㈠ 电脑中木马了,好用的木马查杀软件有哪些
电脑管家,相信这款软件大家也都不陌生,它跟360安全卫士一样,也是一款电脑安全软件,能够有效的预防与解决电脑上常见的安全风险。电脑管家拥有查杀木马、漏洞修复、系统加速等非常实用的功能,而且还独创了“管理+杀毒”二合一的开创性功能,依托小红伞(antivir)国际顶级杀毒引擎、腾讯云引擎等四核专业引擎查杀,完美地解决了杀毒修复问题,全方位保障上网安全。
㈡ 什么是电脑木马
是坏东西,威胁电脑安全和程序的。
我用的是腾讯电脑管家,查杀合一,马查杀升级为专业杀毒,查杀更彻底,一款杀软满足杀毒防护和安全管理双重需求。系统清理能力也很彻底,电脑加速能力提升,性能全面优化,大幅降低系统资源占用,使用轻巧顺畅。一键清除,软件卸载新增"强力清除"功能,卸载更彻底。
㈢ 请问电脑中了木马病毒的现象有哪些
木马运行的征兆
如果电脑莫名其妙地死机或重启;
如果硬盘在无操作的情况下频繁被访问;
如果系统无端搜索软驱、光驱;
如果系统速度异常缓慢,系统资源占用率过高……
这些时候,你要小心了!你很可能已经和“木马”发生了“亲密接触”!到底这些“恐怖分子”是如何在我们电脑里“安家落户”的呢?
木马的隐藏和启动
木马进入服务端计算机以后,需要经过某种方式激活自身,运行并加载到系统自启动程序序列。了解木马怎样激活自身,是找到并且清除木马的关键所在。
检查木马的方法
扫描端口是检测木马的常用方法。前面我们说过,在不打开任何网络软件的前提下,接入互联网的电脑打开的只有139端口。因此,我们可以关闭所有网络软件,然后,用“代理猎手”这类的端口扫描软件对电脑端口进行扫描,如果发现有139端口之外的被打开,那么,你是中了木马无疑了。
要想找到木马的位置,可以运用检测内存的办法。运行“c:\windows\Drwatson.exe”,这是Windows系统的“华生医生”,它可以对系统内存拍照,以取得相关的信息。拍照之后,查看“高级视图”中“任务”标签下的“程序”项,其中列出的就是正在运行的程序。对于可疑的程序,再查“路径”栏,可以找到这个程序,这样就知道它到底是不是木马了。
手工删除木马
如果你认为找到木马后,删除不过是举手之劳,那你就大错特错了。删除木马,有时候恰恰是最困难的工作,如果删除不彻底,木马很容易“死灰复燃”。首先想到的方法应该是使用杀毒软件, 毕竟优秀的杀毒软件都是千锤百炼出来的“反恐”高手。那么手工删除要注意什么呢?
许多木马本身具有自动检测其自启动项目的功能,如果你在未删除木马的情况下先行删除了其启动项目,木马马上又能将这些启动信息重新写入相关的文件或注册表相关位置。因此,最稳妥的方法是,在确定木马的位置以后,先重新启动计算机并进入DOS状态,在DOS下删掉木马程序后,再返回Windows,删除它的相关启动信息。
其次是木马文件名的麻烦——木马为了更好地隐藏自己和给你制造麻烦,生成的服务端文件名类似Windows的系统文件名。比如木马SubSeven 1.7版本的服务器文件名是c:\windows\kernel16.dll,而Windows有一个系统文件是c:\windows\kernel32.dll。又如,木马phAse 1.0版本,生成的木马是c:\windows\system\Msgsrv32.exe,和Windows的系统文件一模一样,只是图标不同,你能正确区分这些并且删除吗?另外,别忘了,文件名是可以改的。你可能认为中了netbus木马就该有Mring.exe或者SysEdit.exe这样的文件出现,但是我把它改成123.exe你又能如何呢?所以,千万别一味依赖“常识”。
最后也是最困难的,就是木马的“多重攻击”带来的麻烦。比如一种名叫“聪明基因”的国产“文件关联”型木马,只要服务端被运行,就会生成c:\windows\MBBManager.exe和Explore32.exe以及c:\windows\system\editor.exe三个文件,它们用的都是HTM文件图标,如果你的系统设置是不显示已知文件类型的扩展名,还真会以为它们是HTM文件呢!Explore32.exe关联HLP文件,MBBManager.exe在启动时加载,Editor.exe关联TXT文件。当你发现并删除了MBBManager.exe,以为大功告成的时候,只要打开HLP文件或文本文件,哪怕只是一次,Explore32.exe和Editor.exe就被激活并再次生成MBBManager.exe。类似手段甚至更厉害的木马还有很多。要手工清除木马,非得有充分的电脑知识,丰富的经验,冷静的头脑,敏锐的洞察力以及高度的警惕性和超强的分析能力才行——你做得到吗?防患于未然木马如此凶残,你还有信心战胜它吗?别急,其实对付木马的最好方法,就是将它“拒之门外”。在这个木马横行的年代,我们实在有必要加强安全防护意识。防火墙、杀毒软件都要经常更新;要慎重选择下载软件的地方,尽量不要到一些来历不明的个人主页下载软件;对下载的软件,务必先用杀毒软件扫描后才可以进行安装,以防其中包藏祸害;另外就是不要打开来历不明邮件中的附件,不要执行别人发给你的所谓“有趣”的小程序……
此外,一旦中了木马,首先要断开网络连接,因为这样就是神仙也操纵不了你了,然后你可以耐心地去清除它。还有就是删除前做好备份,以防操作失误。
㈣ 电脑木马是什么啊
什么是木马?
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
参考资料:http://bbs.51ww.com/365000/ShowPost.aspx
回答者:lazybones711 - 魔法师 四级 5-2 07:37
马病毒源自古希腊特洛伊战争中着名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等
从对基本的地方了解木马
端口
你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑。
黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,你可以利用软件--
如何发现自己电脑中的木马
再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中了netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:\WINDOWS\WINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 http://10.10.10.10:7306/,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要--
进一步查找木马
曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口。
前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首先找个端口扫描器,推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。 排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。
扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了,我汉化了一个线程监视器,Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得--
在硬盘上删除木马
最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。
下面就netbus木马为例讲讲删除的经过。
简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,笔者倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。笔者在自己的电脑中做了这样一个实验,将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。
有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:\WINDOWS\DRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。
好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中。
你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。排除了木马以后,你就可以监视端口--
悄悄等待黑客的来临
介绍两个软件,首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么
㈤ 请问电脑中了木马病毒的现象有哪些啊
木马是后门,可以理解为中了木马以后别人就可以远程控制你的机器。它和病毒不是一个概念。
可能没有任何现象,也可能比病毒还可怕。
现象是掌握在控制你电脑那个人而决定的。他可以格式化你的硬盘喔。
㈥ 电脑有木马
针对楼主所说的问题,推荐楼主使用金山卫士独有的双引擎杀毒,识别免杀木马,修复系统漏洞。使您的电脑恢复如初。全面克制感染型木马,另增有软件管理,插件清理,让可恶的桌面图标无所遁形。整个下载安装过程只需30秒,4.7M的轻巧体积。
下载地址:网络搜索金山卫士
㈦ 电脑中木马的常见特征有哪些
这样几个常见现象
1
电脑速度明显变慢,
2
有时候你没有网络数据传输的时候,你能看到你的网络连接的图标有大量的接收与发送的数据流量
3
硬盘的灯在你没有任何电脑操作的情况下莫名的频繁闪动,这就是木马在读写硬盘的数据
4
有的木马会自动下载病毒
等等
㈧ 电脑中木马了有那些状况
不是的
木马只是间谍程序罢了,一般都不会有太明显的症状,因为他们要默默的记录下你电脑里的有用信息,所以不可能太张扬。
开不了机器的一般都是恶意的病毒,它们被编译的初衷就是搞破坏。
你说你开不了机,唯一的办法就是拿去电脑城找人维修,不过维修的时候也要注意看着他们,别让他们把你的硬件偷换掉。
㈨ 电脑中了什么木马
那个是雅虎助手 雅虎助手都被木马杀客当作流氓软件来杀了
可以通过手工修改注册表彻底删除卸载3721上网助手/网络实名解决办法
3721安装后,写了几个dll在 Winnt\Download program files下。并且在windows下是看不见的(显示所有文件,不隐藏系统文件也看不见,连搜索文件也找不到)。然后在注册的Run键值下写入了CnsMin.dll,这样每次开机CnsMin.dll自动驻留在内存里,因此这个时候清注册表是没用的,它马上又会往注册表里写。所以只能先把CnsMin.dll改名,然后重起,再清除注册表就没问题了。(象不象病毒?呵呵)。
在MS-DOS方式下dir 一看。嘿嘿!那个Download program iles下面有n多3721的文件。
把CnsMin.dll改名(如果直接输入del *.* 结果是拒绝删除,不行!)
然后重起。系统会显示CnsMin.dll不存在(要的就是这个效果!)。
现在好了可以到注册表里把3721,CnsMin,网络实名搜索一遍,统统杀了,具体步骤如下。
问:有时即使卸载了网络实名,但注册表和硬盘中仍然可能存在许多垃圾信息和垃圾文件。如何手工完全删除3721网络实名相关文件和注册表信息?
答:手工清除的方法如下:
1.清除注册表中的垃圾键值。
(1)〔HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run\〕下,要删除的键值项是“CnsMin”。其键值为“Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32”(如果是Windows 98,这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\)。
(2)〔HKEY_LOCAL_MACHINE\Software\Microsoft\ Internet Explorer\AdvancedOptions\〕下,要删除的是“!CNS”整个键值项。该项目在Internet 选项的“高级”选项卡中加入了3721网络实名的选项。
(3)〔HKEY_LOCAL_MACHINE\Software\3721\ 以及 HKEY_CURRENT_USER\Software\3721\〕下,要删除的键值项为“3721”。如果安装了3721的其他软件,如极品飞猫等,则应删除〔HKEY_LOCAL_MACHINE\Software\3721\CnsMin〕以及〔HKEY_CURRENT _USER\Software\3721\CnsMin〕。
(4)〔HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\〕下,要删除的键值是CNSEnable(其键值为:a2c39d5f)、CNSHint(其键值为:a2c39d5f)和CNSList(其键值为:a2c39d5f)。
2.删除网络实名的垃圾文件。
在C:\WINDOWS\Downloaded Program Files文件夹中,3721及子目录、cnsio.dll、CnsMin.dll、CnsMin.ini、CnsMinEx.cab、CnsMinEx.dll、CnsMinEx.ini、CnsMinIO.cab、CnsMinIO.dll、CnsMinUp.cab文件均需要被删除。一定要在卸载网络实名并采取了前述防范措施后才能完全删除这些文件,否则仍然会有一些文件不能被删除。
现在,终于把3721全部手动清除了,然后打开IE浏览器,选择菜单:
工具-->Internet选项-->安全-->受限制的站点-->点击“站点”按钮,然后把“3721.com”加入,这样以后拒绝访问 3721 的一切网页,以免再被装上他们的网络实名!
㈩ 木马病毒有哪些
蠕虫病毒是一种通过网络传播的恶性病毒,它除具有病毒的一些共性外,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身,然后在网络中传播,严重的占用有限的网络资源,最终引起整个网络的瘫痪,使用户不能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失,因此它的危害性是十分巨大的;有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能,更是严重的危害到用户的系统安全。
传播方式:
蠕虫病毒常见的传播方式有2种:
1.利用系统漏洞传播——蠕虫病毒利用计算机系统的设计缺陷,通过网络主动的将自己扩散出去。
2.利用电子邮件传播——蠕虫病毒将自己隐藏在电子邮件中,随电子邮件扩散到整个网络中,这也是是个人计算机被感染的主要途径。
木马病毒:
完整的木马病毒程序一般由两个部分组成,一个是服务器程序,一个是控制程序,被病毒感染的计算机会自动运行服务器程序。如果你的计算机被安放了木马,就如同你的家被人偷偷的装上了后门一样,将变得毫无秘密可言。拥有控制程序的人随时可以检查你的文件,做系统管理员才能做的工作(例如格式化磁盘),你的计算机上的所有文件、程序,以及在你使用到的所有帐号、密码都会被别人轻松的窃走。
传播方式:
木马程序通常通过伪装自己的方式进行传播,常见的伪装方式有: 伪装成小程序,通常会起一个很诱人的的名字,例如“FlashGet破解程序”,用户一旦运行这个程序,就中了木马 伪装成网页,网页的链接通常会起一个十分暧昧的名字,诱使用户去点击它,用户一旦点击了这个链接,就中了木马 把自己绑定在正常的程序上面,高明的黑客可以通过编程把一个正版winzip安装程序和木马编译成一个新的文件,一旦用户安装winzip程序,就会不知不觉地把木马种下去 伪装成邮件附件,邮件主题可能会是“好消息”,“你想赚钱吗?”等等,一旦你好奇的打开附件,木马就安置在了你的计算机中
感染对象: 木马程序感染的对象是整台计算机。