非常有效：如何在系统中快速清除木马病毒

一、文件绑定检测

在正常程序中捆绑木马一直是木马伪装攻击的常见方法。让我们看一下如何检测文件中捆绑的木马。

1.MT捆绑克星

只要将木马捆绑在文件中，其文件头特征代码就必须显示特定的

与文件捆绑操作相比，DLL插入木马更为先进，具有无进程，无端口等特点，这是普通人难以找到的。因此，删除步骤相对复杂。

1.结束木马程序

由于这种类型的木马已嵌入其他进程中，因此它不会在进程查看器本身中生成特定项目。如果发现系统异常，则需要确定DLL Trojan木马是否已被捕获。

在这里，我们使用IceSword工具。运行该程序后，它将自动检测系统的运行进程。右键单击可疑进程，然后从弹出菜单中选择“模块信息”，以在弹出窗口中查看所有DLL模块，如果找到来源未知的项目，则可以选择它，然后单击单击“卸载”按钮将其从进程中删除。对于某些棘手的进程，我们还将单击“强制发布”按钮，然后使用“模块文件名”列中的地址直接在文件夹中将其删除。

2.查找可疑的DLL模块

由于一般用户不熟悉DLL文件的调用，因此很难确定哪个DLL模块可疑。这样，ECQ-PS（超级处理王）就可以派上用场了。

运行该软件后，您可以在中间列表中查看当前系统中的所有进程。双击其中一个过程后，可以在下面窗口的“所有模块”选项卡中显示详细信息。包括模块名称，版本和制造商以及创建时间等。制造商和创建时间信息更为重要。如果它是关键的系统进程，例如“ svchost.exe”，但结果是来自未知制造商的模块，则该模块一定有问题。另外，如果制造商是Microsoft，但创建时间与其他DLL模块的创建时间不同，则它也可能是DLL木马。

此外，我们还可以直接切换到“可疑模块”选项。该软件将自动扫描模块中的可疑文件，并将其显示在列表中。双击扫描结果列表中的可疑DLL模块，以查看调用此模块的过程。通常，每个DLL文件由多个进程调用。如果此进程仅调用此DLL文件，则它也可能是DLL木马。单击“强制删除”按钮，从进程中删除DLL木马。

三、彻底的Rootkit检测

没有人可以一直检查系统中的端口，注册表，文件和服务，以查看木马是否被隐藏。目前，我可以使用一些特殊的工具进行检测。

1.Rootkit Detector删除rootkits

Rootkit Detector是一个Rootkit检测和删除工具，可以在Windows下检测多个rootkit，包括著名的hxdef.100.

方法非常简单，只需直接在命令行下运行程序名称“ rkdetector.exe”即可。该程序运行后，它将自动完成系统中隐藏项目检测的列表，找出系统中正在运行的Rootkit程序和服务，将其标记为红色以提醒它们，然后尝试清除它们。

2.强大的杀人狂

相比之下，Knlps功能更强大，它可以指定正在运行的Rootkit程序的结尾。使用时，在命令行下输入“ knlps.exe -l”命令，它将显示系统中所有隐藏的rootkit进程以及相应的进程PID号。找到rootkit进程后，可以使用“ -k”参数将其删除。例如，找到“ svch0st.exe”进程，并且PID号为“ 3908”，则可以输入命令“ knlps.exe -k 3908”来终止进程。

四、克隆帐户检测

严格来说，它不再是后门木马。但是他还创建了一个在系统中具有管理员权限的帐户，但是我们正在查看的是Guest组的成员，这很容易使管理员瘫痪。

这里我们引入了一个新的帐户克隆检测工具LP_Check，它可以清楚地检查出系统中克隆的用户！

使用LP_Check非常简单。程序运行后，它将在注册表和“帐户管理器”中比较用户帐户和权限。您可以看到该程序刚刚检测到来宾帐户有问题。红色三角形符号突出显示，然后我们可以打开用户管理窗口以将其删除。

通过介绍，我相信可以更安全地还原该系统，但是如果您要完全避免木马，您仍然需要了解其基本知识。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-320366-1.html