版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
—EXE里启动的。1/进展删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnceHKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionExplorer/ShellFoldersStartup=“C:/windows/startmenu/programs/startup2/系统WIN.INIwin.ini,“run=”和“load=”是可能加载“木马”程序的途径,必需认真留心它们。一般状况下,它们的等号后面什么都没有,假设觉察后面跟有路径与文件名不是你生疏“AOLTrojancommand.exeXPWIN.INI(XP);for16-bitappsupport[fonts][extensions][mciextensions][files][Mail]MAPI=1CMCDLLNAME32=mapi32.dllCMCDLLNAME=mapi.dllCMC=1MAPIX=1MAPIXVER=1.0.0.1OLEMessaging=1[MCIExtensions.BAK]aif=MPEGVideoaifc=MPEGVideoaiff=MPEGVideoasf=MPEGVideo2asx=MPEGVideo2au=MPEGVideom1v=MPEGVideom3u=MPEGVideo2mp2=MPEGVideomp2v=MPEGVideomp3=MPEGVideo2mpa=MPEGVideompe=MPEGVideompeg=MPEGVideompg=MPEGVideompv2=MPEGVideosnd=MPEGVideowax=MPEGVideo2wm=MPEGVideo2wma=MPEGVideo2wmv=MPEGVideo2wmx=MPEGVideo2wvx=MPEGVideo2wpl=MPEGVideo“shell=文件名”。正确的文件名应当是“explorer.exe”,假设不是“explorer.exe”,而是“shell=explorer.exe程序名”,本文发表于pcpxp网站,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。又会有人XPXPSYSTEM.INISYSTEM.INI;for16-bitappsupport[drivers]wave=mmdrv.dlltimer=timer.drv[mci][driver32][386enh]woafont=app936.FONEGA80WOA.FON=EGA80WOA.FONEGA40WOA.FON=EGA40WOA.FONCGA80WOA.FON=CGA80WOA.FONCGA40WOA.FON=CGA40WOA.FON4/在config.sys或许会有收获的。5/在autuexec.batconfig.sys查找。WINDOWS必备的系统进程,EXE型病毒很简洁暴露出来的,下边附上一张WINDOWS安全模式的必需进程表smss.exeSessionManagercsrss.exe子系统效劳器进程winlogon.exe治理用户登录services.exelsass.exeIPISAKMP/Oakley(IKE)和IP生会话密钥以及授予用于交互式客户/效劳器验证的效劳凭据(ticket)。(系统效劳)->netlogonsvchost.exe!!!->eventsystem,(SPOOLSV.EXE将文件加载到内存中以便迟后打印。)explorer.exe(internat.exesystemSystemIdleProcess处理器上,并在系统不处理其他线程的时候分派处理器时间taskmagr.exe就是任务治理器了DLL这类病毒大多是后门病毒,这类病毒一般不会把自己暴露在进程中的,所以说特别隐蔽,比较不好觉察。启动DLLEXELoader。假设没有Loader,那DLLDLLLoaderLoader可以是为我们的DLLEXERundll32.exeSvchost.exe,Rundll32.exeSvchost.exeDLLDLL担忧,由于他们不肯定就是病毒,所以说这个病毒比较隐蔽,下边来介绍几种判别方法:pcpxp1/Svchost.exe“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost”每个键值表示一个独立的Svchost.exe组。微软还为我们供给了一种观察系统正在运行在Svchost.exe列表中的效劳的方法。cmd,然后在命令行模式中输入:tasklist/svc。假设使用的是2000“tasklist/svc”命令替换为:“tlist-s”即可。假设你疑心计算机有可能被病毒感染,Svchost.exeSvchost.exe般只会找到一个在:“C:\Windows\System32”名目下的Svchost.exeSvchost.exe2/还有一种确认Svchost.exeWindowsWindowsWindows2.5。这样,可以觉察进程到底饔昧耸裁碊LL3/一般后门连接需要翻开特定的端口,DLL端口。我们可以用netstat–anTCP/UDP的端口心中有数,并对netstat–anstateFport应的进程,这样,系统有什么不明的连接和端口,都可以尽收眼底。system32EXEDLL*.exe>exe.txt&dir*.dll>dll.txt,这样,就会把EXEDLLexe.txtdll.txtEXEDLLexe0.txtdll0.txt),并使用:fcexe.txtexe0.txt>exedll.txt&fcdll.txtdll0.txt>exedll.txt,其意思为使用FCEXEDLLexedll.txtEXEDLLDLLDLL1/在确定DLL移除方法:“Regedit“搜寻“*.dll“删除搜寻到的键值。重启转到C:\Windows\System32\删除*.dll2/到注册表以下地方查找DLLHKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/Currentversion/Svchost3/RUNDLL32.EXESVCHOST.EXEDLL1有效的三、$NtUninstallQxxxxxxx$〔x〕型病毒的手工杀毒的方法教程:Win2000/XP注册表手动删除启动项,参考:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run删除:regedit-sC:\$NtUninstallQxxxxxxx$\WINSYS.cerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce删除:Sys32,值为:C:\$NtUninstallQxxxxxxx$\WINSYS.vbsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除:Sys32,值为:regedit-sC:\$NtUninstallQxxxxxxx$\WINSYS.cerinternat.exe删除整个$NtUninstallQxxxxxxx$名目pcpxp补充说明:、$NtUninstallQ814033$这类WindowsUpdate或安装微软补丁程序留下的卸载信息,用来卸载已安装的补丁,按补丁的编号Q823980、Q814033可以在微软的网站查到相应的说明。请留意与恶意代码建立的文件夹区分。四、压缩文件杀毒工具对其不能删除的病毒的手工杀毒的方法教程:IEIE时文件。补充:1.)检查注册表看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion和HKEY_CURRENT_USER\“Run”开头的键值名,其下有没有可疑的文件名。假设有,就需要删除相应的键值,再删除相应的应用程序。2.)检查启动组木马们假设隐蔽在启动组虽然不是格外隐蔽,但这里确实是自动加载运行的好场所,因此还是有木马宠爱menu\programs\startupC个东西?期望大家来争论,看你们的有这个名目没?)在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFoldersStartup=“C:\windows\startmenu\programs\startup“。要留意常常检查这两个地方哦!3.)Win.ini以及System.iniWin.ini[WindowsloadrunSystem.ini[boot]小节的Shell=Explorer.exe很有可能就是木马效劳端程序!赶
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 二零二四年度仓储服务合同标的为货物存储与管理的服务
- 2024年度广告投放合同:广告公司为客户在指定媒体投放广告
- 续约半年合同范本
- 2024版国际货物买卖合同范本
- 通讯劳务合同范本
- 2024年度版权使用许可合同侵权责任判定
- 负载均衡技术-第1篇
- 二零二四年度新能源开发利用合同标的
- 饼干的制作课程设计
- 满意度与质量关联研究
- 易纲货币银行学第4章风险和收益
- 基于PLC的交通信号灯控制系统设计
- 少先队活动课程分年级实施参考
- Q∕GDW 11514-2021 变电站智能机器人巡检系统检测规范
- 防渗墙验收、记录表
- 工程量确认单[]
- 出境领队服务程序与规范(共36页).ppt
- 数控线切割中级工试题
- 华为物料品质试验中心KPI指标体系
- 机械零件轴测图精品
- 国培计划操作手册
评论
0/150
提交评论