快速清除系統中的木馬病毒

來源:互聯網
上載者:User

駭客入侵後要做的事就是上傳木馬後門,為了能夠讓上傳的木馬不被發現,他們會想盡種種方法對其進行偽裝。而作為被害者,我們又該如何識破偽裝,將系統中的木馬統統清除掉呢!

一、檔案捆綁檢測

將木馬捆綁在正常程式中,一直是木馬偽裝攻擊的一種常用手段。下面我們就看看如何才能檢測出檔案中捆綁的木馬。

1.MT捆綁剋星

檔案中只要捆綁了木馬,那麼其檔案頭特徵碼一定會表現出一定的規律,而MT捆綁剋星正是通過剖析器的檔案頭特徵碼來判斷的。程式運行後,我們只要單擊“瀏覽”按鈕,選擇需要進行檢測的檔案,然後單擊主介面上的“分析”按鈕,這樣程式就會自動對添加進來的檔案進行分析。此時,我們只要查看分析結果中可執行檔頭部數,如果有兩個或更多的可執行檔頭部,那麼說明此檔案一定是被捆綁過的!

2.揪出捆綁在程式中的木馬

光檢測出了檔案中捆綁了木馬是遠遠不夠的,還必須請出“Fearless Bound File Detector”這樣的“特工”來清除其中的木馬。

程式運行後會首先要求選擇需要檢測的程式或檔案,然後單擊主介面中的“Process”按鈕,分析完畢再單擊“Clean File”按鈕,在彈出警告對話方塊中單擊“是”按鈕確認清除程式中被捆綁的木馬。

二、清除DLL類後門

相對檔案捆綁運行,DLL插入類的木馬顯的更加進階,具有無進程,不開連接埠等特點,一般人很難發覺。因此清除的步驟也相對複雜一點。

1.結束木馬進程

由於該類型的木馬是嵌入在其它進程之中的,本身在進程查看器中並不會產生具體的項目,對此我們如果發現自己系統出現異常時,則需要判斷是否中了DLL木馬。

在這裡我們藉助的是IceSword工具,運行該程式後會自動檢測系統正在啟動並執行進程,右擊可疑的進程,在彈出的菜單中選擇“模組資訊”,在彈出的視窗中即可查看所有DLL模組,這時如果發現有來曆不明的項目就可以將其選中,然後單擊“卸載”按鈕將其從進程中刪除。對於一些比較頑固的進程,我們還將其中,單擊“強行解除”按鈕,然後再通過“模組檔案名稱”欄中的地址,直接到其檔案夾中將其刪除。

2.尋找可疑DLL模組

由於一般使用者對DLL檔案的調用情況並不熟悉,因此很難判斷出哪個DLL模組是不是可疑的。這樣ECQ-PS(超級進程王)即可派上用場。

運行軟體後即可在中間的列表中可以看到當前系統中的所有進程,雙擊其中的某個進程後,可以在下面視窗的“全部模組”標籤中,即可顯示詳細的資訊,包括模組名稱、版本和廠商,以及建立的時間等。其中的廠商和建立時間資訊比較重要,如果是一個系統關鍵進程如“svchost.exe”,結果調用的卻是一個不知名的廠商的模組,那該模組必定是有問題的。另外如果廠商雖然是微軟的,但建立時間卻與其它的DLL模組時間不同,那麼也可能是DLL木馬。

另外我們也可以直接切換到“可疑模組”選項,軟體會自動掃描模組中的可疑檔案,並在列表中顯示出來。雙擊掃描結果清單中的可疑DLL模組,可看到調用此模組的進程。一般每一個DLL檔案都有多個進程會調用,如果調用此DLL檔案的僅僅是此一個進程,也可能是DLL木馬。點擊“強進刪除”按鈕,即可將DLL木馬從進程中刪除掉。

三、徹底的Rootkit檢測

誰都不可能每時每刻對系統中的連接埠、註冊表、檔案、服務進行挨個的檢查,看是否隱藏木馬。這時候我可以使用一些特殊的工具進行檢測。

1.Rootkit Detector清除Rootkit

Rootkit Detector是一個Rootkit檢測和清除工具,可以檢測出多個Windows下的Rootkit其中包括大名鼎鼎的hxdef.100.

用方法很簡單,在命令列下直接運行程式名“rkdetector.exe”即可。程式運行後將會自動完成一系統列隱藏項目檢測,尋找出系統中正在啟動並執行Rootkit程式及服務,以紅色作出標記提醒,並嘗試將它清除掉。

2.強大的Knlps

相比之下,Knlps的功能更為強大一些,它可以指定結束正在啟動並執行Rootkit程式。使用時在命令列下輸入“knlps.exe-l”命令,將顯示系統中所有隱藏的Rootkit進程及相應的進程PID號。找到Rootkit進程後,可以使用“-k”參數進行刪除。例如已找到了“svch0st.exe”的進程,及PID號為“3908”,可以輸入命令“knlps.exe -k 3908”將進程中止掉。

四、複製帳號的檢測

嚴格意義上來說,它已經不是後門木馬了。但是他同樣是在系統中建立了管理員權限的帳號,但是我們查看的卻是Guest組的成員,非常容易麻痹管理員。

在這裡為大家介紹一款新的帳號複製偵查工具LP_Check,它可以明查秋毫的檢查出系統中的複製使用者!

LP_Check的使用極其簡單,程式運行後會對註冊表及“帳號管理器”中的使用者帳號和許可權進行對比檢測,可以看到程式檢測出了剛才Guest帳號有問題,並在列表中以紅色三角符號重點標記出來,這時我們就可以開啟使用者管理視窗將其刪除了。

通過介紹相信已經能夠讓系統復原的比較安全了,但是要想徹底避免木馬的侵害,還是需要對其基礎知識加以瞭解。

相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。