解決盜號木馬侵入電腦問題的解決辦法
電腦病毒的異軍突起,病毒肆無忌憚地入侵我們的電腦,防毒程式的攔截阻攔,在電腦上每天都上演著電腦保衛戰。下面是小編收集整理的,希望對大家有幫助~~
小知識:SoundMan木馬
SoundMan木馬是利用Realtek音效卡相關程式以及圖示迷惑使用者的一款“網遊木馬下載器”,它除了具備普通木馬能夠遮蔽顯示隱藏檔案的功能外,還可以用替換服務等方式啟動自身,並具有結束防毒軟體和在後臺下載大量網遊木馬的功能。
1.隱藏檔案已經無法顯示
開啟一個資料夾,在上方選單中選擇“工具/資料夾選項”,在“檢視”中勾選“顯示所有檔案和資料夾”,並去掉“隱藏已知檔案型別的副檔名”前面的勾。經過這樣的操作後,隱藏檔案還是無法顯示。
提示:一旦發現設定了“顯示所有檔案和資料夾”,而系統仍無法顯示隱藏檔案的話,一定要引起足夠的重視,極有可能有木馬入侵。
2.檢視System32資料夾
進入System32資料夾中***假設WindowsXP安裝在C盤***,可以發現木馬建立了ineters.exe、SoundMan.exe、tthh3.ini這三個檔案***編注:之前我們已經對顯示隱藏檔案做了處理***。
提示:木馬一般會在系統資料夾System32中釋放病毒檔案以及相關的ini檔案,如果懷疑中了木馬,注意檢查此資料夾中那些在出現中毒症狀前後所建立的檔案。
3.檢視使用者賬戶
單擊“開始/設定/控制面板”,雙擊“使用者賬戶”,如果發現電腦中的Guest賬戶無故被啟用,或是多出其它的陌生賬號,例如名為Microsoft的賬戶,也要提高警惕,這也是感染木馬的一個典型特徵。
4.檢視auto檔案
當系統中了SoundMan.exe木馬後,只要有新的可移動儲存接入,此木馬便會寫入auto.exe和autorun.inf檔案,所以我們在滑鼠右鍵選單中發現有auto、autorun任何一個選項,或是在行動硬碟或快閃記憶體根目錄下檢視發現auto.exe和autorun.inf這兩個檔案,則證明中毒。
提示:現在的木馬一般都會利用移動儲存設定的自動播放功能進行病毒的寫入和傳播,所以如果在硬碟分割槽以及移動儲存裝置根目錄下發現auto.exe和autorun.inf這兩個檔案,則電腦與行動硬碟都已經中毒。
除了檢查上面那些地方外,我們還可以從以下幾個木馬喜歡喜歡藏身的地方來查詢蛛絲馬跡。
一是從“Win.ini”檔案判斷是否中毒。利用記事本開啟“C:Windows”目錄下的Win.ini檔案。在檔案的[windows]欄位中查詢啟動命令“load=”和“run=”後面是否跟有程式,在一般情況下“=”後面是空白的,如果在“=”號後面跟著程式***圖2***,那一般是中了木馬病毒。
二是從“System.ini”檔案判斷是否中毒。利用記事本方式開啟位於“C:Windows”目錄下的“System.ini”檔案,如果發現[boot]欄位中“shell=Explorer.exe”後添加了程式,一般都是木馬服務端程式。另外,在System.ini中的[386Enh]欄位,要注意檢查在此段內的“driver=路徑程式名”,這裡也有可能被木馬所利用。在System.ini中的[mic]、[drivers]、[drivers32]這三個欄位,它們起到載入驅動程式的作用,但也是新增木馬程式的好場所,所以也需要進行檢查。
三是開啟登錄檔編輯器進行查詢。木馬一般會利用登錄檔中的Run、RunServices、RunOnce等子項來載入,在“開始”/“執行”中輸入“regedit”進入登錄檔編輯器,在以下幾個地方進行檢視。
***1***登錄檔中的啟動項
檢視“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion”下的RunServices、RunServicesOnce、Run、RunOnce以及“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion”下的RunServices、Run、RunOnce下是否有可疑專案。
如果發現其中載入了一些陌生程式到系統資料夾中,那麼則可能中了木馬病毒。
***2***檔案關聯鍵
有些木馬還會通過修改登錄檔中的某一型別檔案的鍵值來載入程式。檢查“HKEY_CLASSES_ROOTXXX***編注:這裡的XXX可以是exefile、comfile、batfile、htafile、piffile***shellopencommand”子鍵中“預設”值:““%1”%*”;檢查“HKEY_LOCAL_MACHINESoftwareCLASSESXXX***編注:這裡的XXX可以是exefile、comfile、batfile、htafile、piffile***shellopencommand”子鍵中“預設”值:““%1”%*”。
這些“%1%*”可以被賦值,如果發現預設值被修改,例如病毒木馬將其改為“muma.exe%1%*”,則可能中毒。橫掃網路木馬
病人:我已經中了木馬,應當怎麼清除?
醫生:如果電腦系統分割槽中沒有重要資料,那麼利用備份及一鍵恢復直接重新恢復系統是最簡單的方法。如果無法這樣做,可以用一些工具軟體來幫忙清理木馬。
目前很多木馬病毒,譬如本例中的SoundMan.exe能夠刪除安全軟體的啟動專案、劫持安全/防毒軟體,並且連線網路下載其它木馬及病毒。所以首先要做的就是刪除登錄檔的啟動項、修復被劫持的防毒軟體/安全軟體,然後利用防毒軟體或專殺工具來清除木馬。
下載SREng軟體並更改名稱執行,首先對登錄檔中的RUN鍵進行修復,選擇“系統修復”選項中的“登錄檔”選項卡,刪除未知的啟動專案,比如路徑為系統資料夾***C:windowssystem32或C:winntsystem32***中的SoundMan.exe木馬病毒程式啟動項***圖3***。
提示:除了“登錄檔”啟動項外,我們最好進入“啟動專案”中的“Win.ini”、“System.ini”等選項中進行檢視並清除相關聯的病毒載入項,以免病毒死灰復燃。
然後再選擇“系統修復”中的“檔案關聯”選項,勾選錯誤的檔案關聯,單擊“修復”按鈕,修復被木馬病毒劫持的程式,包括防毒軟體和一些安全工具等。
為了防止啟用木馬,在“系統修復”的“高階修復”選項中單擊下方“修復安全模式”對電腦安全模式進行修復,最後進入到安全模式下進行防毒軟體病毒庫的更新及病毒查殺,同時下載木馬病毒的專殺工具對木馬及病毒進行掃描清除。
提示:除了利用SREng軟體進行修復,我們還可以利用小工具包來進行系統修復,小工具包在電腦報網站進行下載,開啟工具包後,雙擊恢復顯示隱藏檔案.REG匯入登錄檔,再開啟Icesword軟體,清除系統資料夾中的病毒檔案、使用IFEO映像劫持修復工具修復被劫持的防毒軟體及安全軟體,最後就是用防毒軟體進行查殺。小工具下載下來後改名後再使用,以免被木馬病毒劫持。
如何預防木馬
病人:木馬雖然已經清除了,但是我怎麼避免以後電腦再被木馬侵襲呢?
醫生:為了更好的保護系統不受到破壞,打好我們的網遊賬號保衛戰,除了為一個完全乾淨無毒系統做個備份,我們還可以通過以下的方法來進行網遊木馬的預防。
1.必須安裝防毒軟體及防火牆,並對其進行升級,相應系統補丁也要隨時更新,還要定期進行病毒木馬掃描。
2.安裝遊戲賬號保護軟體
目前有很多專門針對網遊賬號保護的安全工具,它們採取的原理不同,但對遊戲賬號都有一定的保護作用,條件允許的情況下可安裝這樣的保護軟體。如何選擇,可參考本期F7版的評測。
3.通過登錄檔設定,阻止病毒通過IFEO劫持防毒軟體,具體操作方法:單擊“開始”→“執行”,在命令列中輸入regedt32,找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions,右鍵單擊此選項,在彈出的選單中選擇“許可權”,然後把Administrors使用者組和Users使用者組的許可權全部取消。
利用登錄檔限制IFEO的讀寫許可權
總結
養成安全的電腦操作習慣+嚴密的安全設定+定期檢查這三大強效藥劑,我們完全可以讓病毒木馬遠離自己的電腦系統,玩網路遊戲時再也不用擔心和木馬親密接觸!但是由於防毒軟體以及安全工具的設定及使用需要一定的電腦基礎,整個木馬產業鏈由於缺少相關法律有效的監控而發展的越來越大,導致許多對電腦安全設定不熟悉的使用者遭遇木馬侵襲圍剿,使用者的私密資訊一旦被不法分子掌握,將會給使用者造成嚴重的後果。我們呼籲除了電腦使用者加強自身的電腦安全意識和技能外,還需要國家法律以及網路監管部門一起攜手,共同打造一個安全的網路環境!