Board logo

主題: [教學]避免電腦成為僵屍傀儡,請依此帖自行檢測 [打印本頁]
發表人: yjmg    時間: 2007-2-27 11:41 PM     主題: [教學]避免電腦成為僵屍傀儡,請依此帖自行檢測

大家應該都經由新聞得知有關僵屍電腦的訊息
請先自行檢測
首先關閉所有會連線的軟體 海港俱樂部 (含防護軟體、即時通、印表機監控軟體等)
在開始>>執行>>鍵入cmd啟動命令字元
接下來使用命令字元鍵入netstat -b
正常來說應該只會有localhost:1110這個通訊阜會打開
如果發現其他的,後面會有使用其他通訊阜的程序(還有連線到的IP...那你完了><)
假設你使用防毒軟體移除木馬後,卻不能刪除
那就重開機按F8進入安全模式,因為木馬的藏身之處就是在regedit(登錄編輯器)中的"run"裡面,而安全模式只會載入基本的系統服務。也就是說,系統根本不會去載入regedit(登錄編輯器)中的"run"裡面相關的值,而木馬在安全模式並不會被啟動

只要找到木馬的檔案之後,也許防毒程式或防木馬程式無法自動解除,但是你這個時候也可以自己刪除了

可是木馬有會重生的特性,真正要清除,必須以DOS開啟命令字元強制刪除該程序(這是一個很有風險的程序,首先要清楚知道檔案位置以及其檔案之副檔名,而且這個刪除動作無法復原,也不會有任何提示)

最後,請再次使用命令字元鍵入netstat -b查詢,看看電腦中還有沒有殘留木馬?
發表人: innova    時間: 2007-2-28 10:27 AM


引用:

木馬在安全模式並不會被啟動


這倒並不一定

現在的木馬 會嵌在 IE 裡面
變成 IE 的 附加元件 的一部分

你說 開機完 部要打開 IE 應該就沒事了!?
聽起來 似乎應該是正確的

但是 事實上
很不幸的
你開機完 需要啟動桌面
在工作管理員 裡面 看到的 是 "Explorer.exe"
這個 Explorer.exe 其實 就是 IEXPLORE.EXE
是的! 就正是 IE !!!  不過是不同的名字罷了!

所以....
即使進入安全模式
也並不能保證 就不會有 怪怪的程式 跟著一起啟動了



歡迎光臨 TWed2k (http://twed2k.org/) Powered by Discuz! 4.1.0