拜月网游联盟-拜月家族

标题: 防盗号』教大家自己手动应对木马(XP系统专版) [打印本页]
作者: 拜月紫冰    时间: 2010-9-14 15:03
标题: 防盗号』教大家自己手动应对木马(XP系统专版)
盗号的实在可耻   人人深恶痛绝   当自己号被盗时很多人骂盗号的  更多人埋怨自己安装的 360之类的安全软件怎么没有用
在这里教大家几招 看了觉得有收获的顶个吧  顶到前面给大家都看到
(专业术语用的比较多 如果看不懂或者没耐心看完  请看红字部分)

自己判断你的电脑是否中木马的方法

  方法1
  查看开放端口,作为远程控制软件,木马同样具备远程控制软件的特征。为了与其主人联系,它必须
给自己开道门(即端口),因此我们可以通过查看机器开放的端口,来判断是否有木马经过。选择“开始
”—“运行”,输入“CMD”后回车,打开命令行编辑界面,在里边输入命令“netstat –an”,其中
“ESTABLISHED”表示已经建立连接的端口,“LISTENING”表示打开并等待别人连接的端口。在打开端口
中寻找可疑分子,如8000(**),135,139,3389(远程控制端口).  2008 等等端口
  方法2
  查看注册表,为了实现随系统启动等功能,木马都会对注册表进行修改,我们可以通过查看注册表来
寻找木马的痕迹,在“运行”中输入“regedit”,回车后打开注册表编辑器,
  定位到:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer下,分别打开
Shell Folders、User Shell Folders、Run、RunOnce和RunServices子键,检查里边是否有可疑的内容。
再定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer下,分别查看上
述5个子键中的内容。一旦在里边找到你不认识的程序,很可能是木马。
  方法3
  查看系统配置文件,很多木马文件都会修改系统文件,而win.ini和system.ini文件则是被修改最频
繁的两个软件。我们需要对其进行定期体检。在“运行”中输入“%systemroot%”,回车后会打开
“Windows”文件夹,找到里边的win.ini文件,在里边搜索“windows”字段,如果找到形如
“load=file.exe,run=file.exe”这样的语句(file.exe为木马程序名),就要格外小心了,这很可能
是木马的主程序。类似的,在system.ini文件中搜索“boot”字段,找到里边的“Shell=ABC.exe”,默
认应为“Shell=Explorer.exe”,如果是其他程序则也可能是木马。
   方法4
   木马病毒之类最多的就是藏在一些系统关键文件夹中  例如  c:\windows\system32。 这类文件夹中通常都是重要的系统文件,除非你最近对你的系统进行过更新,否则这里的程序文件一般不会被修改。你可以在控制面板文件夹选项,把显示隐藏文件和文件扩展名打开。然后在c:\windows\system32文件夹内点右键,选择排列方式为按时间排列。翻到最下面找修改时间最近的可执行文件(exe)和动态连接库(dll),查看一下属*,正规的程序会标注公司名称、版本之类,否则很可能就是病毒、木马。
   

如何防木马
1.一定要装杀毒软件 防火墙 甚至流量监控软件  不管再差劲杀毒软件 总比没有好  即使你在网吧上网(我可以向你保证全国99%网吧都有木马,不要理睬网管说的“我们的网吧绝对没病毒木马”) 也要每次自己花几分钟下载安装个杀木马软件  或者自己带个U盘装进去   建议使用“木马专家2010”

2.不要上非法网站  比如H**站  这类网站 95%以上都有被挂马

3.搜索的时候最好用google    不要用百度    因为google会自动检测搜索到的网页是否带有木马病毒 百度就没有这个功能

4.不要用你们所谓群共享里和群邮件发的G  都是盗号的故意发 或者是盗号的盗了别人的QQ用别人的QQ发的 总之90%被盗的都是用过G的

5.不要依赖帐号保险柜之类的软件  基本没有用  360的保险箱漏洞很多  稍微厉害点的木马可以绕过保险箱的注入检测

6.找到病毒木马的文件夹,但文件一时删除不了,如何阻止它们运行呢?这里介绍一个方法,只需要在木马所在地文件夹下建立一个名为“ws2_32.dll”文件夹,该程序目录下的木马就无法运行了。

7.很多木马程序通常都会在任务管理器中隐藏进程  方法是把木马设置成系统服务     你可以在我的电脑上点右键 管理 在最下面服务里检查可疑的项目 正常的服务项都会有功能描述 对于一些危险的服务一定要禁掉(在服务项上点右键 属* 启动类型那里选禁用)
必须禁用的服务:Remote Registry(该服务允许远程修改你的注册表 所有系统服务中最危险的一个 脑子有毛病的才把它打开)
                      Remote Desktop Help Session Manager(允许远程控制你的电脑  必禁)
                      Telnet (允许远程运行程序  必禁)
                      Indeximg Service(索引服务 有时会被木马利用 禁)
                      Portable Media Serial Number(从连接到电脑上的音乐播放器取回序列号,基本没什么用处 禁了




强烈推荐     “木马专家2010”功能很强大  查杀率很高  反正绝对比360有用
(注:这个软件在使用过程中为了彻底清除木马  有时会关闭系统资源管理器 导致桌面项目不显示 你可以按ctrl+alt+del 弹出任务管理器   点击 文件-新建任务   输入 “explorer”恢复)
作者: 拜月魑魅    时间: 2010-9-14 15:07
学习下,俺就被盗过
作者: 拜月魑魅    时间: 2010-9-14 15:07
学习下,俺就被盗过
作者: 拜月V噬神MS    时间: 2010-9-15 07:46
好贴``



欢迎光临 拜月网游联盟-拜月家族 (https://bbs.mekcc.cn/) Powered by Discuz! X3