中了木马病毒,机器会有哪些症状?
木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。有人说,既然木马这么厉害,那我离它远一点不就可以了!然而这个木马实在是“淘气”,它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你“家”中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木
马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招哟!
1、集成到程序中
其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
2、隐藏在配置文件中
木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。
3、潜伏在Win.ini中
木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe
这时你就要小心了,这个file.exe很可能是木马哦。
4、伪装在普通文件中
这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。
5、内置到注册表中
上面的方法让木马着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马哦:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
6、在System.ini中藏身
木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exe file.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
7、隐形于启动组中
有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ShellFolders Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
8、隐蔽在Winstart.bat中
按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
9、捆绑在启动文件中
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
10、设置在超级连接中
木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非你了解它,信任它,为它死了也愿意等等。
中了盗号木马病毒怎么办?
有以下3种方法。
1:如果电脑中有杀毒软件,那么可以通过杀毒软件查找出木马病毒并且杀毒解决。限于可以开机的情况下。
2:如果会做系统的情况下,可以给电脑重装系统。
3:自己解决不了的情况下,找专业人员进行维修。 还有就是不要登录任何账号,重装系统是最保险的
机器中木马了,急!
我刚刚也中上了这种木马,它能够在电脑开机时进驻进程,而且每次开机时产生一个以extext开头的后面有几位随机数字的exe可执行文件。同时打开的还有mxd开头的后面加上[*](*号表示数字)的可执行文件。今天下午花了20分钟将这些木马送回了老家。
解决办法:
1、最好用别的电脑下载最新版的“360顽固木马专杀大全”,然后拷贝到这台电脑上。在连上网的情况下用“360顽固木马专杀大全”来杀;
2、通过第一步可以发现并杀掉不少木马(主要是后缀名为.dll的动态链接库文件),但extext、mxd开头的可执行文件杀不掉;重新启动时拔掉网线,进入系统后立即用Ctrl+Alt+Delete组合键调出任务管理器,点“进程”选项卡,将extext、mxd开头的进程立即结束;
3、点击“开始-运行”,输入regedit后按回车,进入注册表。点击注册表窗口左边的“我的电脑”(注:不是桌面上的),然后按“编辑-查找”,输入extext后按回车查找,找到一个就按键盘上的Delete(删除)键,不管系统的提示,将它删除,然后按F3键继续查找。就这样找一个,删一个,一直找到提示“搜索完毕”结束。用同样的方法清楚mxd开头的注册表项;
4、点击“开始-搜索-文件或文件夹”,搜索范围就是系统默认的“本机硬盘驱动器”,“要搜索的文件或文件夹名”下方输入“extext*.exe”(注:不含双引号),选中“搜索选项”下方的“高级选项”,将高级选项下方的前三个选项前选中,然后点击“立即搜索”,等搜索完毕后,将搜索到的选中后全部删除。用同样的方法搜索“mxd*.exe”文件并删除;
5、最后,打开杀毒软件,升级到最新的病毒库并全盘扫描杀毒。
另外,一些小网站上如果说网站已经升级,要你下载登陆器等等之类的话,千万别点击,我就是这么中招的。extext和mxd这两个是今天下午中上的,今天上午中的是sysanti.exe(木马下载器),它更变态,不仅将杀毒软件关闭,杀毒网站不让上,连“360顽固木马专杀大全”都不让你运行,一运行立即蓝屏。
最后,祝好运!
如果说有什么危害的话,它们疯狂下载病毒或木马(一般是木马居多),然后盗取你的网银或游戏帐号、密码之类的东西,并通过U盘复制传播。危害还是蛮大的。
机器中了木马病毒怎麼办
建议用卡巴斯基,脱壳能力比KV强NN倍
下面是引自某人的观点
看一个杀毒软件的好坏,要看它真正能够识别病毒的能力;
中国脱壳能力最强的杀毒软件KV,只能脱两种壳,UPX和ASPack;
中国公安部卖的瑞星,只能脱一种壳,UPX壳;
金山和诺顿根本没有脱壳能力。
也就是说一个原本能被他们查杀的病毒,随便加一个冷门的壳,就无法查出来了。
而卡巴斯基支持4000(已经不止了!!这资料有一段时间了!)种以上的脱壳技术(现在还在增加),虽然扫描速度下降了,但是识别病毒的能力相当强,无论怎样加壳,都会被识别。
前几天出了一个能够躲过卡巴斯基查杀的加壳工具"Nspack",震惊了中国木马界。
但是不到一个星期,卡巴斯基就可以识别这种壳了。
我曾经在病毒特征码附近用反汇编添加花指令,都无法躲过卡巴斯基的法眼,更何况是加壳。
要想躲过卡巴斯基的追杀,至今只能通过修改特征码的方法。
卡巴斯基的病毒库虽然不是世界最多(诺顿最多),但是它的识别病毒的能力却是世界上任何一种其他杀毒软件无法比拟的!!
我坚信卡巴斯基的能力
(我自己说的:最好是在安全模式里杀!)
下面是有关卡巴斯基的资料:
1、对病毒上报反应迅速,卡巴斯基具有全球技术领先的病毒运行虚拟机,可以自动分析70%左右未知病毒的行为,再加上一批高素质的病毒分析专家,反应速度就是快于别家。每小时升级病毒的背后是以雄厚的技术为支撑的。
2、对任何上报病毒的用户不问正版,D版,病毒分析师一律回信,有时还详细给出分析结论的依据,体贴呵护用户,有时我想就算写信和他们鬼扯,他们也会回复的,以前一直用D版心里不免愧疚,当网易降价销售卡巴的时候,赶紧去买套正版。这就是卡巴斯基,轻易征服潜在用户的杀毒软件公司。
3、随时修正自身错误,杀毒分析是项繁琐的苦活,卡巴斯基并不是不犯错,而是犯错后立刻纠正,只要用户去信指出,误杀误报会立刻得到纠正。知错就改,堪称其他杀软的楷模,你去试试看给symantec纠错,会是什么结果。
4、卡巴斯基的引擎技术是国内外许多杀毒软件的核心,这是公认的事实,另外,国外的我不知道,国内的杀毒厂商,对上报病毒一律先卡巴扫一遍,这是很有趣的现象,你说,卡巴斯基是不是其他杀软的师傅。
5、卡巴斯基的毒库数量不是最高,但实际可杀病毒数量绝对是世界第一,这是因为,卡巴斯基的超强脱壳能力,无论你怎么加壳,只要程序体还能运行,就逃不出卡巴斯基的掌心,它总唱是你是你还是你。因此卡巴斯基毒库目前的15(近16万 在2006-1-10 有159926)多万病毒是真实可杀数量,某些杀软对病毒的加壳版要么傻眼要么列为变种,还沾沾自喜每天100多条升级,殊不知人家卡巴一条升级就顶你几十条了。
6、最重要的一点是,卡巴斯基对上报病毒的用户并没有物质奖励,但大家却趋之若鹜,原因在于:当我1小时前中了未知病毒,于是将病毒体文件发送给卡巴,然后悠悠然去洗澡吃饭,过1小时回来后,将卡巴斯基升级后,伴随着卡巴斯基悠扬的杀猪声响起,可恶的病毒被逐个扫除,那种心理快感和参与感,岂是别的杀软能够带给我们的?
卡巴斯基被过度神话了吗?是的,卡巴斯基确实是个神话,他是国内外其他杀毒软件厂商追赶的神话,也是用户心中永远不灭的神话!
机器中了木马 在线等!急求
没事的!卡巴斯基很好的!他可以帮你防着的!但别忘了要定时去更新卡巴斯基的病毒库啊!要真中了就用卡巴全盘扫描一下啊,不过一定会很久吧?卡巴占内存很大的。如过网速慢的话可以用“优化大师”或“超级兔子”优化一下系统及网络啊!