时使用电脑的时候也许会遇到这样的情况:
计算机突然死机, 有时又自动重新启动, 无端端的少了些文件, 发现桌面刷新慢, 没有运行什么大的程序, 硬盘却在拼命的读写, 系统也莫明其妙地对软驱进行搜索, 杀毒软件和防火墙报警, 发现系统的速度越来越慢, 这时候你就要小心了。
第一时间反应(养成一个好的习惯往碗可以减少所受的损失):用CTRL+ALT+DEL调出任务表, 查看有什么程序在运行, 如发现陌生的程序就要多加注意, 一般来说, 凡是在任务管理器上的程序都不会对系统的基本运行照成负面影响(注意:这里说的是基本运行, 先和大家说明白, 关于这条我是在网络上关于这个研究的结果), 所以大家可以关闭一些可疑的程序来看看, 发现一些不正常的情况恢复了正常, 那么就可以初步确定是中了木马了, 发现有多个名字相同的程序在运行, 而且可能会随时间的增加而增多, 这也是一种可疑的现象也要特别注意, 你这时是在连入Internet网或是局域网后才发现这些现象的话, 不要怀疑, 动手查看一下吧!, (注:也有可能是其它一些病毒在作怪)
1 先升级杀毒软件到最新, 对系统进行全面的检查扫描。
2 点击工具→文件夹选项→查看 把隐藏受保护的操作系统文件(推荐)和隐藏已知文件类型的扩展名 这两项前面的勾去掉, 以方便查看。
3 查看Windows目录下的WIN.INI文件中开头的几行:[WINDOWS] load= ren=这里放的是启动Windows自动执行的程序, 可以看看对比对比一下。
4 查看Windows目录下的SYSTEM.INI文件中的这几行:[386Enh] device=这里是放置系统本身和外加的驱动程序。 外加的驱动程序一般都用全路径, 如:device=c:windowssystem32tianyangdemeng.exe(这里只是打个比方)
5 查看开始菜单中的“程序”→“启动”。 这里放的也是启动Windows自动执行的程序, 如果有的话, 它就放在C:WindowsStart MenuPrograms中, 将它保存在较安全的地方后再删除, 需要恢复时在拿出来恢复即可。
6 在“开始”→“运行”中输入"MSCONFIG"查看是否有可疑的启动项, 你也许会问, 前面不是说了吗?其实, 这两种方法是不同的, 你分别用这两个方法查看一下就会发现不同了, 至于要说更深入点, 说实在话, 我也不知道。 呵呵不要笑话, 希望高手出来解答一下!
7 查看注册表, 在“开始”→“运行”中输入“REGEDIT”。
先对注册表进行备份, 才对注册查看。 (一定要养成一个习惯, 在修改木文件时, 对自己没有把握的需要先进行备份)
查看 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices和Run项, 看看有没有可疑的程序。
查看 HKEY_CLASSES_ROOTEXEFILESHELLOPENCOMMAND, 看看是否有。 EXE文件关联的木马, 正确值为"%1"%*查看 HKEY_CLASSES_ROOTINFFILESHELLOPENCOMMAND, 看看是否有。 INF文件关联的木马, 正确值为"SYSTEM ROOT%SYSTEM32NOTEPAD.EXE%1查看 HKEY_CLASSES_ROOTTXTFILESHELLOPENCOMMAND, 看看是否有。 TXT文件关联的木马, 正确值为%SYSTEM ROOT%SYSTEM32NOTEPAD.EXE%1启动CMD, 输入NETSTAT -AN 查看有没有异常的端口。
8 Windows中的执行文件。 exe、。 com、。 dll ……它们都有可能是黑客放置的病毒或是黑客病毒的携带者。 在系统正常的时候, 把以上文件做一个备份, 到需要的时候就可以写回去!
9 在Windows目录下, 看看有无一个名为Winstart.bat的文件。 这个文件也是与Autoexec.bat类似的一个自动批处理文件, 不过, 它只能在Windows工作而不能在DOS下使用。 仔细看看有没有什么你不知道的驱动程序, 把它记录下来, 到百度查一下, 一般这个自动批处理文件是不会被用到的。 (只能凭经验判断了)
10 查看c:autoexec.bat与c:config.sys, 这两个文件里有一些系统所需的驱动程序。 看看有没有什么可疑的驱动程序。
11 右击“我的电脑”→事件查看器 查看安全日志, 看看里面有没有可疑的内容。
12 在CMD下输入NET USER 看看有没有可疑的用户, 出现自己不曾设立的用户, 马上用NET USER ABCD /DEL 把它删除(这里的ABCD是用户名, 只要把它改成想要删除的用户就行了, 也可去下个检查用户克隆器查看和其它一切能帮助到你的工具, 有些黑客建立的用户用一般方法是看不见的, 大家就要注意了。 )
……