1. 我電腦中的正在運行的進程發現了木馬,怎麼辦
中了病毒、木馬不要著急,我來幫你:
這里的方法是總結的前輩們的經驗,在此感謝他們!!!!!
其實中毒後的處理方法就是那麼幾種,但是藉助殺毒軟體用手工方法處理是最為有效的!!!!
木馬的查殺,可以採用自動和手動兩種方式。最簡單的刪除木馬的方法是安裝殺毒軟體(自動),現在很多殺毒軟體能刪除網路最猖獗的木馬,建議安裝金山毒霸或安全之星XP,它們在查殺木馬方面很有一套!
由於殺毒軟體的升級多數情況下慢於木馬的出現,因此學會手工查殺非常必要。方法是:
1.)檢查注冊表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以「Run」開頭的鍵值名,其下有沒有可疑的文件名。如果有,就需要刪除相應的鍵值,再刪除相應的應用程序。
2.)檢查啟動組
木馬們如果隱藏在啟動組雖然不是十分隱蔽,但這里的確是自動載入運行的好場所,因此還是有木馬喜歡在這里駐留的。啟動組對應的文件夾為:C:\windows\start menu\programs\startup,在注冊表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意經常檢查這兩個地方哦!
3.)Win.ini以及System.ini也是木馬們喜歡的隱蔽場所,要注意這些地方
比方說,Win.ini的[Windows]小節下的load和run後面在正常情況下是沒有跟什麼程序的,如果有了那就要小心了,看看是什麼;在System.ini的[boot]小節的Shell=Explorer.exe後面也是載入木馬的好場所,因此也要注意這里了。當你看到變成這樣:Shell=Explorer.exe wind0ws.exe,請注意那個wind0ws.exe很有可能就是木馬服務端程序!趕快檢查吧。
4.)對於下面所列文件也要勤加檢查,木馬們也很可能隱藏在那裡
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件啟動,那麼運行這個程序,看木馬是否被裝入內存,埠是否打開。如果是的話,則說明要麼是該文件啟動木馬程序,要麼是該文件捆綁了木馬程序,只好再找一個這樣的程序,重新安裝一下了。
6.)萬變不離其宗,木馬啟動都有一個方式,它只是在一個特定的情況下啟動
所以,平時多注意一下你的埠,查看一下正在運行的程序,用此來監測大部分木馬應該沒問題的。
另外,你也可以試試用下面的辦法來解決:
從網上下一個叫「冰刃」的軟體。這是一個綠色免安裝的小軟體,可以放心使用。
這個是下載地址。
http://www.ttian.net/website/2005/0829/391.html
這個是它的詳細用法。
http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm
一般來說,不管是木馬、病毒進入我們的機器後都是「三隱」的即隱進程、隱服務、隱文件的,利害的能將殺毒軟體有實時監控給殺死!但在這個冰刃里,它是無法遁身的。開啟的非法進程會以紅色顯示出來。
至於殺毒軟體,應該說各人有各人的喜好,下面給出的鏈接上你看看比較一下:
六款主流殺毒軟體橫向評測
http://it.sohu.com/2004/05/19/39/article220183986.shtml
消費者該如何選擇?六款殺毒軟體橫向評測(這個要詳細些)
http://tech.tom.com/1380/1383/2005513-197230.html
2. 電腦開機進不了系統
啟動與關閉類故障
一、定義舉例
與啟動、關閉過程有關的故障。啟動是指從自檢完畢到進入操作系統應用界面這一過程中發生的問題;關閉系統是指從點擊關閉按扭後到電源斷開之間的所有過程。
二、可能的故障現象
1、 啟動過程中死機、報錯、黑屏、反復重啟等;
2、 啟動過程中報某個文件錯誤;
3、 啟動過程中,總是執行一些不應該的操作(如總是磁碟掃描、啟動一個不正常的應用程序等);
4、 只能以安全模式或命令行模式啟動;
5、 登錄時失敗、報錯或死機;
6、 關閉操作系統時死機或報錯。
三、可能涉及的部件
BIOS設置、啟動文件、設備驅動程序、操作系統/應用程序配置文件;電源、磁碟及磁碟驅動器、主板、信號線、CPU、內存、可能的其它板卡。
四、判斷要點/順序
1、 維修前的准備
1) 磁碟數據線;
2) 萬用表;
3) 查毒軟體。
2、 環境檢查
1) 機器周邊及外觀檢查:
A. 市電連接是否牢靠,不應有過松或插不到位的現象;
B. 主機硬碟指示燈是否正確閃亮,不應有不亮或常亮的現象;
C. 觀察系統是否有異味,元器件的溫度是否偏高;
D. 觀察CPU風扇的轉速是否不夠,或是否過慢或不穩定;
E. 傾聽驅動器工作時是否有異響。
2) 驅動器連接檢查:
A. 驅動器的電源連接是否正確、牢靠。驅動器上的電源連接插座是否有虛接的現象;
B. 驅動器上的跳線設置是否與驅動器連接在電纜上的位置相符;
C. 驅動器數據電纜是否接錯或漏接,規格是否與驅動器的技術規格相符(如:支持DMA66的驅動器,必須使用80芯數據電纜);
D. 驅動器數據電纜是否有故障(如露出芯線、有死彎或硬痕等),除可通過觀察來判斷外,也可通過更換一根數據電纜來檢查;
E. 驅動器是否通過其它板卡連接到系統上,或通過其它板卡(如硬碟保護卡,雙網隔離卡等)來控制。
3) 檢查其它部件的安裝:
A. 通過重新插拔部件(包括CPU、內存),檢查故障是否消失(重新插拔前,應該先做除塵和清潔金手指工作,包括插槽)。如果總是通過重新插拔來解決,應檢查部件安裝時,是否過松、後檔板尺寸是否不合適、插座太緊,以致插不到位或被擠出;
B. 檢查CPU風扇與CPU是否接觸良好。最好重新安裝一次。
4) 顯示的內容的觀察:要注意屏幕報錯的內容、死機的位置,以確定故障可能發生的部位。
3、 故障判斷要點
1) 充分地與用戶溝通,了解出現不能啟動的過程及用戶的操作;
2) BIOS設置檢查:
A. 是否為剛更換完不同型號的硬體。如果主板BIOS支持BOOTEasy功能或BIOS防寫開關打開,則建議將其關閉,待完成一次完整啟動後,再開啟;
B. 是否添加了新硬體。這時應先去除添加的硬體,看故障是否消失,若是,檢查添加的硬體是否有故障,或系統中納柚檬欠裾 罰ㄍu 員刃掠布 氖褂檬植峒觳椋 ?BR>C. 檢查BIOS中的設置,如:啟動順序、啟動磁碟的設備參數等。建議通過清CMOS來恢復;
D. 檢查是否由於BIOS問題(包括設置及功能)引起操作系統不能正常啟動或關閉,可償試將Windows目錄下的BIOS.vxd(或VPBIOSD.vxd)改名為BIOS.old,然後重啟,或關閉,若故障消失,則通過修改BIOS設備或更新BIOS來解決,否則與BIOS無關。注意測試完成以後,一定要將其改回原來的名字(註:除Windows
98外,其它操作系統無此文件);
E. 在某些特殊情況下,應考慮升級BIOS來檢查。如:對於在第一次開機啟動後,某些應用或設備不能工作的情況,除檢查設備本身的問題外,就可考慮更新BIOS來解決。
以下檢查應在軟體最小系統下進行。
3) 磁碟邏輯檢查:
A. 根據啟動過程中的錯誤提示,相應地檢查磁碟上的分區是否正確、分區是否激活、是否格式化;
B. 直接檢查硬碟是否已分區、格式化;
C. 加入一個其它無故障的驅動器(如軟碟機或光碟機)來檢查能否從其它驅動器中啟動(若使用軟碟機,最好使用希捷的檢測軟盤啟動)。若能,進行第3)、4)步的檢查,否則進行第5)步的檢查;接著、分區是否激活、有無壞道等;
D. 硬碟上的啟動分區是否已激活,其上是否有啟動時所用的啟動文件或命令;
E. 檢查硬碟驅動器上的啟動分區是否可訪問,若不能,用相應廠商的磁碟檢測程序檢查硬碟是否有故障。有故障,更換硬碟;在無故障的情況下,通過初始化硬碟來檢測,若故障依然存在,更換硬碟;
F.在用其它驅動器也不能啟動時,先將硬碟驅動器去除,看是否可啟動,若仍不能,應對軟體最小系統中的部件進行逐一檢查,包括硬碟驅動器和磁碟傳輸的公共部件--磁碟介面、電源、內存等。若可啟動了,最好對硬碟進行一次初始化操作,若故障不消失,則再更換硬碟;
G. 如果要對硬碟進行初始化操作,但用戶存有有用數據,建議用戶找數據修復公司解決。
4) 操作系統配置檢查:
A. 對於出現文件錯誤的提示,應按照在第一部分中提到的相應軟體調試方法來修復文件;
B. 在不能啟動的情況,建議進行一次"選擇上一次啟動"或用scanreg.exe恢復注冊表到前期備份的注冊表的方法檢查故障是否能夠消除;
C. 檢查系統中有無第三方程序在運行,或系統中不當的設置或設備驅動引起啟動不正常。在這里特別要注意Autoexec.bat和Config.sys文件,應屏蔽這兩個文件,檢查啟動故障是否消失;
D. 檢查啟動設置、啟動組中的項、注冊表中的鍵值等,是否載入了不必要的程序;
E. 檢查是否存在病毒。要求在一個系統中,只能安裝一個防病毒軟體;
F. 必要時,通過一鍵恢復、恢復安裝等方法,檢查啟動方面的故障;
G.當啟動中顯示不正常時(如黑屏、花屏等),應按顯示類故障的判斷方法進行檢查,但首先要注意顯示設備的驅動程序是否正常、顯示設置是否正確,最好將顯示改變到標準的VGA方式檢查。
5) 硬體部件檢查:
A. 如果啟動的驅動器是通過另外的控制卡連接的,請將驅動器直接連接在預設的驅動器介面(主板上的);
B. 當在軟體最小系統下啟動正常後,應逐步回復到原始配置狀態,來定位引起不能正常啟動的部件;
C. 要注意檢查電源的供電能力,即輸出電壓是否在允許的范圍內,波動范圍是否超出允許的范圍(參見《維修工具使用手冊》);
D. 驅動器的檢查,可參考磁碟類故障的判斷方法進行;
E. 硬體方面的考慮,應從內存開始考慮:使用內存檢測程序進行判斷內存部分是否有故障,內存安裝的位置,應從第一個內存槽開始安裝,對於安裝的多條內存檢查內存規格是否一致、兼容等。有關內存規格請參閱附錄二的相關部分。
6) 對於不能正常關機的現象,應從下列幾個方面檢查:
A. 在命令提示符下查看BOOTLOG.TXT文件(在根目錄下)。此文件是開機注冊文件,它裡面記錄了系統工作時失敗的記錄,保存一份系統正常工作時的記錄,與出問題後的記錄相比較,找出有問題的驅動程序,在WIN.INI
SYSTEM.INI 中找到該驅動對應的選項,或在注冊表中找到相關聯的對應鍵值,更改或升級該驅動程序,有可能將問題解決;
B. 升級BIOS到最新版本,注意CMOS的設置(特別是APM、USB、IRQ等);
C. 檢查是否有一些系統的文件損壞或未安裝(參閱附錄二之(三)的相關內容)
D. 應用程序引起的問題,關閉啟動組中的應用程序,檢查關機時的聲音程序是否損壞;
E. 檢查是否有某個設備引起無法正常關機,比如網卡、音效卡,可通過更新驅動或更換硬體來檢查;
F. 通過安裝補丁程序或升級操作系統進行檢查;
G. 對於Windows 98SE系統的關機問題,請參閱附錄二之(三)。其中的一引起論述對於其它Windows系統也有幫助
3. 如何判斷我的電腦里是否有木馬病毒啊
首先,查看system.ini、win.ini、啟動組中的啟動項目。由「開始->運行」,輸入msconfig,運行Windows自帶的「系統配置實用程序」。
1、查看system.ini文件
選中「System.ini」標簽,展開[boot]目錄,查看「shell=」這行,正常為「shell=Explorer.exe」
,如果不是這樣,就可能中了木馬了。下圖所示為正常時的情況:
2、查看win.ini文件
選中win.ini標簽,展開[windows]目錄項,查看「run=」和「load=」行,等號後面正常應該為空
3、查看啟動組
再看看啟動標簽中的啟動項目,有沒有什麼非正常項目?要是有象netbus、netspy、bo等關鍵詞,
極有可能就是木馬了。本人一般都將啟動組中的項目保持在比較精簡的狀態,不需要或無大用途的項目都
屏蔽掉了
4、查看注冊表
由「開始-運行」,輸入regedit,確定就可以運行注冊表編輯器。再展開至:
「HKEY-LOCAL-」目錄下,查看鍵值中有沒有自己
不熟悉的自動啟動文件項目,比如netbus、netspy、netserver等的單詞。注意,有的木馬程序生成的
伺服器程序文件很像系統自身的文件,想由此偽裝矇混過關。比如Acid Battery木馬,它會在注冊表項
「HKEY-LOCAL-」下加入
Explorer=「CWINDOWSexpiorer.exe」,木馬伺服器程序與系統自身的真正的Explorer之間只有一個字母
的差別!
通過類似的方法對下列各個主鍵下面的鍵值進行檢查:
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
如果操作系統是Windows NT,還得注意HKEY-LOCAL-MACHINE\Software\SAM下面的內容,如果有項目,那極有可能就是木馬了。正常情況下,該主鍵下面是空的。
當然在注冊表中還有很多地方都可以隱藏木馬程序,上面這些主鍵是木馬比較常用的隱身之處。除此之外,象HKEY-CURRENT-USER\ Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\ Microsoft\Windows\CurrentVersion\Run的目錄下都有可能成為木馬的藏身之處。最好的辦法就是在HKEY-LOCAL -MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主鍵下面找到木馬程序的文件名,再通過其文件名對整個注冊表進行全面搜索就知道它有幾個藏身的地方了。
如果有留意,注冊表各個主鍵下都會有個叫「(默認)」名稱的注冊項,而且數據顯示為「(未設置鍵值)」,也就是空的。這是正常現象。如果發現這個默認項被替換了,那麼替換它的就是木馬了。
4、其它方法
上網過程中,在進行一些計算機正常使用操作時,發現計算機速度明顯起了變化、硬碟在不停的讀寫、滑鼠不聽使喚、鍵盤無效、自己的一些窗口在未得到自己允許的情況下被關閉、新的窗口被莫名其妙地打開.....這一切的不正常現象都可以懷疑是木馬客戶端在遠程式控制制你的計算機。
如果懷疑你現在正在被木馬控制,那麼不要慌張地去拔了網線或抽了Modem上的電話線。有可能的話,最好可以逮到「黑」你的那個傢伙。下面就介紹一下相應的方法:
由「開始->運行」,輸入command,確定,開一個MS-DOS窗口。或者由「開始->程序->MS-DOS」來打開它。在MS-DOS窗口的命令行鍵入「netstat」查看目前已與本計算機建立的連接。如下圖所示:
顯示出來的結果表示為四列,其意思分別為Proto:協議,Local Address:本地地址,Foreign Address
:遠程地址,State:狀態。在地址欄中冒號的後面就是埠號。如果發現埠號碼異常(比如大於5000
),而Foreign Address中的地址又不為正常網路瀏覽的地址,那麼可以判斷你的機器正被
Foreign Address中表示的遠程計算機所窺視著。在對應行的Foreign Address中顯示的IP地址就是目前非
法連接你計算機的木馬客戶端。
當網路處於非活動狀態,也就是目前沒什麼活動網路連接時,在MS-DOS窗口中用netstat命令將看不
到什麼東西。此時可以使用「netstat -a」,加了常數「-a」表示顯示計算機中目前處於監聽狀態的埠
。對於Windows98來說,正常情況下,會出現如下的一些處於監聽狀態的埠(安裝有NETBEUI協議):
如果出現有不明埠處於監聽(LISTENING)狀態,而目前又沒有進行任何網路服務操作,那麼在監聽該
埠的就是特洛伊木馬了!如下圖所示的23456和23457埠都處於監聽狀態,很明顯是木馬造成的。
注意,使用此方法查詢處於監聽狀態的埠,一定要保證在短時間內(最好5分鍾以上)沒有運行任何
網路沖浪軟體,也沒有進行過任何網路操作,比如瀏覽網頁,收、發信等。不然容易混淆對結果的判斷。
4. 電腦出現「錯誤1068:依賴服務或組無法啟動」怎麼解決
電腦出現「錯誤1068:依賴服務或組無法啟動」的原因可能是電腦設置有誤導致的,具體解決方法步驟如下:
1、首先打開電腦,點擊「開始」菜單,在文本框中輸入「services.msc」命令。
