木马病毒

其实楼主就是中了一个木马下载者以后，通过下载者下载了其他各类木马的。 处理办法： 1.断网。 2.结束病毒进程，可以用冰刃查可疑进程。冰刃下载地址如下： http://www.onlinedown.net/soft/53325.htm 3.卡巴全盘杀毒，碰到提示要重新启动才可以清理的病毒，别点击启动清理。最简单的方法是用一个叫unlocker的软件，下载安装完后分别解锁卡巴提示要重新启动的那个文件（安装完那个软件后会在右键菜单上自动生成一个unlocker的菜单项），然后就可以把病毒文件删除了. 去华军网下载unlocker1.85 地址：http://www.onlinedown.net/soft/24732.htm 4.删除临时文件: C:\temp C:\windows\prefetch C:\document and setting\各个用户\local setting\ Temporary Internet Files C:\document and setting\各个用户\ Templates C:\Program Files\Internet Explorer\ PLUGINS(这个位置也会有病毒) 5.最后打开注册表编辑器（在运行里输入regedit打开），分别在 HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下找到以病毒文件名命名的项并删除。 6.到控制面板的服务里面停止病毒的服务空态项。 到此该病毒清理完毕。 但是为了系统的长久安全，推荐还进行下列操作： 一：首先禁用或者删除guest帐号，防止黑客帐号克隆。将系统内建的administrator帐号改名改的越复杂越好，最好改成中文的，而且要设置一个密码，最好是8位以上字母数字符号组合。 打开管理工具.本地安全设置.密码策略 1.密码必须符合复杂要求性.启用 2.密码最小值.我设置的是8 3.密码最长使用期限.我是默认设置42天 4.密码最短使用期限0天 5.强制密码历史 记住0个密码 6.用可还原的加密来存储密码 禁用 本地策略: 这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。 (虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的) 打开管理工具 找到本地安全设置.本地策略.审核策略 1.审核策略更改 成功失败 2.审核登陆事件 成功失败 3.审核对象访问 失败 4.审核跟踪过程 无审核 5.审核目录服务访问 失败 6.审核特权使用 失败 7.审核系统事件 成功失败 8.审核帐户登陆时间 成功失败 9.审核帐户管理 成功失败 本地安全策略: 打开管理工具 找到本地安全设置.本地策略.安全选项 1.交互式登陆：不显示上次登陆的用户名 2.网络访问.不允许SAM帐户的匿名枚举 启用 3.网络访问.可匿名的共享 将后面的值删除 4.网络访问.可匿名的命名管道 将后面的值删除 5.网络访问.可远程访问的注册表路径 将后面的值删除 6.网络访问.可远程访问的注册表的子路径 将后面的值删除 7.网络访问.限制匿名访问命名管道和共享 8.帐户.（前面已经详细讲过） 用户权限分配策略: 打开管理工携袜具 找到本地安全设置.本地策略.用户权限分配 1.从网络访问计算机 里面一般默认有5个用户，除Admin外我们删除4个，当然，等下我们还得建一个属于自己的ID 2.从远程系统强制关机，Admin帐户也删除，一个都不留 3.拒绝从网络访问这台计算机 将ID删除 4.从网络访问此计算机，Admin也可删除，如果你不使用类似3389服务 二： 删除默认共享(每次输入一个） net share admin$ /delete net share c$ /delete net share d$ /delete（如果有e，f，……可以继续删除） 关闭135端口； 135端口被用做查询服务外，它还可能引起直接的攻击，关闭方法是：开始－运行－输入dcomcnfg，在弹出的组件服务窗口里选择默认属性标签，取辩亏激消“在此计算机上启用分布式COM”即可。 关闭自己的139端口(netbios协议)，ipc和RPC漏洞存在于此。 关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。 445端口的关闭 修改注册表，添加一个键值 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了 3389的关闭 XP：我的电脑上点右键选属性--> 远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。 修改3389的默认端口 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 来到这里，找到PortNumber ，十进制是3389的，你随意把它改成其它4个数字吧，我改成1314了 这样入侵者就不能3389入侵你的电脑了。 三：关闭垃圾服务： 关掉大部分没用的服务，不但可以使系统安全得到提升，而且系统的资源占用率有了大幅度的下降，开机速度明显加快。 Alerter -错误警报器。 Automatic updates -windows自动更新。 COmputer browser - 用来浏览局域网电脑的服务，但关了也不影响浏览！ Distributed link tracking client-用于局域网更新连接信息，比如在电脑A有个文件，在B做了个连接，如果文件移动了，这个服务将会更新信息。占用4兆内存。

标签：木马病毒