2.妳確定是木馬?是什麽木馬?開機時它提示的木馬名稱要記下來。還有方法:
a。在任何能顯示網絡連接狀態的軟件上查看(防火墻大多都可)可疑連接並記下名稱。b。同時按下鍵盤上alt+ctrl+delete鍵,在進程中查看可疑進程。
附1常見進程:vista 常見進程
(1)360tray.exe
360安全衛士應用程序實時保護模塊.
(2)audiodg.exe
Wingdows音頻圖像隔離。
(3)bdagent.exe
BitDefenderProfessional殺毒軟件相關程序。BitDefenderProfessional是羅馬尼亞的壹款殺毒軟件,它將為您的計算機提供最大的保護,它具有功能強大的反病毒引擎以及互聯網過濾技術。
(4)bdmcon.exe
是SoftWin公司出品的BitDefender反病毒產品的壹部分。
(5)bdss.exe
是BitDefender反病毒軟件的壹部分。
(6)csrss.exe(2個)
是微軟客戶端/服務端運行時子系統。該進程管理windows圖形相關任務。這個程序對妳系統的正常運行是非常重要的。
註意:csrss.exe也有可能是w32.netsky.ab@mm、w32.webus木馬、win32.ladex.a等病毒創建的。該病毒通過email郵件進行傳播,當妳打開附件時,即被感染。該蠕蟲會在受害者機器上建立smtp服務,用以自身傳播。該病毒允許攻擊者訪問妳的計算機,竊取木馬和個人數據。請註意此進程所在的文件夾,正常的進程應該是在windows的system32下面.
(7)dwm.exe
這是aero界面的壹個進程。
(8)explorer.exe
是windows程序管理器或者windows資源管理器,它用於管理windows圖形殼,包括開始菜單、任務欄、桌面和文件管理。刪除該程序會導致windows圖形界面無法適用。
註意:explorer.exe也有可能是w32.codered和w32.mydoom.b@mm病毒。該病毒通過email郵件傳播,當妳打開附件時,就會被感染。該蠕蟲會在受害者機器上建立smtp服務,用於更大範圍的傳播。該蠕蟲允許攻擊者訪問妳的計算機,竊取密碼和個人數據。請註意此進程所在的文件夾,正常的進程應該是在windows下面。
(9)googletoolbarnotifier.exe
是 Google 工具欄的伴隨產品。要啟用工具欄的搜索設置通知程序功能,需要此可執行程序。
(10)ieuser.exe
IE7進程。
(11)iexplore.exe
是microsoft internet explorer的主程序。這個微軟windows應用程序讓妳在網上沖浪,和訪問本地interanet網絡。這不是純粹的系統程序,但是如果終止它,可能會導致不可知的問題。iexplore.exe同時也是avant網絡瀏覽器的壹部分,這是壹個免費的基於internet explorer的瀏覽器。
註意:iexplore.exe也有可能是木馬.killav.b病毒,該病毒會終止妳的反病毒軟件,和壹些windows系統工具。正常的進程應該是在\programfiles\internetexplorer和system32\dllcache下面.
(12)livesrv.exe
BitDefenderProfessional殺毒軟件在線升級程序。BitDefenderProfessional是羅馬尼亞的壹款殺毒軟件,它將為您的計算機提供最大的保護,它具有功能強大的反病毒引擎以及互聯網過濾技術。
(13)lsass.exe
是壹個關於微軟安全機制的系統進程,主要處理壹些特殊的安全機制和登錄策略。
(14)lsm.exe
壹個用來管理計算機的終端服務器連接的新進程(即“本地會話管理器”)。
(15)notepad.exe
是windows自帶的記事本程序。是windows默認用來打開和編輯文本文件的程序。
(16)realsched.exe
是Real Networks產品定時升級檢測程序.
(17)searchindexer.exe
為文件、電子郵件以及其他內容(通過可擴展性 API)提供內容索引和屬性緩存。該服務響應文件和電子郵件通知,從而對已修改的內容編制索引。如果該服務已停止或被禁用,資源管理器將無法顯示項目的虛擬文件夾視圖,在資源管理器中搜索將回退為速度較慢的逐項搜索。
(18)services.exe
是微軟windows操作系統的壹部分。用於管理啟動和停止服務。該進程也會處理在計算機啟動和關機時運行的服務。這個程序對妳系統的正常運行是非常重要的。
註意:services也可能是w32.randex.r(儲存在%systemroot%\system32\目錄)和sober.p (儲存在%systemroot%\connection wizard\status\目錄)木馬。該木馬允許攻擊者訪問妳的計算機,竊取密碼和個人數據。該進程的安全等級是建議立即刪除.
(19)sidebar.exe
vista邊欄
(20)slsvc.exe
Microsoft軟件授權服務。
(21)smss.exe
是微軟windows操作系統的壹部分。該進程調用對話管理子系統和負責操作妳系統的對話。這個程序對妳系統的正常運行是非常重要的。
註意:smss.exe也可能是win32.ladex.a木馬。該木馬允許攻擊者訪問妳的計算機,竊取密碼和個人數據。請註意此進程所在的文件夾,正常的進程應該是在windows的system32下面.
(22)spoolsv.exe
用於將windows打印機任務發送給本地打印機。
註意:spoolsv.exe也有可能是backdoor.ciadoor.b木馬。該木馬允許攻擊者訪問妳的計算機,竊取密碼和個人數據。請註意此進程所在的文件夾,正常的進程應該是在windows的system32下面。如果出現在spoolsv目錄下,則可能壹些ie插件的文件,建議使用反間諜進行掃描。
(23)svchost.exe(8個)
是壹個屬於微軟windows操作系統的系統程序,用於執行dll文件。這個程序對妳系統的正常運行是非常重要的。
註意:svchost.exe也有可能是w32.welchia.worm病毒,它利用windowslsass漏洞,制造緩沖區溢出,導致妳計算機關機。請註意此
進程的名字,還有壹個病毒是svch0st.exe,名字中間的是數字0,而不是英文字母o。請註意此進程所在的文件夾,正常的進程應該
(24)system
是windows頁面內存管理進程,擁有0級優先。
(25)system Idle process
它更多用於是顯示剩余的cpu資源情況。無法刪除該進程。
(26)taskeng.exe(2個)
任務計劃引擎。
(27)taskmgr.exe
用於windows任務管理器。它顯示妳系統中正在運行的進程。該程序使用ctrl+alt+del打開,這不是純粹的系統程序,但是如果終止它,可能會導致不可知的問題。
(28)vsserv.exe
是Bull Guard網絡安全套裝和BitDefender反病毒軟件相關程序。
(29)wininit.exe
Windows啟動應用程序。
(30)winlogon.exe
是windows域登陸管理器。它用於處理妳登陸和退出系統過程。該進程在妳系統的作用是非常重要的。
註意:winlogon.exe也可能是w32.netsky.d@mm蠕蟲病毒。該病毒通過email郵件傳播,當妳打開病毒發送的附件時,即會被感染。該病毒會創建smtp引擎在受害者的計算機上,群發郵件進行傳播。該病毒允許攻擊者訪問妳的計算機,竊取密碼和個人數據。請註意此進程所在的文件夾,正常的進程應該是在windows的system32下面.
(31)wuauclt.exe
是Windows自動升級管理程序。該進程會不斷在線檢測更新。刪除該進程將使妳無法得到最新更新信息。
(32)xcommsvr.exe
是BitDefender反病毒產品相關程序
附2常見進程:
agrsmsvc.exe :Agere調制解調器進程。
audiodg.exe : Windows音頻設備圖形隔離程序
BTTray.exe : Widcomm公司藍牙相關產品在系統托盤的進程
btwdins.exe : 是為了微軟Windows操作系統支持藍牙技術的程序
csrss.exe : 客戶端服務子系統,用以控制Windows圖形相關子系統
dmhkcore.exe : 是微軟microsoftwindowsmediaplayer10播放器的相關程序。
explorer.exe : Windows 資源管理器,可以說是 Windows 圖形界面外殼程序是壹個有用的系統進程
ieuser.exe : 專門幫助IE打理需要普通用戶權限的進程
iexplore.exe : 是Microsoft Internet Explorer的主程序
IMSSync.exe : Intel Media播放器的進程。
lsass.exe :是壹個系統進程,用於微軟Windows系統的安全機制。它用於本地安全和登陸策略
lsm.exe : 本地會話管理器服務
mobsync.exe : 是Internet Explorer相關程序,用於同步離線網頁
MSASCui.exe : WindowsDefender(原名WindowsAntiSpyware)是微軟出品的壹款反間諜軟件的產品
realsched.exe : 是RealPlayer自動升級程序
Richvideo.exe : 是cyberlink公司的視頻處理軟件程序
rthdvcpl.exe :是聲音控制面板程序 searchindexer.exe :MirosoftWindowsVista桌面搜索索引程序
services.exe : 是微軟Windows操作系統的壹部分。用於管理啟動和停止服務
sidebar.exe : 描述 WindowsVista側邊欄程序
slsvc.exe : Microsoft 軟件授權(licensing)技術提供所需的API服務
smss.exe : 這是壹個會話管理子系統,負責啟動用戶會話
spoolsv.exe : 用於將Windows打印機任務發送給本地打印機
svchost.exe : 是壹個標準的動態連接庫主機處理服務
taskeng.exe : 任務計劃程序引擎
taskmgr.exe : Windows任務管理器進程
viivmonitor.exe :基於英特爾? 歡核? 處理器技術的電腦所用的顯示進程
wininit.exe windows啟動應用程序
conime.exe 輸入法程序(Console IME)
可能還有其它進程(包括妳的殺毒軟件)(建議妳剛開機後查看進程)
然後在網上查這種木馬的專殺,下載。
3.殺毒。
我建議在安全模式殺(這樣木馬可能不運行,且易查殺)。
方法:開機(剛按下電源)---馬上按F8鍵---選擇安全模式(不帶網絡連接)---確定進入。進入後,妳在開始---運行----msconfig---確定。在‘啟動’選項卡中把除系統外的項都去掉勾(哪些是安全的妳在網上查壹下),並且記錄下相關可疑項名稱。
運行妳的專殺工具,壹個壹個來,有耐心。
4.檢查啟動項。
下面是啟動項位置:
系統啟動項匯總(病毒常添加的啟動項的位置)2008-09-23 23:13系統修復工具:/323600.html
Process.Explorer11查看進程工具:
/244348.html
壹.文件夾啟動位置:
1.C:\Documents and Settings\用戶名\「開始」菜單\程序
2.C:\Documents and Settings\All Users\「開始」菜單\程序\啟動
二.註冊表(開始--運行---輸入 regedit)加載的啟動項:
1.Run:
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run(病毒喜歡光顧的地方)
c.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
d.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
e.HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run(不常見)
2.RunOnce:
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
3.RunServicesOnce:(啟動服務:在用戶登錄前啟動)
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
4.RunServices:
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
b.HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
(註:與3相同點:兩者都在用戶登錄之前,不同點:RunServices註冊鍵指定的程序緊接RunServicesOnce指定的程序之後運行。)
5.Load:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows右側添加load字符串值,值為要啟動程序的路徑.(在HKEY_LOCAL_MACHINE中無用)
6.Winlogon:
a.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon(下面新建Notify、Userinit值項不起作用,shell有用,但加載的程序運行後,explorer.exe不運行,要手動開啟;)
b.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
(註:右側的"shell"的值"Explorer.exe"後加載惡意程序啟動項,還有"userinit"在值為"C:\WINDOWS\system32\userinit.exe,"後添加惡意程序啟動.userinit.exe文件丟失或其相關註冊表鍵值錯誤將導致不能正常登錄系統)
c.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify下新建項值可以(如:解決更新系統後,右下角托盤的五角形就是註冊表中添加wgalogon項和基相關項值)
7.ShellServiceObjectDelayLoad:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
8.Scripts:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts(右側添加自啟動項)
8.AppInit_DLLs:(壹些病毒的DLL模塊,利用它開機自啟動,有時還會把此文件類型更改,正常的類型是REG_SZ值為空)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
三.系統配置文件:在Windows的配置文件(包括Win.ini、System.ini和wininit.ini文件)也會加載壹些自動運行的程序。在開始--運行--輸cmd--確定---再輸入對應配置文件名稱,如win.ini----點鍵盤上enter鍵打開)
1.Win.ini:
"load"後面的程序在自啟動後最小化運行,而“run=”後程序則會正常運行.
2.System.ini:
"shell"=Explorer.exe(正常)"shell"=Explorer.exe+其它程序名或者"shell"=直接指定病毒程序路徑.
3.wininit.ini:
Windows啟動時自動執行後會被自動刪除,這就是說該文件中的命令只會自動執行壹次。該配置文件主要由軟件的安裝程序生成,
(註:或者運行msconfig在裏面看)
四.組策略中開/關機/登錄/註銷腳本
在Windows 2000/XP中,單擊“開始→運行”,輸入gpedit.msc回車可以打開“組策略編輯器”,在左側窗格展開“本地計算機策略→用戶配置→管理模板→ 系統→登錄”,然後在右窗格中雙擊“在用戶登錄時運行這些程序”,單擊“顯示”按鈕,在“登錄時運行的項目”下就顯示了自啟動的程序.
五.任務計劃:(可以自行添加自啟動項)
c:\windows\tasks\文件夾中後綴為.job為計劃任務. 壹個JOB代表壹個計劃任何.病毒壹般使用隱藏.JOB文件來達到秘密運行病毒或破壞系統文件的目的.
然後妳檢查有沒有我們之前記下的可疑名稱。有的刪除。
最後提醒壹句:電腦不會自動沒問題,也不會自動有問題,妳要自己試著探索解決,在百度搜索。積累經驗,自己以後也可獨立解決問題。
祝妳解決問題。