1. 您的計算機是否已被裝了木馬?如何檢測?
1) 檢查注冊表。
看HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrenVersion和HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下,所有以“Run”開頭的鍵值名,其下有沒有可疑的文件名。如果有,就需要刪除相應的鍵值,再刪除相應的應用程序。
2) 檢查啟動組。
木馬們如果隱藏在啟動組雖然不是十分隱蔽,但這裡的確是自動加載運行的好場所,因此還是有木馬喜歡在這裡駐留的。啟動組對應的文件夾為:C:windowsstartmenuprogramsstartup,在注冊表中的位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFolders Startup=“C:windowsstartmenuprogramsstartup”。要注意經常檢查這兩個地方哦!
3) Win.ini以及System.ini也是木馬們喜歡的隱蔽場所,要注意這些地方。
比方說,Win.ini的[Windows]小節下的load和run後面在正常情況下是沒有跟什麼程序的,如果有了那就要小心了,看看是什麼;在System.ini的[boot]小節的Shell=Explorer.exe後面也是加載木馬的好場所,因此也要注意這裡了。當你看到變成這樣:Shell=Explorer.exewind0ws.exe,請注意那個wind0ws.exe很有可能就是木馬服務端程序!趕快檢查吧。
4)檢查C:windowswinstart.bat、C:windowswininit.ini、Autoexec.bat。木馬們也很可能隱藏在那裡。
5)如果是EXE文件啟動,那麼運行這個程序,看木馬是否被裝入內存,端口是否打開。如果是的話,則說明要麼是該文件啟動木馬程序,要麼是該文件捆綁了木馬程序,只好再找一個這樣的程序,重新安裝一下了。
6)木馬啟動都有一個方式,它只是在一個特定的情況下啟動,所以,平時多注意一下你的端口,查看一下正在運行的程序,用此來監測大部分木馬應該沒問題的。
2. 目前已經有一些專門的清除木馬的軟件,在新推出天網防火牆裡面捆綁有強大的木馬清除功能,清除一般木馬的機制原理主要是:
1) 檢測木馬。
2) 找到木馬啟動文件,一般在注冊表及與系統啟動有關的文件裡能找到木馬文件的位置。
3) 刪除木馬文件,並且刪除注冊表或系統啟動文件中關於木馬的信息。
但對於一些十分狡滑的木馬,這些措施是無法把它們找出來的,現在檢測木馬的手段無非是通過網絡連接和查看系統進程,事實上,一些技術高明的木馬編制者完全可以通過合理的隱藏通訊和進程使木馬很難被檢測到。
3. 木馬防范工具
防范木馬工具有很多,請您務必安裝一個,以提高您的計算機的安全性。下面列出幾種常見的防范工具,您可以通過各種搜索引擎查找到有關他們的資料,如:功能、用法介紹等。
1) 天網個人版防火牆
2) Norton個人防火牆
3) “木馬”殺手(the cleaner)
4) BlackICE:擋住黑客的魔爪
5) 反黑高手LockDown 2000
6) 斬斷伸向電腦的黑手(lockdown)
7) ZoneAlarm