清除木马病毒软件(手机怎么清除木马)

窗口:

1.检查本地网络连接。在cmd下，netstat-ano可以显示所有网络连接和PID值。在任务管理器中，您可以根据响应的PID值检查相应的进程。

2.检查用户，打开“我的电脑”->“管理”->“电脑用户和组”检查有没有多余的用户，管理员组都是那些用户，这些用户是否安全。

3.检查服务选项。cmd中的servisces.msc打开服务面板，检查“已打开服务”状态，排除正常服务，查找可疑服务。

4.检查系统中具有启动模式的文件，system.ini和win.ini在“运行”中输入这两个文件名的名称即可打开(路径在system32下)。用system.ini中的[boot]检查字段，检查下面的shell=Explorer.exe如果Explorer.exe后面有exe或者cmd，com等可执行文件，检查这些文件。通常，Explorer.exe后面什么也没有。在[386Enh]下的“dirver=路劲”和[mic]、[drivers]和[drivers32]字段下也可能加载木马。另外，注意win.ini中[windows]下的“load= path”，“run= path”通常是空白色。

5.开始组检查，假设系统安装在驱动器C上，路径是C: \ documents and settings \用户名\开始菜单\程序\开始\…或者在c: \文档和设置\所有用户\开始菜单\程序\开始\…

6.修改与文件相关的特洛伊木马。检查注册表中的文件关联，

EXE文件的关联:HKEY _类_根\ exe文件\外壳\打开\命令，正常值为& # 34；%1"%*

TXT文件的关联:HKEY _类_根\ txtfile \ shell \ open \ command，一般为C:\WINDOWS\notepad.exe %1

INF文件的关联:HKEY _类_根\ inffile \ shell \ open \ command，通常为% systemroot % \ system32 \ notepad . exe % 1

INI文件的关联:HKEY _类_根\ inifile \ shell \ open \ command c:\ windows \ system32 \ notepad . exe % 1

7.dll木马使用木马dll而不是系统dll。当系统需要调用正常的dll函数时，会先调用并执行木马dll，然后木马dll再调用系统的正常dll。此时系统运行正常，但木马启动。

8.绑定exe文件的木马，利用开机自启动exe程序来绑定自己或伪装成正常exe程序的图标，如QQ、MSN、PPS等。，这样开机后，木马会先启动，然后正常的程序会被木马调用。当正常程序启动时，木马会以类似于dll木马的方式悄悄启用。

9.注册表中的公共启动密钥。HKLM \软件\微软\ Windows \ currentversion \ run、Runonce、RunonceEx、RunServices、RunServicesOnce等。

还有HKCU \软件\微软\ windows \ currentversion \ run，runonce，Runonce，RunServices，RunServicesOnce等等。

以及HKEY _用户\软件\微软\ windows \ currentversion \ run、Runonce、RunServices、RunServicesOnce等。

如果你发现了一个木马进程却无法完成，说明木马中间不止有一个进程。使用cmd中的taskkill–t–PID“进程PID”判断进程间的守护关系，然后找到并写一个批处理，完成所有带有taskkill -PID“进程PID”的守护进程。如果木马被嵌套在某个系统进程中，比如services.exe和svchost.exe，你只能使用专业工具(比如。如果是因为木马无法删除，进入cmd，将光盘切换到木马所在的目录，使用Attrib–S–H–R“木马Runner”命令消除木马的系统属性，然后使用delete“木马Runner”命令删除木马。

所谓未雨绸缪，就是为了应对突发情况，提前做好准备。不需要任何外部工具，就可以在刚安装系统的时候备份系统目录下所有文件的名称，cmd会在system32目录下运行。

dir *。exe & gtc:\exeback.txt

dir *。dll & gtc:dllback.txt

这样就记录了系统目录下的所有exe程序和dll文件。在需要杀死它们的时候，可以使用dir命令将当前exe文件和dll文件的名称导出为txt文本，然后在cmd下使用。

fc exe back . txt exe back 1 . txt & gt；Bijiaoexe.txt比较exe文件

fc dll back . txt dll back 1 . txt & gt；Bijiaodll.txt比较dll文件

您可以找到额外的exe文件和dll文件。

当然，在使用电脑时，安装一些软件是不可避免的。安装软件自然会让system32目录下的文件发生很大的变化，导致文件多了很多。就算用fc对比，还是不方便。这时候你可以用对比加载的正常软件的模块的方法来缩小围猎的范围。在“软件环境”-“加载的模块”中运行输入msinfo32.exe，然后选择“文件”-“导出”，再与之前对比的txt文件进行对比，排除正常的模块文件。

此外，检查进程中模块的命令性cmd下的tasklist /svc。

第二，在线查杀木马

在1.procexp.exe打开虚拟在线杀人，发现特洛伊木马程序。

2.procexp.exe暂停木马进程，打包备份木马文件，并保留证据。

在3.Autoruns.exe的启动项中找到对应的木马进程，右键删除。(此方法可以删除注册表中的值)

在4.Autoruns.exe开通虚拟在线药品检查，检查是否有可疑流程。

检查5.tcpview.exe的网络连接，注意SYN_SENT。