主動偵聽端口或者會連接特定的IP和端口所以我們可以在沒有正常程序連接網絡的情況下通過檢查網絡連情情況來發現木馬的存在具體的步驟是點擊開始運行cmd然後輸入netstat
an這個命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽的端口它包含四個部分――proto(連接方式)local
address(本地連接地址)foreign
address(和本地建立連接的地址)state(當前端口狀態)通過這個命令的詳細信息我們就可以完全監控電腦的網絡連接情況
檢查系統帳戶
惡意的攻擊者喜在電腦中留有一個賬戶的方法來控制你的計算機他們采用的方法就是激活一個系統中的默認賬戶但這個賬戶卻很少用的然後把這個賬戶的權限提升為管理員權限這個帳戶將是系統中最大的安全隱患惡意的攻擊者可以通過這個賬戶任意地控制你的計算機針對這種情況可以用以下方法對賬戶進行檢測
點擊開始運行cmd然後在命令行下輸入net
user查看計算機上有些什麼用戶然後再使用net user
用戶名查看這個用戶是屬於什麼權限的一般除了Administrator是administrators組的其他都不應該屬於administrators組如果你發現一個系統內置的用戶是屬於administrators組的那幾乎可以肯定你被入侵了快使用net
user用戶名/del來刪掉這個用戶吧
From:http://tw.wingwit.com/Article/os/xtgl/201405/30677.html
