科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道木马程序的识别预防及清除方法(3)

木马程序的识别预防及清除方法(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

对于木马,我们大家基本都听说过,但怎样识别木马、怎样避免自己的机子被种植木马以及怎样清除种植了的木马对有些朋友来说也许就比较陌生了。
  • 评论
  • 分享微博
  • 分享邮件

  5、重命名Note.com为Notepad.exe。

  2,冰河v1.1 v2.2

  这是国产最好的木马 作者:Snokebin

  1.清除木马v1.1

  打开注册表Regedit

  点击目录至:

  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

  查找以下的两个路径,并删除

  " C:/windows/system/ kernel32.exe"

  " C:/windows/system/ sysexplr.exe"

  关闭Regedit

  重新启动到MSDOS方式

  删除C:/windows/system/ kernel32.exe和C:/windows/system/ sysexplr.exe木马程序

  重新启动。

  2.清除木马v2.2

  服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。

  因此,不能明确说明。

  你可以察看注册表,把可疑的文件路径删除。

  重新启动到MSDOS方式

  删除于注册表相对应的木马程序

  重新启动Windows。

  3,Trojan.QQ3344

  1.在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项,将其禁止。在C:/WINDOWS一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。

  2.随时升级杀毒软件。

  3.安装系统漏洞补丁

  由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。

  iFrame漏洞补丁地址:

  http://www.microsoft.com/windows/ie/downloads/critical/q319182/download.asp

  五:对木马绑定文件的剥离方法

  当我们需要的一款文件被发现绑定了木马程序,而我们又需要这款原文件时,我们可以采取下面的方法进行文件剥离。

  第一步:用UltraEdit的十六进制方式打开绑定程序,选中第二个MZ到第三个MZ之间的内容(即第二个文件),将该部分复制。然后新建一个文件,粘贴,保存为EXE文件。

  第二步:选中第三个MZ至文件末尾之间的内容(即第三个文件),同样复制,新建文件后粘贴、保存为EXE文件。

  第三步:现在你要通过检查两个文件的图标及大小来判断哪个文件是所需的正常程序。一般来说,所需程序文件与捆绑后的图标一致,且文件体积较大的那个文件就是我们所要的原文件。

  六:总结

  防范木马首先应在自己的电脑中安装一款合适的防杀病毒软件并及时升级,同时在日常工作中不要打开未知文件以及陌生人传来的文件,不要随便打开陌生网页,升级最新版本的操作系统。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章