輕松搞定木馬

donkeuchoy

1、關(guān)于木馬
木馬是病毒當(dāng)中非常特殊的一族。它的實(shí)質(zhì)只是一個(gè)網(wǎng)絡(luò)C/S程序。木馬工作的原理是這樣的：一臺中了木馬被控制的機(jī)器相當(dāng)于一臺服務(wù)器，控制端則相當(dāng)于一臺客戶機(jī)，作為服務(wù)器的主機(jī)會(huì)由木馬打開一個(gè)端口并接收控制端的命令，如果控制端提出連接請求，這時(shí)中毒機(jī)器上的木馬就會(huì)自動(dòng)運(yùn)行，來回應(yīng)控制端的請求（開始將中毒機(jī)器中對方需要的資料或者文件傳送給木馬發(fā)送者的機(jī)器）。因此，這就是整個(gè)木馬工作的程序。
2、輕松搞定木馬
木馬常見的中毒癥狀表現(xiàn)如下：莫名其妙的死機(jī)，在沒有操作的情況下硬盤自動(dòng)讀取（機(jī)箱指示燈在閃爍）等等以外，通過下面幾個(gè)辦法可以幫助大家發(fā)現(xiàn)木馬：
(1)奇怪的開機(jī)運(yùn)行程序
很多木馬都是開機(jī)就運(yùn)行的，如果你發(fā)現(xiàn)了奇怪的開機(jī)運(yùn)行程序可以通過【開始】－【運(yùn)行】輸入“msconfig”回車，打開【系統(tǒng)實(shí)用配置程序】－【啟動(dòng)】在這里關(guān)閉你不需要的。往往病毒在這里關(guān)閉以后還會(huì)出來，并且2000系統(tǒng)沒有msconfig這個(gè)程序，所以需要修改注冊表，咱們往下看。
筆者經(jīng)過整理發(fā)現(xiàn)一般木馬都會(huì)在以下位置加載自己達(dá)到開機(jī)運(yùn)行的目的：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
　　[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run]
一旦在注冊表以上位置發(fā)現(xiàn)含有奇怪的程序路徑完全可以刪除，然后記住程序名稱在注冊表中通過搜索找到并刪除！
(2)網(wǎng)絡(luò)流量異常
平時(shí)如果沒有下載或者上傳，但是卻發(fā)現(xiàn)網(wǎng)絡(luò)流量較大（可以通過ADSL指示燈或者通過任務(wù)欄里面上網(wǎng)絡(luò)狀態(tài)查看），很有可能就是木馬正在工作。這是應(yīng)該立刻關(guān)閉網(wǎng)絡(luò)，重啟進(jìn)入安全模式下仔細(xì)檢查。
(3)任務(wù)管理器中檢查可疑進(jìn)程
通過ctrl + shift + del打開 [任務(wù)管理器]－[進(jìn)程]，經(jīng)常看看里面都有哪些進(jìn)程在運(yùn)行。如果你一個(gè)都不了解可以上網(wǎng)通過搜索引擎查詢。一旦發(fā)現(xiàn)可疑進(jìn)程就要立刻檢查。
另外，很多時(shí)候會(huì)出現(xiàn)某個(gè)進(jìn)程對應(yīng)的cpu使用率接近100％,首先通過軟件或者網(wǎng)絡(luò)搜索這個(gè)進(jìn)程信息對應(yīng)的程序，關(guān)閉程序或者替換別的版本如果排除程序與系統(tǒng)兼容或者系統(tǒng)本身問題后還出現(xiàn)這樣的情況可以斷定該進(jìn)程是軟件綁定的木馬。
(4)系統(tǒng)服務(wù)中的奇怪項(xiàng)目
開始－運(yùn)行，輸入services.msc在這里可以看到眾多的服務(wù)，也許第一次你會(huì)頭疼？教大家一個(gè)竅門：首先最大化這個(gè)窗口， 點(diǎn)擊最上端的【狀態(tài)】將所以已啟動(dòng)的服務(wù)排列在一起，這樣就一幕了然了，點(diǎn)擊任何一個(gè)在左側(cè)就有對應(yīng)的解釋。一般病毒的服務(wù)是沒有解釋的（這不是說沒有解釋的就是病毒）所以大家遇到不清楚的上網(wǎng)查查很快就明白了，如果發(fā)現(xiàn)有問題的服務(wù)趕緊關(guān)閉。方法：雙擊準(zhǔn)備關(guān)閉的服務(wù)－進(jìn)入屬性窗口，點(diǎn)擊“停止”然后將【啟動(dòng)類型】選擇“已禁用”確定即可！
目前的殺毒軟件具有很好的查殺木馬的功能，可以使用殺毒軟件更高效、簡便地剔除木馬。

ooyccy

這個(gè)問題很有用，不錯(cuò)