如何快速清理木马病毒?

发布网友 发布时间：2023-03-06 07:58

我来回答

共1个回答

热心网友 时间：2024-01-04 21:32

　　随着病毒编写技术的发展，木马程式对使用者的威胁越来越大，尤其是一些木马程式采用了极其狡猾的手段来隐蔽自己，使普通使用者很难在中毒后发觉，我教你一些清理木马病毒的相关知识吧。

　　一、档案*检测

　　将木马*在正常程式中，一直是木马伪装攻击的一种常用手段。下面我们就看看如何才能检测出档案中*的木马。

　　1.MT*克星

　　档案中只要*了木马，那么其档案头特征码一定会表现出一定的规律，而MT*克星正是通过分析程式的档案头特征码来判断的。程式执行后，我们只要单击“浏览”按钮，选择需要进行检测的档案，然后单击主介面上的“分析”按钮，这样程式就会自动对新增进来的档案进行分析。此时，我们只要检视分析结果中可执行的头部数，如果有两个或更多的可执行档案头部，那么说明此档案一定是被*过的!

　　2.揪出*在程式中的木马

　　光检测出了档案中*了木马是远远不够的，还必须请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。

　　程式执行后会首先要求选择需要检测的程式或档案，然后单击主介面中的“Process”按钮，分析完毕再单击“Clean File”按钮，在弹出警告对话方块中单击“是”按钮确认清除程式中被*的木马。

　　二、清除DLL类后门

　　相对档案*执行，DLL插入类的木马显的更加高阶，具有无程序，不开埠等特点，一般人很难发觉。因此清除的步骤也相对复杂一点。

　　1.结束木马程序

　　由于该型别的木马是嵌入在其它程序之中的，本身在程序检视器中并不会生成具体的专案，对此我们如果发现自己系统出现异常时，则需要判断是否中了DLL木马。

　　在这里我们借助的是IceSword工具，执行该程式后会自动检测系统正在执行的程序，右击可疑的程序，在弹出的选单中选择“模组资讯”，在弹出的视窗中即可检视所有DLL模组，这时如果发现有来历不明的专案就可以将其选中，然后单击“解除安装”按钮将其从程序中删除。对于一些比较顽固的程序，我们还将其中，单击“强行解除”按钮，然后再通过“模组档名”栏中的地址，直接到其资料夹中将其删除。

　　2.查询可疑DLL模组

　　由于一般使用者对DLL档案的呼叫情况并不熟悉，因此很难判断出哪个DLL模组是不是可疑的。这样ECQ-PS超级程序王即可派上用场。

　　执行软体后即可在中间的列表中可以看到当前系统中的所有程序，双击其中的某个程序后，可以在下面视窗的“全部模组”标签中，即可显示详细的资讯，包括模组名称、版本和厂商，以及建立的时间等。其中的厂商和建立时间资讯比较重要，如果是一个系统关键程序如“svchost.exe”，结果呼叫的却是一个不知名的厂商的模组，那该模组必定是有问题的。另外如果厂商虽然是微软的，但建立时间却与其它的DLL模组时间不同，那么也可能是DLL木马。

　　另外我们也可以直接切换到“可疑模组”选项，软体会自动扫描模组中的可疑档案，并在列表中显示出来。双击扫描结果列表中的可疑DLL模组，可看到呼叫此模组的程序。一般每一个DLL档案都有多个程序会呼叫，如果呼叫此DLL档案的仅仅是此一个程序，也可能是DLL木马。点选“强进删除”按钮，即可将DLL木马从程序中删除掉。

　　三、彻底的Rootkit检测

　　谁都不可能每时每刻对系统中的埠、登录档、档案、服务进行挨个的检查，看是否隐藏木马。这时候我可以使用一些特殊的工具进行检测。

　　1.Rootkit Detector清除Rootkit

　　Rootkit Detector是一个Rootkit检测和清除工具，可以检测出多个Windows下的Rootkit其中包括大名鼎鼎的hxdef.100.

　　用方法很简单，在命令列下直接执行程式名“rkdetector.exe”即可。程式执行后将会自动完成一系统列隐藏专案检测，查找出系统中正在执行的Rootkit程式及服务，以红色作出标记提醒，并尝试将它清除掉。

　　2.强大的Knlps

　　相比之下，Knlps的功能更为强大一些，它可以指定结束正在执行的Rootkit程式。使用时在命令列下输入“knlps.exe-l”命令，将显示系统中所有隐藏的Rootkit程序及相应的程序PID号。找到Rootkit程序后，可以使用“-k”引数进行删除。例如已找到了“svch0st.exe”的程序，及PID号为“3908”，可以输入命令“knlps.exe -k 3908”将程序中止掉。

　　四、克隆帐号的检测

　　严格意义上来说，它已经不是后门木马了。但是他同样是在系统中建立了管理员许可权的账号，但是我们检视的却是Guest组的成员，非常容易麻痹管理员。

　　在这里为大家介绍一款新的帐号克隆检测工具LP_Check，它可以明查秋毫的检查出系统中的克隆使用者!

　　LP_Check的使用极其简单，程式执行后会对登录档及“帐号管理器”中的使用者帐号和许可权进行对比检测，可以看到程式检测出了刚才Guest帐号有问题，并在列表中以红色三角符号重点标记出来，这时我们就可以开启使用者管理视窗将其删除了。

　　通过介绍相信已经能够让系统恢复的比较安全了，但是要想彻底避免木马的侵害，还是需要对其基础知识加以了解。