怎样彻底删除木马
怎样彻底删除木马
教你手动杀毒
这是我N次完善过的绝技呦!
首先最好先用杀毒软件试试去下面的网站下载杀毒软件,如果不行在用绝招不迟(下载的杀毒软件要比正版的更新慢很多,所以推荐购买正版,如果想少花点钱可以买以前出的瑞星,因为无论是什么时候出的,只要是没有被盗版:就能升级到最新版本:注意千喜版以前的不行哦)
别望了只可以装一个杀毒软件哦:否则会冲突的!
0,菜鸟必看,如果你找不到病毒文件那么可以试试这个方法,开始-我的电脑-工具-文件夹选项-查看-(选中)显示所有文件和文件夹,去掉:隐藏受保护的操作系统文件:上的勾,然后同样把:隐藏已知文件类型的扩展名:上的勾去掉最后点确定OK什么文件都无所遁形了哈哈,
1,问:rundll32这个进程是不是出现了两个就是中木马了?机子比以前慢了
,不一定很多流氓软件也用这个东东加载的,但是也不排除病毒伪装成软件的可能:rundll32本身不是病毒(瑞星的卡卡上网助手是对付流氓软件的利器可以免费下载)
2,用Windows优化大师之类的软件看看什么程序会在开机时启动(注意高级的病毒可以伪装成系统服务启动,所以服务也不可放过),如果有:一次点,开始-搜索-输入可疑进程的名字然后搜索,找到后先把内存中的病毒结束掉,方法是一次按键,Ctrl+Alt+Delete=任务管理器用它把进程结束然后删除文件
3,如果上面的方法不行则可能是由伪装成正常文件再由它释放病毒:所以有时候杀毒软件查不到但是病毒总是出现,如果无法结束与病毒相关的进程就打开任务管理器-查看-选择列,在PID上打勾点确定,下面的方法是指DOS命令,点-开始-所有程序-附件-命令提示符
ntsd -c q -p PID”命令,就可以强行将指定PID的病毒进程杀死了。例如,发现某个病毒进程的PID为“444”,那么可以执行“ntsd -c q -p 444”命令
4,(注意有的病毒为了对付手动杀毒会同时开两个进程,你关一个它就再开一个所以我们可以编辑一个批处理文件来对付它,
ntsd -c q -p 444
ntsd -c q -p 333;-----把这两段命令复制到一个文本文件保存为*.BAT双击就OK!)
5,若没有发现可疑进程则该病毒是*.DLL型嵌入式的病毒或木马,一般是svchost.exe 和 explorer.exe发生关联,用Windows优化大师的Windows进程管理仔细看svchost.exe 和 explorer.exe加载的*.DLL,注意svchost.exe有很多是系统必须的只有对进程比较了解才能分出svchost.exe上加载的东东,杀explorer.exe和svchost.exe上加载的毒得先退出explorer.exe或svchost.exe然后删除病毒文件,如果杀毒后仍然不稳定说明系统被破坏只须修复安装就OK了
6,请注意:注册表中的相关信息最好也尽量弄干净,一般我是用注册表编辑器搜索病毒文件名把对应的东东删除:可别删错了哦。
最后我要学唐僧多说一句,有句话叫长治久安所以杀毒软件和防火墙是必不可少的哦。
三个小命令检查你的电脑是否中木马
一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。
一、检测网络连接
如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是:netstat -an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local aDDRess(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
二、禁用不明服务
很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。但是别急,可以通过“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。
方法就是直接输入“net start”来查看服务,再用“net stop server”来禁止服务。
三、轻松检查账户
很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。 为了避免这种情况,可以用很简单的方法对账户进行检测。
首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user+用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧! 对于没有联网的客户端,当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程,也使用户的计算机时刻处于最佳的保护环境之下。