七步让木马与你断绝关系

屋顶上的流浪者

大家都知道什么方腹泻奶粉哪个牌子好法是最好的预防措施吗飞鹤有问题吗，
　　我个人觉名牌奶粉得，就是在事情没有放好的进口奶粉一个比较好的方法， [url=http://economy.nmgnews.com.cn/system/2015/03/12/011644555.shtml]恒信[/url个比较好的方法，

　　从而，我们也就知道，只要在开机的时候，拒绝木马运行，也就从此和它88了

　　

　　

　　（一）=================================================================

　　下面给大家操作一下，我就不打字了

　　1 开始 中 启动，大家可以看里面的程序

　　2 注册表中：

　　 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" 找到并双击“AutoRun”

　　 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\" 找到并双击“Run”

　　 "HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run"（这个一般与“开始”中“启动”的相同，但是在“启动”中没有显示）

　　 大家可以在这里面的程序，哪个不正常，就删除它

　　3 开始---运行---gpedit.msc 策略组--用户配置--管理模块--系统--登陆--

　　4 系统服务中的设置

　　大家自己看看，里面有哪个不正常的，就终止它

　　

　　（二）=================================================================

　　我们具体以鸽子为一个例子：

　　我们先查看本机远程8000的端口，看是否打开，在没有中鸽子之前是没有远程8000端口的

　　

　　

　　由于为了让大家看得明显，我就不改鸽子的设置，

　　实战中大家要注意：

　　"GrayPigeon_Hacker.com.cn，灰鸽子服务端程序。远程监控管理，"

　　这些被放鸽子的人改过的信息，只要与原有的比较一下，还是可以判断出它是木马的

　　运行鸽子

　　

　　基本步骤：

　　1 查端口，一般为8000，

　　大家可以用专业的工具查看,

　　也可以用系统自带的工具查看

　　比如:任务管理器,命令提示符,

　　2 然后查程序所在位置终止进程，

　　3 最后删除文件

　　我就不操作了，大家知道就可以了

　　值得注意的是腾讯QQ 也会开启远程8000端口的，要注意区分，可以查询腾讯IP。

　　（三）=================================================================

　　通过对比的方法，实现查找木马

　　

　　基本步骤：

　　1备分安全状态下的一些情况

　　2异常时，把异常的文件情况导出

　　3对比前后两次的结果，根据集体情况，自己判断。

　　

　　具体操作，看我演示一下:

　　

　　

　　首先，

　　

　　因为木马一般在windows\system32，而且后缀名为exe,dll,我们备分一个安全状态下的目录*.exe,*.dll的文件，

　　命令dir

.exe>c:\exe1.txt & dir

.dll>c:\dll1.txt

　　意思是说 提取system32目录下所有文件名后缀名为exe和dll的文件的名字到C盘exe1.txt与dll1.txt记事本里面.

　　导好了,我们去看看,

　　

　　假设，我中木马了，木马为 MMMMM.exe 和mmmmmm.dll,我们再来中一个鸽子，

　　

　　在不安全状态下,我们又导出该目录下的文件名,

　　命令dir

.exe>c:\exe2.txt & dir

.dll>c:\dll2.txt

　　存到C盘exe2.txt 与dll2.txt 里面

　　

　　下面我们进行比较,当然不可能一个个去看,我们让电脑自动比较,

　　命令fc c:\exe1.txt c:\exe2.txt>>c:\b1.txt

　　 fc c:\dll1.txt c:\dll2.txt>>c:\b2.txt

　　

　　b1.txt b2.txt这2个就是对比结果

　　大家看见了吧，就这样，就可以判断是否中了木马

　　然后我们找到他们，终止进程，删除就OK了

　　我就不操作了

　　

　　（四）=================================================================

　　通过“暂缺”判断是否是木马，再综合路径与端口

　　

　　基本步骤：

　　1开始--运行--cmd

　　2再查路径，

　　3最后查杀木马

　　

　　我们以svchost.exe为例子：

　　正常的svchost.exe是在%systemroot%\system32下

　　木马病毒的svchost.exe是在windows\ststem32\wins 或者其他地方

　　像上兴，REDgirl等木马可以设置插入的进程，大家要小心，

　　鸽子的进程也可以修改，

　　

　　我们来简单的操作一下，

　　先用任务管理器查看svchost.exe，svchost.exe会有4，5个左右，

　　我们关闭一下，

　　如果：出现关机倒计时，是正常的，可以这样取消：开始--运行--shutdown -a

　　我这里没有这样的情况，因为我没有中这样的木马，大家可以根据自己的情况具体判断，

　　

　　开始--运行--cmd--tasklist /svc (win2000的电脑用命令"tlist -s",我这里是XP的)

　　svchost.exe“暂缺” ，那就是木马了，我这里没有，其他有的 “暂缺”，不一定是木马

　　大家根据自己的具体情况去判断

　　

　　以上也是一个查杀木马的方法，希望大家能进一步了解木马！

　　

　　（五）=================================================================

　　借助防火墙的“访问规则”来拒绝木马的进程，

　　

　　比如一些过主动防御的木马，虽然过了主动防御，

　　但是在防火墙还是会留下足迹的，大家可以根据自己的判断做终止它，

　　最后删除。

　　

　　这也是一个有效的方法

　　

　　

　　

　　（六）=================================================================

　　

　　建议大家要装有杀毒软件的前提下，在做一些安全措施，

　　比如，金山毒霸（个人观点），建议使用套装，每一个都特定功能，清理专家修复漏洞清理插件，网盾防恶意网址，组合起来用效果比较好。

　　安系统还原精灵，这个就不用介绍了，网吧常用这个。

　　影子系统，不会因为安装、卸载而产生垃圾文件。

　　等等

　　只要重起就没有事情了，

　　当然这个看你会不会灵活使用，

　　有些人自然觉得不方便，

　　我个人觉得很好，这个就是冰点还原精灵，只要同时按住ctrl+alt+shift+F6 就可以弹出设置画面