【教你找到電腦中隱藏的入侵黑手】

方格

 【教你找到電腦中隱藏的入侵黑手】

 

平時使用電腦的時候也許會遇到這樣的情況:

 

電腦突然死機，有時又自動重新啟動，無端端的少了些檔，發現桌面刷新慢，沒有運行什麼大的程式，硬碟卻在拼命的讀寫，系統也莫明其妙地對軟盤機進行搜索，殺毒軟體和防火牆報警，發現系統的速度越來越慢，這時候你就要小心了。
　　

第一時間反應(養成一個好的習慣往碗可以減少所受的損失):用CTRL＋ALT＋DEL調出任務表，查看有什麼程式在運行，如發現陌生的程式就要多加注意。

 

一般來說，凡是在任務管理器上的程式都不會對系統的基本運行照成負面影響(注意:這裏說的是基本運行，先和大家說明白，關於這條我是在網路上關於這個 研究的結果)。

 

所以大家可以關閉一些可疑的程式來看看，發現一些不正常的情況恢復了正常，那麼就可以初步確定是中了木馬了，發現有多個名字相同的程式在運 行，而且可能會隨時間的增加而增多。

 

這也是一種可疑的現象也要特別注意，你這時是在連入Internet網或是局域網後才發現這些現象的話，不要懷疑，動 手查看一下吧!，(注:也有可能是其他一些病毒在作怪)
　　

1 先升級殺毒軟體到最新，對系統進行全面的檢查掃描.
　　

2 點擊工具→檔夾選項→查看把隱藏受保護的作業系統檔(推薦)和隱藏已知檔類型的副檔名 這兩項前面的勾去掉，以方便查看.
　　

3 查看Windows目錄下的WIN.INI文件中開頭的幾行：

[WINDOWS]

load=

ren=

這裡放的是啟動Windows自動執行的程式，可以看看對比對比一下.

　　
4 查看Windows目錄下的SYSTEM.INI文件中的這幾行：

[386Enh]

device=

這裡是放置系統本身和外加的驅動程式。外加的驅動程式一般都用全路徑，如：

device=c:\windows\system32\tianyangdemeng.exe(這裏只是打個比方)

 

5 查看開始功能表中的【程式】→【啟動】。這裏放的也是啟動Windows自動執行的程式，如果有的話，它就放在C:\Windows\Start Menu\Programs\中，將它保存在較安全的地方後再刪除，需要恢復時在拿出來恢復即可。
　　

6 在【開始】→【運行】中輸入"MSCONFIG"查看是否有可疑的啟動項，你也許會問，前面不是說了嗎?

 

其實，這兩種方法是不同的，你分別用這兩個方法查看一下就會發現不同了，至於要說更深入點，說實在話，我也不知道.呵呵不要笑話，希望高手出來解答一下!
　　

7 查看註冊表，在【開始】→【運行】中輸入“REGEDIT”。
　　

先對註冊表進行備份，才對註冊查看。(一定要養成一個習慣，在修改木檔時，對自己沒有把握的需要先進行備份)

 

查看 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices和Run項，看看有沒有可疑的程式.

查看 HKEY_CLASSES_ROOT\EXEFILE\SHELL\OPEN\COMMAND，看看是否有.EXE檔關聯的木馬，正確值為"%1"%*

查看 HKEY_CLASSES_ROOT\INFFILE\SHELL\OPEN\COMMAND，看看是否有.INF檔關聯的木馬，正確值為"SYSTEM ROOT%\SYSTEM32\NOTEPAD.EXE%1

查看 HKEY_CLASSES_ROOT\TXTFILE\SHELL\OPEN\COMMAND，看看是否有.TXT檔關聯的木馬，正確值為%SYSTEM ROOT%\SYSTEM32\NOTEPAD.EXE%1

啟動CMD，輸入NETSTAT -AN 查看有沒有異常的埠.
　　

8 Windows中的執行檔.exe、.com、.dll ……它們都有可能是駭客放置的病毒或是駭客病毒的攜帶者。

在系統正常的時候，把以上檔做一個備份，到需要的時候就可以寫回去！
　　

9 在Windows目錄下，看看有無一個名為Winstart.bat的文件。

 

這個檔也是與Autoexec.bat類似的一個自動批次檔案。

 

不過，它只能 在Windows工作而不能在DOS下使用。

 

仔細看看有沒有什麼你不知道的驅動程式，把它記錄下來，到百度查一下，一般這個自動批次檔案是不會被用到的. (只能憑經驗判斷了)　　

 

10 查看c:\autoexec.bat與c:\config.sys，這兩個檔裏有一些系統所需的驅動程式。

 

看看有沒有什麼可疑的驅動程式.
　
　
11 右擊【我的電腦】→事件查看器查看安全日誌，看看裏面有沒有可疑的內容.
　　

12 在CMD下輸入NET USER 看看有沒有可疑的用戶，出現自己不曾設立的用戶，馬上用NET USER ABCD /DEL 把它刪除

 

(這裡的ABCD是用戶名，只要把它改成想要刪除的用戶就行了，也可去下個檢查用戶克隆器查看和其他一切能幫助到你的工具，有些駭客建立的用戶用 一般方法是看不見的，大家就要注意了。)

 

 

引用：http://tw.myblog.yahoo.com/jw!e61s0tyXGh5VV562ITtYuls-/article?mid=3871