如何快速清除系統(tǒng)中的木馬病毒

　　電腦病毒看不見，卻無處不在，有時(shí)防護(hù)措施不夠或者不當(dāng)操作都會(huì)導(dǎo)致病毒入侵。木馬病毒就是其中一大難題，表面上能用軟件一鍵清理，但是不一定就解決了，那么如何快速清除系統(tǒng)中的木馬病毒?

　　一、文件捆綁檢測(cè)

　　將木馬捆綁在正常程序中，一直是木馬偽裝攻擊的一種常用手段。下面我們就看看如何才能檢測(cè)出文件中捆綁的木馬。

　　1.MT捆綁克星

　　文件中只要捆綁了木馬，那么其文件頭特征碼一定會(huì)表現(xiàn)出一定的規(guī)律，而MT捆綁克星正是通過分析程序的文件頭特征碼來判斷的。程序運(yùn)行后，我們只要單擊“瀏覽”按鈕，選擇需要進(jìn)行檢測(cè)的文件，然后單擊主界面上的“分析”按鈕，這樣程序就會(huì)自動(dòng)對(duì)添加進(jìn)來的文件進(jìn)行分析。此時(shí)，我們只要查看分析結(jié)果中可執(zhí)行的頭部數(shù)，如果有兩個(gè)或更多的可執(zhí)行文件頭部，那么說明此文件一定是被捆綁過的!

　　2.揪出捆綁在程序中的木馬

　　光檢測(cè)出了文件中捆綁了木馬是遠(yuǎn)遠(yuǎn)不夠的，還必須請(qǐng)出“Fearless Bound File Detector”這樣的“特工”來清除其中的木馬。

　　程序運(yùn)行后會(huì)首先要求選擇需要檢測(cè)的程序或文件，然后單擊主界面中的“Process”按鈕，分析完畢再單擊“Clean File”按鈕，在彈出警告對(duì)話框中單擊“是”按鈕確認(rèn)清除程序中被捆綁的木馬。

　　二、清除DLL類后門

　　相對(duì)文件捆綁運(yùn)行，DLL插入類的木馬顯的更加高級(jí)，具有無進(jìn)程，不開端口等特點(diǎn)，一般人很難發(fā)覺。因此清除的步驟也相對(duì)復(fù)雜一點(diǎn)。

　　1.結(jié)束木馬進(jìn)程

　　由于該類型的木馬是嵌入在其它進(jìn)程之中的，本身在進(jìn)程查看器中并不會(huì)生成具體的項(xiàng)目，對(duì)此我們?nèi)绻l(fā)現(xiàn)自己系統(tǒng)出現(xiàn)異常時(shí)，則需要判斷是否中了DLL木馬。

　　在這里我們借助的是IceSword工具，運(yùn)行該程序后會(huì)自動(dòng)檢測(cè)系統(tǒng)正在運(yùn)行的進(jìn)程，右擊可疑的進(jìn)程，在彈出的菜單中選擇“模塊信息”，在彈出的窗口中即可查看所有DLL模塊，這時(shí)如果發(fā)現(xiàn)有來歷不明的項(xiàng)目就可以將其選中，然后單擊“卸載”按鈕將其從進(jìn)程中刪除。對(duì)于一些比較頑固的進(jìn)程，我們還將其中，單擊“強(qiáng)行解除”按鈕，然后再通過“模塊文件名”欄中的地址，直接到其文件夾中將其刪除。

　　2.查找可疑DLL模塊

　　由于一般用戶對(duì)DLL文件的調(diào)用情況并不熟悉，因此很難判斷出哪個(gè)DLL模塊是不是可疑的。這樣ECQ-PS(超級(jí)進(jìn)程王)即可派上用場(chǎng)。

　　運(yùn)行軟件后即可在中間的列表中可以看到當(dāng)前系統(tǒng)中的所有進(jìn)程，雙擊其中的某個(gè)進(jìn)程后，可以在下面窗口的“全部模塊”標(biāo)簽中，即可顯示詳細(xì)的信息，包括模塊名稱、版本和廠商，以及創(chuàng)建的時(shí)間等。其中的廠商和創(chuàng)建時(shí)間信息比較重要，如果是一個(gè)系統(tǒng)關(guān)鍵進(jìn)程如“svchost.exe”，結(jié)果調(diào)用的卻是一個(gè)不知名的廠商的模塊，那該模塊必定是有問題的。另外如果廠商雖然是微軟的，但創(chuàng)建時(shí)間卻與其它的DLL模塊時(shí)間不同，那么也可能是DLL木馬。

　　另外我們也可以直接切換到“可疑模塊”選項(xiàng)，軟件會(huì)自動(dòng)掃描模塊中的可疑文件，并在列表中顯示出來。雙擊掃描結(jié)果列表中的可疑DLL模塊，可看到調(diào)用此模塊的進(jìn)程。一般每一個(gè)DLL文件都有多個(gè)進(jìn)程會(huì)調(diào)用，如果調(diào)用此DLL文件的僅僅是此一個(gè)進(jìn)程，也可能是DLL木馬。點(diǎn)擊“強(qiáng)進(jìn)刪除”按鈕，即可將DLL木馬從進(jìn)程中刪除掉。

　　三、徹底的Rootkit檢測(cè)

　　誰都不可能每時(shí)每刻對(duì)系統(tǒng)中的端口、注冊(cè)表、文件、服務(wù)進(jìn)行挨個(gè)的檢查，看是否隱藏木馬。這時(shí)候我可以使用一些特殊的工具進(jìn)行檢測(cè)。

　　1.Rootkit Detector清除Rootkit

　　Rootkit Detector是一個(gè)Rootkit檢測(cè)和清除工具，可以檢測(cè)出多個(gè)Windows下的Rootkit其中包括大名鼎鼎的hxdef.100.

　　用方法很簡(jiǎn)單，在命令行下直接運(yùn)行程序名“rkdetector.exe”即可。程序運(yùn)行后將會(huì)自動(dòng)完成一系統(tǒng)列隱藏項(xiàng)目檢測(cè)，查找出系統(tǒng)中正在運(yùn)行的Rootkit程序及服務(wù)，以紅色作出標(biāo)記提醒，并嘗試將它清除掉。

　　2.強(qiáng)大的Knlps

　　相比之下，Knlps的功能更為強(qiáng)大一些，它可以指定結(jié)束正在運(yùn)行的Rootkit程序。使用時(shí)在命令行下輸入“knlps.exe-l”命令，將顯示系統(tǒng)中所有隱藏的Rootkit進(jìn)程及相應(yīng)的進(jìn)程PID號(hào)。找到Rootkit進(jìn)程后，可以使用“-k”參數(shù)進(jìn)行刪除。例如已找到了“svch0st.exe”的進(jìn)程，及PID號(hào)為“3908”，可以輸入命令“knlps.exe -k 3908”將進(jìn)程中止掉。

　　四、克隆帳號(hào)的檢測(cè)

　　嚴(yán)格意義上來說，它已經(jīng)不是后門木馬了。但是他同樣是在系統(tǒng)中建立了管理員權(quán)限的賬號(hào)，但是我們查看的卻是Guest組的成員，非常容易麻痹管理員。

　　在這里為大家介紹一款新的帳號(hào)克隆檢測(cè)工具LP_Check，它可以明查秋毫的檢查出系統(tǒng)中的克隆用戶!

　　LP_Check的使用極其簡(jiǎn)單，程序運(yùn)行后會(huì)對(duì)注冊(cè)表及“帳號(hào)管理器”中的用戶帳號(hào)和權(quán)限進(jìn)行對(duì)比檢測(cè)，可以看到程序檢測(cè)出了剛才Guest帳號(hào)有問題，并在列表中以紅色三角符號(hào)重點(diǎn)標(biāo)記出來，這時(shí)我們就可以打開用戶管理窗口將其刪除了。

　　通過介紹相信已經(jīng)能夠讓系統(tǒng)恢復(fù)的比較安全了，但是要想徹底避免木馬的侵害，還是需要對(duì)其基礎(chǔ)知識(shí)加以了解。

　　相關(guān)閱讀：2018網(wǎng)絡(luò)安全事件：

　　一、英特爾處理器曝“Meltdown”和“Spectre漏洞”

　　2018年1月，英特爾處理器中曝“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞，包括AMD、ARM、英特爾系統(tǒng)和處理器在內(nèi)，幾乎近20年發(fā)售的所有設(shè)備都受到影響，受影響的設(shè)備包括手機(jī)、電腦、服務(wù)器以及云計(jì)算產(chǎn)品。這些漏洞允許惡意程序從其它程序的內(nèi)存空間中竊取信息，這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲(chǔ)于內(nèi)存中的信息均可能因此外泄。

　　二、GitHub 遭遇大規(guī)模 Memcached DDoS 攻擊

　　2018年2月，知名代碼托管網(wǎng)站 GitHub 遭遇史上大規(guī)模 Memcached DDoS 攻擊，流量峰值高達(dá)1.35 Tbps。然而，事情才過去五天，DDoS攻擊再次刷新紀(jì)錄，美國一家服務(wù)提供商遭遇DDoS 攻擊的峰值創(chuàng)新高，達(dá)到1.7 Tbps!攻擊者利用暴露在網(wǎng)上的 Memcached 服務(wù)器進(jìn)行攻擊。網(wǎng)絡(luò)安全公司 Cloudflare 的研究人員發(fā)現(xiàn)，截止2018年2月底，中國有2.5萬 Memcached 服務(wù)器暴露在網(wǎng)上 。

　　三、蘋果 iOS iBoot源碼泄露

　　2018年2月，開源代碼分享網(wǎng)站 GitHub(軟件項(xiàng)目托管平臺(tái))上有人共享了 iPhone 操作系統(tǒng)的核心組件源碼，泄露的代碼屬于 iOS 安全系統(tǒng)的重要組成部分——iBoot。iBoot 相當(dāng)于是 Windows 電腦的 BIOS 系統(tǒng)。此次 iBoot 源碼泄露可能讓數(shù)以億計(jì)的 iOS 設(shè)備面臨安全威脅。iOS 與 MacOS 系統(tǒng)開發(fā)者 Jonathan Levin 表示，這是 iOS 歷史上最嚴(yán)重的一次泄漏事件。

　　四、韓國平昌冬季奧運(yùn)會(huì)遭遇黑客攻擊

　　2018年2月，韓國平昌冬季奧運(yùn)會(huì)開幕式當(dāng)天遭遇黑客攻擊，此次攻擊造成網(wǎng)絡(luò)中斷，廣播系統(tǒng)(觀眾不能正常觀看直播)和奧運(yùn)會(huì)官網(wǎng)均無法正常運(yùn)作，許多觀眾無法打印開幕式門票，最終未能正常入場(chǎng)。

　　五、加密貨幣采礦軟件攻擊致歐洲廢水處理設(shè)施癱瘓

　　2018年2月中旬，工業(yè)網(wǎng)絡(luò)安全企業(yè) Radiflow 公司表示，發(fā)現(xiàn)四臺(tái)接入歐洲廢水處理設(shè)施運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)的服務(wù)器遭遇加密貨幣采礦惡意軟件的入侵。該惡意軟件直接拖垮了廢水處理設(shè)備中的 HMI 服務(wù)器 CPU，致歐洲廢水處理服務(wù)器癱瘓 。

　　Radiflow 公司稱，此次事故是加密貨幣惡意軟件首次對(duì)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商的運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)展開攻擊。由于受感染的服務(wù)器為人機(jī)交互(簡(jiǎn)稱HMI)設(shè)備，之所以導(dǎo)致廢水處理系統(tǒng)癱瘓，是因?yàn)檫@種惡意軟件會(huì)嚴(yán)重降低 HMI 的運(yùn)行速度。

如何快速清除系統(tǒng)中的木馬病毒相關(guān)文章：

1.怎么清理常見的木馬

2.電腦中了病毒如何清除

3.怎么清除電腦病毒

4.電腦病毒手動(dòng)刪除的方法步驟

5.win7系統(tǒng)如何清除偽裝木馬病毒文件