電腦有頑固木馬殺不掉怎么辦？

電腦木馬病毒怎么清除

超過十年行業(yè)經(jīng)驗，技術領先，服務至上的經(jīng)營模式，全靠網(wǎng)絡和口碑獲得客戶，為自己降低成本，也就是為客戶降低成本。到目前業(yè)務范圍包括了：網(wǎng)站設計、成都網(wǎng)站制作，成都網(wǎng)站推廣，成都網(wǎng)站優(yōu)化，整體網(wǎng)絡托管，微信小程序定制開發(fā)，微信開發(fā)，App定制開發(fā)，同時也可以讓客戶的網(wǎng)站和網(wǎng)絡營銷和我們一樣獲得訂單和生意！

第一步：進入安全模式。在安全模式下，第三方驅(qū)動無法自動運行；

第二步：重啟電腦。重啟過程中按F8鍵，進入windows系統(tǒng)的菜單，選擇“安全模式”；

第三步：用殺毒軟件對電腦中的頑固木馬進行查殺即可。

Windows系統(tǒng)下常遇的木馬預防技巧總結(jié)

木馬程序是目前比較流行的一類病毒文件，它與一般的病毒不同，它不會自我繁殖，也并不刻意地去感染其他文件。它通過將自身偽裝吸引用戶下載執(zhí)行，或以捆綁在網(wǎng)頁中的形式，當用戶瀏覽網(wǎng)頁時受害。木馬程序向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件和隱私，甚至遠程操控被種者的電腦。木馬的原理和計算機網(wǎng)絡中常常要用到的遠程控制軟件相似，但由于遠程控制軟件是“善意”的控制，因此通常不具有隱蔽性;而木馬程序則完全相反，木馬要達到的是“偷竊”性的遠程控制，如果沒有很強的隱蔽性的話，那就是毫無價值的。

木馬通常有兩個可執(zhí)行程序:一個是客戶端，即控制端，另一個是服務端，即被控制端。木馬的設計者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬的服務一旦運行，電腦就會有一個或幾個端口被打開，黑客就可以利用控制端進入運行了服務端的電腦，甚至可以控制被種者的電腦，所以被種者的安全和個人隱私也就全無保障了!

隨著微軟的.操作系統(tǒng)從Win9X過渡到WinNT系統(tǒng)(包括2000/xp/2003)，微軟的任務管理器也一下子“脫胎換骨”，變得“火眼金睛”起來 (在Win9X中，只需要將進程注冊為系統(tǒng)服務就能夠從進程查看器中隱形，可是這一切在WinNT中卻完全不同，無論木馬從端口、啟動文件上如何巧妙地隱藏自己，始終都不能欺騙WinNT的任務管理器)，這使得以前在win9X操作系統(tǒng)下靠將進程注冊為系統(tǒng)服務就能夠從任務管理器中隱形的木馬面臨前所未有的危機，所以木馬的開發(fā)者及時調(diào)整了開發(fā)思路，轉(zhuǎn)入了開發(fā)可以躲避WinNT的任務管理器的進程查詢的動態(tài)嵌入式DLL木馬。

要弄清楚什么是動態(tài)嵌入式DLL木馬，我們必須要先了解Windows系統(tǒng)的另一種“可執(zhí)行文件”——DLL，DLL是Dynamic Link Library(動態(tài)鏈接庫)的縮寫，DLL文件是Windows的基礎，因為所有的API函數(shù)都是在DLL中實現(xiàn)的。DLL文件沒有程序邏輯，是由多個功能函數(shù)構(gòu)成，它并不能獨立運行，DLL文件一般都是由進程加載并調(diào)用的。

因為DLL文件不能獨立運行，所以在進程列表中并不會出現(xiàn)DLL。所以木馬的開發(fā)者就通過編寫動態(tài)嵌入式DLL木馬，并且通過別的進程來運行它，那么無論是入侵檢測軟件還是進程列表中，都只會出現(xiàn)那個進程而并不會出現(xiàn)那個DLL木馬。如果那個進程是可信進程(例如資源管理器Explorer.exe)，那么就沒人會懷疑DLL文件也是個木馬了。從而木馬就又實現(xiàn)了自己的隱蔽性的功能，所以，預防DLL木馬也是相當重要的。

電腦中了木馬怎么辦

電腦在使用的過程中容易中病毒，此時應該怎樣處理呢。下面是相關的處理步驟，希望對你有幫助。

(一)刪除不正常啟動項目

1 開始 中 啟動，大家可以看里面的程序

2 注冊表中：

"HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor" 找到并雙擊“AutoRun”

"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion" 找到并雙擊“Run”

"HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun"(這個一般與“開始”中“啟動”的相同，但是在“啟動”中沒有顯示)

大家可以在這里面的程序，哪個不正常，就刪除它

3 開始---運行---gpedit.msc 策略組--用戶配置--管理模塊--系統(tǒng)--登陸--

4 系統(tǒng)服務中的設置

大家自己看看，里面有哪個不正常的，就終止它

(二)檢查電腦端口判斷是否中馬.

我們具體以鴿子為一個例子：

我們先查看本機遠程8000的端口，看是否打開，在沒有中鴿子之前是沒有遠程8000端口的, 由于為了讓大家看得明顯，我就不改鴿子的設置，

實戰(zhàn)中大家要注意：

"GrayPigeon_Hacker.com.cn，灰鴿子服務端程序。遠程監(jiān)控管理，"

這些被放鴿子的人改過的信息，只要與原有的.比較一下，還是可以判斷出它是木馬的

運行鴿子

基本步驟：

1 查端口，一般為8000，

大家可以用專業(yè)的工具查看,

也可以用系統(tǒng)自帶的工具查看

比如:任務管理器,命令提示符,

2 然后查程序所在位置終止進程，

3 最后刪除文件

值得注意的是騰訊QQ 也會開啟遠程8000端口的，要注意區(qū)分，可以查詢騰訊IP。

(三)文件比較判斷系統(tǒng)是否中馬

通過對比的方法，實現(xiàn)查找木馬

基本步驟：

1備分安全狀態(tài)下的一些情況

2異常時，把異常的文件情況導出

3對比前后兩次的結(jié)果，根據(jù)集體情況，自己判斷。

具體操作，看我演示一下:

首先因為木馬一般在windowssystem32，而且后綴名為exe,dll,我們備分一個安全狀態(tài)下的目錄*.exe,*.dll的文件，命令dir *.exec:exe1.txt dir *.dllc:dll1.txt

意思是說 提取system32目錄下所有文件名后綴名為exe和dll的文件的名字到C盤exe1.txt與dll1.txt記事本里面.

導好了,我們?nèi)タ纯?

假設，我中木馬了，木馬為 MMMMM.exe 和mmmmmm.dll,我們再來中一個鴿子，在不安全狀態(tài)下,我們又導出該目錄下的文件名,

命令dir *.exec:exe2.txt dir *.dllc:dll2.txt

存到C盤exe2.txt 與dll2.txt 里面, 下面我們進行比較,當然不可能一個個去看,我們讓電腦自動比較,

命令fc c:exe1.txt c:exe2.txtc:1.txt

fc c:dll1.txt c:dll2.txtc:2.txt

b1.txt b2.txt這2個就是對比結(jié)果

大家看見了吧，就這樣，就可以判斷是否中了木馬

然后我們找到他們，終止進程，刪除就OK了.

(四)檢查svchost.exe進程判斷是否中馬

通過“暫缺”判斷是否是木馬，再綜合路徑與端口

基本步驟：

1開始--運行--cmd

2再查路徑，

3最后查殺木馬

我們以svchost.exe為例子：

正常的svchost.exe是在%systemroot%system32下

木馬病毒的svchost.exe是在windowsststem32wins 或者其他地方

像上興，REDgirl等木馬可以設置插入的進程，大家要小心，鴿子的進程也可以修改，我們來簡單的操作一下，先用任務管理器查看svchost.exe，svchost.exe會有4，5個左右，我們關閉一下，

如果：出現(xiàn)關機倒計時，是正常的，可以這樣取消：開始--運行--shutdown -a

我這里沒有這樣的情況，因為我沒有中這樣的木馬，大家可以根據(jù)自己的情況具體判斷，開始--運行--cmd--tasklist /svc (win2000的電腦用命令"tlist -s",我這里是XP的)

svchost.exe“暫缺” ，那就是木馬了，我這里沒有，其他有的 “暫缺”，不一定是木馬

大家根據(jù)自己的具體情況去判斷, 以上也是一個查殺木馬的方法，希望大家能進一步了解木馬!

(五)利用防火墻抓出木馬蹤跡

借助防火墻的“訪問規(guī)則”來拒絕木馬的進程，比如一些過主動防御的木馬，雖然過了主動防御，但是在防火墻還是會留下足跡的，大家可以根據(jù)自己的判斷做終止它，最后刪除。這也是一個有效的方法

(六)安裝還原防護軟件保護系統(tǒng)安全

建議大家要裝有殺毒軟件的前提下，在做一些安全措施，比如:安系統(tǒng)還原精靈，影子系統(tǒng)等等

只要重起就沒有事情了，當然這個看你會不會靈活使用，有些人自然覺得不方便，我個人覺得很好，這個就是冰點還原精靈，只要同時按住ctrl+alt+shift+F6 就可以彈出設置畫面。