電腦中了木馬如何快速清除

 　　電腦中了木馬如何快速清除

　　上傳木馬後門是黑客入侵電腦後做的第一件事，要把木馬偽裝後才能不被人發現，所以說，如果你的電腦已經被木馬入侵了，但其實你並沒有發現，所以這時要趕快把木馬病毒清除對電腦來說是一件再重要不過的事情了，下面就講講如何在電腦中了木馬後快速把它清除。

　　一、文件捆綁檢測

　　將木馬捆綁在正常程序中，一直是木馬偽裝攻擊的一種常用手段。下面我們就看看如何才能檢測出文件中捆綁的木馬。

　　1.MT捆綁克星

　　文件中只要捆綁了木馬，那麼其文件頭特征碼一定會表現出一定的規律，而MT捆綁克星正是通過分析程序的文件頭特征碼來判斷的。程序運行後，我們只要單擊“浏覽”按鈕，選擇需要進行檢測的文件，然後單擊主界面上的“分析”按鈕，這樣程序就會自動對添加進來的文件進行分析。此時，我們只要查看分析結果中可執行的頭部數，如果有兩個或更多的可執行文件頭部，那麼說明此文件一定是被捆綁過的!

　　2.揪出捆綁在程序中的木馬

　　光檢測出了文件中捆綁了木馬是遠遠不夠的，還必須請出“Fearless Bound File Detector”這樣的“特工”來清除其中的木馬。

　　程序運行後會首先要求選擇需要檢測的程序或文件，然後單擊主界面中的“Process”按鈕，分析完畢再單擊“Clean File”按鈕，在彈出警告對話框中單擊“是”按鈕確認清除程序中被捆綁的木馬。

　　二、清除DLL類後門

　　相對文件捆綁運行，DLL插入類的木馬顯的更加高級，具有無進程，不開端口等特點，一般人很難發覺。因此清除的步驟也相對復雜一點。

　　1.結束木馬進程

　　由於該類型的木馬是嵌入在其它進程之中的，本身在進程查看器中並不會生成具體的項目，對此我們如果發現自己系統出現異常時，則需要判斷是否中了DLL木馬。

　　在這裡我們借助的是IceSword工具，運行該程序後會自動檢測系統正在運行的進程，右擊可疑的進程，在彈出的菜單中選擇“模塊信息”，在彈出的窗口中即可查看所有DLL模塊，這時如果發現有來歷不明的項目就可以將其選中，然後單擊“卸載”按鈕將其從進程中刪除。對於一些比較頑固的進程，我們還將其中，單擊“強行解除”按鈕，然後再通過“模塊文件名”欄中的地址，直接到其文件夾中將其刪除。

　　2.查找可疑DLL模塊

　　由於一般用戶對DLL文件的調用情況並不熟悉，因此很難判斷出哪個DLL模塊是不是可疑的。這樣ECQ-PS(超級進程王)即可派上用場。

　　運行軟件後即可在中間的列表中可以看到當前系統中的所有進程，雙擊其中的某個進程後，可以在下面窗口的“全部模塊”標簽中，即可顯示詳細的信息，包括模塊名稱、版本和廠商，以及創建的時間等。其中的廠商和創建時間信息比較重要，如果是一個系統關鍵進程如“svchost.exe”，結果調用的卻是一個不知名的廠商的模塊，那該模塊必定是有問題的。另外如果廠商雖然是微軟的，但創建時間卻與其它的DLL模塊時間不同，那麼也可能是DLL木馬。

　　另外我們也可以直接切換到“可疑模塊”選項，軟件會自動掃描模塊中的可疑文件，並在列表中顯示出來。雙擊掃描結果列表中的可疑DLL模塊，可看到調用此模塊的進程。一般每一個DLL文件都有多個進程會調用，如果調用此DLL文件的僅僅是此一個進程，也可能是DLL木馬。點擊“強進刪除”按鈕，即可將DLL木馬從進程中刪除掉。

　　三、徹底的Rootkit檢測

　　誰都不可能每時每刻對系統中的端口、注冊表、文件、服務進行挨個的檢查，看是否隱藏木馬。這時候我可以使用一些特殊的工具進行檢測。

　　1.Rootkit Detector清除Rootkit

　　Rootkit Detector是一個Rootkit檢測和清除工具，可以檢測出多個Windows下的Rootkit 其中包括大名鼎鼎的hxdef.100。

　　用方法很簡單，在命令行下直接運行程序名“rkdetector.exe”即可。程序運行後將會自動完成一系統列隱藏項目檢測，查找出系統中正在運行的Rootkit程序及服務，以紅色作出標記提醒，並嘗試將它清除掉。

　　2.強大的Knlps

　　相比之下，Knlps的功能更為強大一些，它可以指定結束正在運行的Rootkit程序。使用時在命令行下輸入“knlps.exe -l”命令，將顯示系統中所有隱藏的Rootkit進程及相應的進程PID號。找到Rootkit進程後，可以使用“-k”參數進行刪除。例如已找到了“svch0st.exe”的進程，及PID號為“3908”，可以輸入命令“knlps.exe -k 3908”將進程中止掉。

　　四、克隆帳號的檢測

　　嚴格意義上來說，它已經不是後門木馬了。但是他同樣是在系統中建立了管理員權限的賬號，但是我們查看的卻是Guest組的成員，非常容易麻痺管理員。

　　在這裡為大家介紹一款新的帳號克隆檢測工具LP_Check，它可以明查秋毫的檢查出系統中的克隆用戶!

　　LP_Check的使用極其簡單，程序運行後會對注冊表及“帳號管理器”中的用戶帳號和權限進行對比檢測，可以看到程序檢測出了剛才Guest帳號有問題，並在列表中以紅色三角符號重點標記出來，這時我們就可以打開用戶管理窗口將其刪除了。

　　綜上所述，我們了解了木馬的偽裝，也了解了如何快速把它清除的過程，經過以上的方法後也就會讓你的電腦系統恢復安全狀態了。木馬的偽裝水平很高，所以用戶還是要不斷的積累經驗，才能讓自己的電腦處於安全狀態。