1. 我电脑中的正在运行的进程发现了木马,怎么办
中了病毒、木马不要着急,我来帮你:
这里的方法是总结的前辈们的经验,在此感谢他们!!!!!
其实中毒后的处理方法就是那么几种,但是借助杀毒软件用手工方法处理是最为有效的!!!!
木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
另外,你也可以试试用下面的办法来解决:
从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件,可以放心使用。
这个是下载地址。
http://www.ttian.net/website/2005/0829/391.html
这个是它的详细用法。
http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm
一般来说,不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服务、隐文件的,利害的能将杀毒软件有实时监控给杀死!但在这个冰刃里,它是无法遁身的。开启的非法进程会以红色显示出来。
至于杀毒软件,应该说各人有各人的喜好,下面给出的链接上你看看比较一下:
六款主流杀毒软件横向评测
http://it.sohu.com/2004/05/19/39/article220183986.shtml
消费者该如何选择?六款杀毒软件横向评测(这个要详细些)
http://tech.tom.com/1380/1383/2005513-197230.html
2. 电脑开机进不了系统
启动与关闭类故障
一、定义举例
与启动、关闭过程有关的故障。启动是指从自检完毕到进入操作系统应用界面这一过程中发生的问题;关闭系统是指从点击关闭按扭后到电源断开之间的所有过程。
二、可能的故障现象
1、 启动过程中死机、报错、黑屏、反复重启等;
2、 启动过程中报某个文件错误;
3、 启动过程中,总是执行一些不应该的操作(如总是磁盘扫描、启动一个不正常的应用程序等);
4、 只能以安全模式或命令行模式启动;
5、 登录时失败、报错或死机;
6、 关闭操作系统时死机或报错。
三、可能涉及的部件
BIOS设置、启动文件、设备驱动程序、操作系统/应用程序配置文件;电源、磁盘及磁盘驱动器、主板、信号线、CPU、内存、可能的其它板卡。
四、判断要点/顺序
1、 维修前的准备
1) 磁盘数据线;
2) 万用表;
3) 查毒软件。
2、 环境检查
1) 机器周边及外观检查:
A. 市电连接是否牢靠,不应有过松或插不到位的现象;
B. 主机硬盘指示灯是否正确闪亮,不应有不亮或常亮的现象;
C. 观察系统是否有异味,元器件的温度是否偏高;
D. 观察CPU风扇的转速是否不够,或是否过慢或不稳定;
E. 倾听驱动器工作时是否有异响。
2) 驱动器连接检查:
A. 驱动器的电源连接是否正确、牢靠。驱动器上的电源连接插座是否有虚接的现象;
B. 驱动器上的跳线设置是否与驱动器连接在电缆上的位置相符;
C. 驱动器数据电缆是否接错或漏接,规格是否与驱动器的技术规格相符(如:支持DMA66的驱动器,必须使用80芯数据电缆);
D. 驱动器数据电缆是否有故障(如露出芯线、有死弯或硬痕等),除可通过观察来判断外,也可通过更换一根数据电缆来检查;
E. 驱动器是否通过其它板卡连接到系统上,或通过其它板卡(如硬盘保护卡,双网隔离卡等)来控制。
3) 检查其它部件的安装:
A. 通过重新插拔部件(包括CPU、内存),检查故障是否消失(重新插拔前,应该先做除尘和清洁金手指工作,包括插槽)。如果总是通过重新插拔来解决,应检查部件安装时,是否过松、后档板尺寸是否不合适、插座太紧,以致插不到位或被挤出;
B. 检查CPU风扇与CPU是否接触良好。最好重新安装一次。
4) 显示的内容的观察:要注意屏幕报错的内容、死机的位置,以确定故障可能发生的部位。
3、 故障判断要点
1) 充分地与用户沟通,了解出现不能启动的过程及用户的操作;
2) BIOS设置检查:
A. 是否为刚更换完不同型号的硬件。如果主板BIOS支持BOOTEasy功能或BIOS防写开关打开,则建议将其关闭,待完成一次完整启动后,再开启;
B. 是否添加了新硬件。这时应先去除添加的硬件,看故障是否消失,若是,检查添加的硬件是否有故障,或系统中纳柚檬欠裾 罚ㄍu 员刃掠布 氖褂檬植峒觳椋 ?BR>C. 检查BIOS中的设置,如:启动顺序、启动磁盘的设备参数等。建议通过清CMOS来恢复;
D. 检查是否由于BIOS问题(包括设置及功能)引起操作系统不能正常启动或关闭,可偿试将Windows目录下的BIOS.vxd(或VPBIOSD.vxd)改名为BIOS.old,然后重启,或关闭,若故障消失,则通过修改BIOS设备或更新BIOS来解决,否则与BIOS无关。注意测试完成以后,一定要将其改回原来的名字(注:除Windows
98外,其它操作系统无此文件);
E. 在某些特殊情况下,应考虑升级BIOS来检查。如:对于在第一次开机启动后,某些应用或设备不能工作的情况,除检查设备本身的问题外,就可考虑更新BIOS来解决。
以下检查应在软件最小系统下进行。
3) 磁盘逻辑检查:
A. 根据启动过程中的错误提示,相应地检查磁盘上的分区是否正确、分区是否激活、是否格式化;
B. 直接检查硬盘是否已分区、格式化;
C. 加入一个其它无故障的驱动器(如软驱或光驱)来检查能否从其它驱动器中启动(若使用软驱,最好使用希捷的检测软盘启动)。若能,进行第3)、4)步的检查,否则进行第5)步的检查;接着、分区是否激活、有无坏道等;
D. 硬盘上的启动分区是否已激活,其上是否有启动时所用的启动文件或命令;
E. 检查硬盘驱动器上的启动分区是否可访问,若不能,用相应厂商的磁盘检测程序检查硬盘是否有故障。有故障,更换硬盘;在无故障的情况下,通过初始化硬盘来检测,若故障依然存在,更换硬盘;
F.在用其它驱动器也不能启动时,先将硬盘驱动器去除,看是否可启动,若仍不能,应对软件最小系统中的部件进行逐一检查,包括硬盘驱动器和磁盘传输的公共部件--磁盘接口、电源、内存等。若可启动了,最好对硬盘进行一次初始化操作,若故障不消失,则再更换硬盘;
G. 如果要对硬盘进行初始化操作,但用户存有有用数据,建议用户找数据修复公司解决。
4) 操作系统配置检查:
A. 对于出现文件错误的提示,应按照在第一部分中提到的相应软件调试方法来修复文件;
B. 在不能启动的情况,建议进行一次"选择上一次启动"或用scanreg.exe恢复注册表到前期备份的注册表的方法检查故障是否能够消除;
C. 检查系统中有无第三方程序在运行,或系统中不当的设置或设备驱动引起启动不正常。在这里特别要注意Autoexec.bat和Config.sys文件,应屏蔽这两个文件,检查启动故障是否消失;
D. 检查启动设置、启动组中的项、注册表中的键值等,是否加载了不必要的程序;
E. 检查是否存在病毒。要求在一个系统中,只能安装一个防病毒软件;
F. 必要时,通过一键恢复、恢复安装等方法,检查启动方面的故障;
G.当启动中显示不正常时(如黑屏、花屏等),应按显示类故障的判断方法进行检查,但首先要注意显示设备的驱动程序是否正常、显示设置是否正确,最好将显示改变到标准的VGA方式检查。
5) 硬件部件检查:
A. 如果启动的驱动器是通过另外的控制卡连接的,请将驱动器直接连接在缺省的驱动器接口(主板上的);
B. 当在软件最小系统下启动正常后,应逐步回复到原始配置状态,来定位引起不能正常启动的部件;
C. 要注意检查电源的供电能力,即输出电压是否在允许的范围内,波动范围是否超出允许的范围(参见《维修工具使用手册》);
D. 驱动器的检查,可参考磁盘类故障的判断方法进行;
E. 硬件方面的考虑,应从内存开始考虑:使用内存检测程序进行判断内存部分是否有故障,内存安装的位置,应从第一个内存槽开始安装,对于安装的多条内存检查内存规格是否一致、兼容等。有关内存规格请参阅附录二的相关部分。
6) 对于不能正常关机的现象,应从下列几个方面检查:
A. 在命令提示符下查看BOOTLOG.TXT文件(在根目录下)。此文件是开机注册文件,它里面记录了系统工作时失败的记录,保存一份系统正常工作时的记录,与出问题后的记录相比较,找出有问题的驱动程序,在WIN.INI
SYSTEM.INI 中找到该驱动对应的选项,或在注册表中找到相关联的对应键值,更改或升级该驱动程序,有可能将问题解决;
B. 升级BIOS到最新版本,注意CMOS的设置(特别是APM、USB、IRQ等);
C. 检查是否有一些系统的文件损坏或未安装(参阅附录二之(三)的相关内容)
D. 应用程序引起的问题,关闭启动组中的应用程序,检查关机时的声音程序是否损坏;
E. 检查是否有某个设备引起无法正常关机,比如网卡、声卡,可通过更新驱动或更换硬件来检查;
F. 通过安装补丁程序或升级操作系统进行检查;
G. 对于Windows 98SE系统的关机问题,请参阅附录二之(三)。其中的一引起论述对于其它Windows系统也有帮助
3. 如何判断我的电脑里是否有木马病毒啊
首先,查看system.ini、win.ini、启动组中的启动项目。由“开始->运行”,输入msconfig,运行Windows自带的“系统配置实用程序”。
1、查看system.ini文件
选中“System.ini”标签,展开[boot]目录,查看“shell=”这行,正常为“shell=Explorer.exe”
,如果不是这样,就可能中了木马了。下图所示为正常时的情况:
2、查看win.ini文件
选中win.ini标签,展开[windows]目录项,查看“run=”和“load=”行,等号后面正常应该为空
3、查看启动组
再看看启动标签中的启动项目,有没有什么非正常项目?要是有象netbus、netspy、bo等关键词,
极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态,不需要或无大用途的项目都
屏蔽掉了
4、查看注册表
由“开始-运行”,输入regedit,确定就可以运行注册表编辑器。再展开至:
“HKEY-LOCAL-”目录下,查看键值中有没有自己
不熟悉的自动启动文件项目,比如netbus、netspy、netserver等的单词。注意,有的木马程序生成的
服务器程序文件很像系统自身的文件,想由此伪装蒙混过关。比如Acid Battery木马,它会在注册表项
“HKEY-LOCAL-”下加入
Explorer=“CWINDOWSexpiorer.exe”,木马服务器程序与系统自身的真正的Explorer之间只有一个字母
的差别!
通过类似的方法对下列各个主键下面的键值进行检查:
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
如果操作系统是Windows NT,还得注意HKEY-LOCAL-MACHINE\Software\SAM下面的内容,如果有项目,那极有可能就是木马了。正常情况下,该主键下面是空的。
当然在注册表中还有很多地方都可以隐藏木马程序,上面这些主键是木马比较常用的隐身之处。除此之外,象HKEY-CURRENT-USER\ Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\ Microsoft\Windows\CurrentVersion\Run的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL -MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主键下面找到木马程序的文件名,再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。
如果有留意,注册表各个主键下都会有个叫“(默认)”名称的注册项,而且数据显示为“(未设置键值)”,也就是空的。这是正常现象。如果发现这个默认项被替换了,那么替换它的就是木马了。
4、其它方法
上网过程中,在进行一些计算机正常使用操作时,发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。
如果怀疑你现在正在被木马控制,那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话,最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法:
由“开始->运行”,输入command,确定,开一个MS-DOS窗口。或者由“开始->程序->MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。如下图所示:
显示出来的结果表示为四列,其意思分别为Proto:协议,Local Address:本地地址,Foreign Address
:远程地址,State:状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常(比如大于5000
),而Foreign Address中的地址又不为正常网络浏览的地址,那么可以判断你的机器正被
Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非
法连接你计算机的木马客户端。
当网络处于非活动状态,也就是目前没什么活动网络连接时,在MS-DOS窗口中用netstat命令将看不
到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口
。对于Windows98来说,正常情况下,会出现如下的一些处于监听状态的端口(安装有NETBEUI协议):
如果出现有不明端口处于监听(LISTENING)状态,而目前又没有进行任何网络服务操作,那么在监听该
端口的就是特洛伊木马了!如下图所示的23456和23457端口都处于监听状态,很明显是木马造成的。
注意,使用此方法查询处于监听状态的端口,一定要保证在短时间内(最好5分钟以上)没有运行任何
网络冲浪软件,也没有进行过任何网络操作,比如浏览网页,收、发信等。不然容易混淆对结果的判断。
4. 电脑出现“错误1068:依赖服务或组无法启动”怎么解决
电脑出现“错误1068:依赖服务或组无法启动”的原因可能是电脑设置有误导致的,具体解决方法步骤如下:
1、首先打开电脑,点击“开始”菜单,在文本框中输入“services.msc”命令。
