Windows下病毒木马基本防御和解决方案

一.基本防御思想:备份胜于补救。 
1.备份,装好机器之后,首先备份c盘(系统盘)windows里面,和C:\WINDOWS\system32下的文件目录。 
运行,cmd命令如下;  
dir/a C:\WINDOWS\system32 >c:\1.txt 
dir/a c:\windows >c:\2.txt 
这样就备份了windows和system32下面的文件列表,如果有一天觉得电脑有问题,同样命令列出文件,然后cmd下面,fc命令比较一下,格式为,假如你出问题那一天system32列表为3.txt,那么fc 1.txt 3.txt >c:/4.txt 
因为木马病毒大多要调用动态连接库,可以对system32进行更详细的列表备份,如下 
cd C:\WINDOWS\system32 
dir/a >c:\1.txt 
dir/a *.dll >c:\>2.txt 
dir/a *.exe >c:\>3.txt 
然后把这些备份保存在一个地方,除了问题对比一下列表便于察看多出了哪些DLL或者EXE文件,虽然有一些是安装软件的时候产生的,并不是病毒木马,但是还是可以提共很好的参考的。 
2.备份进程中的DLL, CMD下面命令 
tasklist/m >c:/dll.txt 
这样正在运行的进程的DLL列表就会出现在c根目录下面。以后可以对照一下,比较方法如上不多说,对于DLL木马,一个一个检查DLL太麻烦了。直接比较方便一些。 
3.备份注册表, 
运行REGEDIT,文件——导出——全部,然后随便找一个地方保存。 
4.备份C盘 
开始菜单,所有程序,附件,系统工具,备份,然后按这说明下一步,选择我自己选择备份的内容,然后把系统备份在一个你选定的位置。 
出了问题,同样打开,选择还原,然后找到你的备份,还原过去就是了。 
二,基本防御思想,防病胜于治病。 
1.关闭共享。关闭139.445端口,终止xp默认共享。 
2.关闭服务server,telnet, Task Scheduler, Remote Registry这四个。(注意关闭以后定时杀毒定时升级之类的计划任务就不能执行了。) 
3.控制面板,管理工具,本地安全策略,安全策略,本地策略,安全选项给管理员和guest用户从新命名,最好是起一个中文名字的,如果修改了管理员的默认空命令更好。不过一般改一个名字对于一般游戏心态的黑客就足够了对付了。高手一般不对个人电脑感兴趣。 
4.网络连接属性里面除了tcp/ip协议全部其他的全部停用,或者干脆卸载。 
5.关闭远程连接,桌面,我的电脑,属性,远程,里面取消就是了。也可以关闭Terminal Services服务,不过关闭了以后,任务管理器中就看不到用户名字了。 
三,基本解决方法,进程服务注册表。 
1. 首先应该对进程服务注册表有一个简单的了解,大约需要3个小时看看网上的相关知识应该就会懂得了。 
2.检查启动项目,不建议使用运行msconfig命令,而要好好察看注册表的run项目,和文件关联,还有userinit,还有shell后面的explorer.exe是不是被改动。相关的不在多说,网上资料很多,有详尽的启动项目相关的文章。我只是说出思路。以下列出简单的35个常见的启动关联项目 
1. HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Curr entVersion\Run\ 
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\ 
3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\.  
4. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\ 
5. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ 
6. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\ 
7. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\ 
8. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run\ 
9. HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\ 
10. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 
11. HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\ 
12. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\ 
13. HKEY_CURRENT_USER\Control Panel\Desktop 
14. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session Manager 
15. HKEY_CLASSES_ROOT\vbsfile\shell\open\command\ 
16. HKEY_CLASSES_ROOT\vbefile\shell\open\command\ 
17. HKEY_CLASSES_ROOT\jsfile\shell\open\command\ 
18. HKEY_CLASSES_ROOT\jsefile\shell\open\command\ 
19. HKEY_CLASSES_ROOT\wshfile\shell\open\command\ 
20. HKEY_CLASSES_ROOT\wsffile\shell\open\command\ 
21. HKEY_CLASSES_ROOT\exefile\shell\open\command\ 
22. HKEY_CLASSES_ROOT\comfile\shell\open\command\ 
23. HKEY_CLASSES_ROOT\batfile\shell\open\command\ 
24. HKEY_CLASSES_ROOT\scrfile\shell\open\command\ 
25. HKEY_CLASSES_ROOT\piffile\shell\open\command\ 
26. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ 
27. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\ 
28. HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline 
29. HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline 
30. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 
31. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\ 
32. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run 
33. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load 
34. HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\ 
35. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\  
3.检查服务,最简单的吧,服务列表太长,我估计你也不一定能全部记住。说一个简单的,运行msconfig,服务,把“隐藏所有的microsoft服务”选中,然后就看到了不是系统自带的服务,要看清楚啊,最后在服务里面找找看看属性,看看关联的文件。现在一般杀毒都要添加服务,我其实讨厌杀毒添加服务,不过好像是为了反病毒。 
4.进程,这个网上资料更多,只说明两点,1.打开任务管理器,在“查看”,“选项列”中把“pid”选中,这样可以看到pid。2.点一个进程的时候右键有一个选项,“打开所在目录”,这个很明显的,但是很多哥们都忽略了,这个可以看到进程文件所在的文件夹,便于诊断。 
5.cmd下会使用,netstat –ano命令,觉得这一个命令对于简单的使用就可以了,可以查看协议端口连接和远程ip. 
6.删除注册表{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B} 
{0D43FE01-F093-11CF-8940-00A0C9054228} 
两个项目,搜索到以后你会看到是两个和脚本相关的,备份以后删除,主要是防止一下网上的恶意代码 
四,举一个简单的清除例子。 
1.对象是包含在一个流行BT绿色软件里面的木马,杀毒可以杀出,但是错误判断为灰鸽子。有的杀毒杀不出来。以下说的是不用任何工具的判断和清除,当然任何工具中包括杀毒。 
2.中毒判断:使用时候,忽然硬盘灯无故猛烈闪烁。系统有短暂速度变慢。有程序不正常的反映,怀疑有问题。 
2.检查,服务发现多了一个不明服务,文件指向C:\Program Files\Internet Explorer下面的server.exe文件,明显的这不是系统自带的文件,命令行下察看端口,有一个平常没有得端口连接。进程发现不明进程。启动项目添加server.exe.确定是木马。 
4.清除:打开注册表,关闭进程,删除启动项目,注册表搜索相关服务名字,删除,删除源文件。同时检查temp文件夹,发现有一个新的文件夹,里面有一个“免杀.exe”文件,删除,清理缓存。当然最好是安全模式下进行。 
5.对照原来备份的system32下面的dll列表,发现可疑dll文件,删除,也可以在查看选择“选择详细信息”选择上“创建日期”(这个系统默认是没有添加的),然后查看详细信息,按创建日期显示,可以发现新创建的文件。这个木马比较简单,没有修改文件日期。 
在那里的,有时候忘记了清理,病毒如果关联在这个文件上,删除后还会出现的。)

(0)

相关推荐

  • Windows下病毒木马基本防御和解决方案

    一.基本防御思想:备份胜于补救.  1.备份,装好机器之后,首先备份c盘(系统盘)windows里面,和C:\WINDOWS\system32下的文件目录.  运行,cmd命令如下:   dir/a C:\WINDOWS\system32 >c:\1.txt  dir/a c:\windows >c:\2.txt  这样就备份了windows和system32下面的文件列表,如果有一天觉得电脑有问题,同样命令列出文件,然后cmd下面,fc命令比较一下,格式为,假如你出问题那一天system32

  • 详解Windows下PyCharm安装Numpy包及无法安装问题解决方案

    一.什么是NumPy Numpy--Numerical Python,是一个基于Python的可以存储和处理大型矩阵的库.几乎是Python 生态系统的数值计算的基石,例如Scipy,Pandas,Scikit-learn,Keras等都基于Numpy.使用Numpy, 可以进行: 1.数组和逻辑运算 2.傅里叶变换和图形操作实例 3.线性代数相关的运算操作 功能很强大有木有??? 但是 Python 官网上的发行版是不包含 NumPy 模块的.所以就需要我们自己来安装这个库. 很多人在学习Py

  • Windows下pycharm安装第三方库失败(通用解决方案)

    学习python都知道,python的第三方库是很多,如果都在本机 pip 的话,在新建项目的时候都会加载不需要用到的库,影响运行速度.而且现在都是用pycharm,因为它强大好用方便.但是pycharm安装第三库也会失败的. Python有一个 virtualenv 的库,是管理虚拟运行环境,可以独立每一个运行环境,这样就可以分离不必要的库而影响运行了. pycharm强大在于创建一个Project的时候可以选择virtualenv, 选择图中可以直接创建一个独立的 Virtualenv 运行

  • roirpy.exe,mrnds3oy.dll,qh55i.dll等木马群手工清除解决方案

    roirpy.exe,mrnds3oy.dll,qh55i.dll等木马群手工清除解决方案 用xdelbox删除下面文件(添加下面所有路径或在空白处点右键-从剪贴板导入,在已添加的文件路径上点击右键,选择立刻重启执行删除[有提示不存在该文件的就忽略,添加其它文件]): c:\windows\roirpy.exe c:\windows\uunjkd.exe c:\windows\49400l.exe c:\windows\49400m.exe c:\windows\fjrlwx.exe c:\wi

  • windows下部署免费ssl证书(letsencrypt)的方法

    随着网络的发展,网络安全也越来越重要,对于网站来说,从Http升级到https也是我们要做的首要事情.要实现https,首先我们需要申请一张SSL证书,这篇文章我主要介绍下边这几个方面: 1. SSL简单介绍 2. 免费Letencrypt证书部署 3. 安装注意事项 一.SSL简单介绍 ssl作为一个网络加密协议,主要是存在于系统中应用层和传输层之间的一个安全套接字层(Secure Socket Layer),也就是位于TCP/IP协议和各个应用层协议之间,为应用数据传输提供加密的协议.当然它

  • Win32 下病毒设计入门详细说明

    本文假定你对dos下的病毒和386PM有一定的了解. 1.感染任何一个病毒都需要有寄主,把病毒代码加入寄主程序中(伴侣病毒除外) 以下说明如何将病毒代码嵌入PE文件中,有关PE文件的结构请看以前的文章. PE文件的典型结构:MZ Header DOS STUB CODE PE HEADER OPTIONAL HEADER SECTION TABLE SECTION 1 SECTION 2 ... IMPORT TABLE EXPORT TABLE 和DOS的可执行文件类似,PE的代码映象分为几个

  • Win32下病毒设计入门

    Win32下病毒设计入门 本文假定你对dos下的病毒和386PM有一定的了解. 1.感染任何一个病毒都需要有寄主,把病毒代码加入寄主程序中 (伴侣病毒除外).  以下说明如何将病毒代码嵌入PE文件中,有关PE文件的结构请看以前的文章. PE文件的典型结构: MZ Header DOS STUB CODE PE HEADER OPTIONAL HEADER SECTION TABLE SECTION 1 SECTION 2 ... IMPORT TABLE EXPORT TABLE 和DOS的可执

  • MongoDB快速入门笔记(一)之windows下安装MongoDB方法

    MongoDB 是一个基于分布式文件存储的数据库.由 C++ 语言编写.旨在为 WEB 应用提供可扩展的高性能数据存储解决方案. MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的. MongoDB下载地址:http://www.mongodb.org/downloads 1.安装MongoDB 从MongoDB官网上下载MongoDB,我下载的版本是64位的3.2.6.下载完以后直接安装,我的安装目录是D:\work\MongoDB.

  • 利用Python实现Windows下的鼠标键盘模拟的实例代码

    本文介绍了利用Python实现Windows下的鼠标键盘模拟的实例代码,分享给大家 本来用按键精灵是可以实现我的需求,而且更简单,但既然学python ,就看一下呗. 依赖: PyUserInput pip install PyUserInput PyUserInput 依赖 pyhook,所以还得安装 pyhook.按需下载,下载地址. 我是 win10 64 位 python 2.7,用的是第二个,下载之后用解压软件打开,把 pyHook放到C:\Python27\Lib\site-pack

  • Windows下IIS6/Apache2.2.4+MySQL5.2+PHP5.2.1安装配置方法

    03年的时候就看过一本php的书,那时还是php3,回首四年php的在web开的的前景真还是一片光明啊!三年不见的php在去看已到了php5了,现在算起我真正从写第一个php的WEB开始距今还是有三四个月了,用工作之余正在进行www.kuomart.com网站的写做,回想当初一直用的是Windows2003+IIS6+PHP5.0.7+MYSQL4.1在进行开发,直到昨天机子重了木马,Kav也没查出个所以然,自己找也没有发现什么可疑暴露点,所以干脆重装了一下xp,由于TV1000电视卡只能在xp

随机推荐