当前位置:>>
首页
>> 江民在中国 >> 正文
使用江民杀毒软件查杀木马的心得
www.jiangmin.com 2006-1-18 18:09:28 信息出自: 江民科技
作者:刘景文
笔者自上网以来的两年间,受到威胁最多的就是木马病毒。好在我有终极悍将——“江民杀毒软件”,积累了一些用江民杀毒软件查杀木马的心得,希望对大家有一些借鉴之处。
木马从何而来
纯粹的木马并不是病毒,因为它没有什么破坏性,是基于TCP/IP协议的通信软件,它不过是被一些坏人利用的工具。因此对木马的传播途径有所了解,可以为我们以后防范木马有所帮助。
1、系统漏洞
笔者曾经用在刚打过SP2的Windows XP上网,以为没什么事。可是在将“江民杀毒软件”升级到最新后,在安全模式下查杀居然中了十几个病毒。(其中包括木马、病毒和间谍软件)如果你不想一上网就中毒就不能忘了帮Windows打补丁。
2、网络浏览
不要登录自己不熟悉的网站,这些网站有可能被黑客种植了木马。缺省状态下IE会运行那些可执行文件,还是小心点好。
3、网络通信
E-mail和实时通信工具(如:QQ、MSN)无论是认识还是不认识的人发来的信息都要用杀毒软件进行查杀病毒,对于通过消息发送的网络链接和不认识人发送带有附件电子邮件压根就不用理它。
4、文件下载
现在网络上带有欺骗性的东西太多了,将木马与一些如:Flash、图片、屏保捆绑一起的加壳程序在网上许多地方很容易就能找到,所以下载软件一定要到正规的网站。
找到并杀死它
面对这些无孔不入的木马,我们在平时使用电脑时细心一下,总会将该死的木马抓出来的。
1、木马有客户端和服务端,它们之间的通讯都要通过电脑端口来完成。通过netstat命令查看所有连接和侦听端口,运行“cmd”输入“netstat -a”功能:显示所有活动的 TCP 连接以及计算机侦听的 TCP 和 UDP 端口;“netstat -an”功能:显示出所有的连接和侦听端口。(有关该命令的全部内容请参考Windows下的帮助文件)
2、使用网络防火墙,在江民防火墙中可以看到哪些程序正在进行网络访问,以及IP地址和端口,通过这些文件的名称和路径来判断是否为木马。
当我们怀疑或确定中了木马时,应立即断开所有的网络连接,使用江民杀毒软件将木马彻底清除出电脑。
1、终止可疑进程
依次打开“工具/木马一扫光”,切换到“系统进程管理”窗口。通过点击“打开所在目录”查看文件属性进一步判断是否为木马;如果证实是木马,点击“结束进程”。(如图1)
2、删除木马
木马很狡猾往往会有几个进程同时运行,不怕!我们还有一件法宝:“江民未知病毒检测”。依次打开“工具/未知病毒检测/检测未知病毒”(如图2)怎么样找到木马了吧。
右击该文件,在出现的菜单中选择“删除文件”即可。
3、清除启动项
清除木马用来随机运行的启动项,一般会在注册表中。可是对于我们这些“菜鸟”来说,操作注册表有一定的危险性。怎么办呢?要说还是江民杀毒软件,它确有高出其它杀毒软件之处。依次打开“工具/木马一扫光”,切换到“自动运行管理”窗口。在这里我们可以看到所有随机启动的程序,只要它是木马我们就可以“删除此项”。(如图3)
4、删除木马“服务”
有些木马甚至会将自己注册成系统服务,随着系统而启动。江民杀毒软件为我们提供了一个查看服务的好工具。在“江民木马一扫光”中切换到“系统服务管理”窗口,它为我们提供了所有的服务,将木马服务进程“停止此服务”(如图4)。
然后在注册表的“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services”处将其删除。
提示:由于木马程序是不断变化的,所以在执行以上操作时注意点击在窗口右下方的“刷新”按钮。
5、被遗忘的计划
我们也许忘记了还有一个地方可能成为木马启动的“温床”,那就是在控制面板中的“任务计划”。赶快打开看一看里面是否添加了计划。
养成良好的习惯
除了定期用江民杀毒软件检查外,在平时上网时将江民的七套监控全部打开,还要开启江民防火墙,使用即时聊天工具时记得打开“嵌入式控制”。最重要的一点就是购买正版的江民杀毒软件,支持江民就是支持我们自己。
