Mi computadora portátil ha detectado un virus troyano, ¿qué debo hacer?
Cámbielo por el nombre que desee (tanto XP como Win2000 están bajo System32)
HKEY_LOCAL_MACHINE/SOFTWARE\ Microsoft\Internet Explorer\ActiveX Compatibility\ Cree un nuevo valor de clave basado en CLSID {6E449683_C509_11CF_AAFA_00AA00 B6015C} bajo el control Active Setup y luego cree una clave de tipo REG_DWORD Compatibilidad bajo el nuevo valor de clave. Establezca la clave valor a 0x00000400.
Luego cambie el nombre (o elimine) windows\command\debug.exe y windows\ftp.exe
La defensa más eficaz contra algunos de los últimos troyanos populares~~
Por ejemplo, el popular troyano smss.exe en Internet es uno de los principales troyanos que se esconden en el directorio 98/winme/xp c:\windows 2000 c:\winnt....
Si está infectado por este troyano, primero utilizamos el administrador de procesos para finalizar el troyano smss.exe en ejecución y luego creamos un smss.exe falso en el directorio C:\windows o c:\winnt\. y configúrelo como un atributo de solo lectura ~ (Para el formato de disco NTFS 2000/XP, es mejor usar la "Configuración de seguridad" para configurarlo como un atributo de solo lectura. Configure la "Configuración de seguridad" como de solo lectura ) De esta manera, el troyano desaparecerá y no se infectará en el futuro. He probado este método en muchos troyanos y es muy efectivo.
Después de esta modificación, ahora encuentro otras personas con las que hacerlo. envíe URL de troyanos para probar. El resultado del experimento es que hay alrededor de 20 URL de troyanos y alrededor de 15. Rising alertará a la policía y luego a la URL de troyanos. Hay alrededor de 15 levantamientos que darán alarma, y los otros 5 levantamientos no se reflejan, y mi máquina no agrega nuevos archivos EXE, ni nuevos procesos, solo quedan restos de algunos troyanos en la carpeta temporal de IE, no hay peligro si no se ha ejecutado, por lo que se recomienda limpiar la carpeta temporal y el IE con frecuencia
Con el desarrollo de la tecnología de escritura de virus, la amenaza a los usuarios por parte de los programas troyanos es cada vez más grave. . Los programas troyanos representan una amenaza cada vez mayor para los usuarios. En particular, algunos programas troyanos han adoptado medios extremadamente astutos para ocultarse, lo que dificulta que los usuarios normales los detecten después de haber sido envenenados.
Para evitar el daño causado por los caballos de Troya, se deben tomar las siguientes medidas:
Primero, instale un software antivirus y un firewall personal, y actualícelos a tiempo.
En segundo lugar, configure el firewall personal en un buen nivel de seguridad para evitar que programas desconocidos transmitan datos al exterior.
En tercer lugar, considere utilizar herramientas de cliente de correo electrónico y navegador más seguras.
En cuarto lugar, si utiliza el navegador IE, debe instalar Carter Security Assistant para evitar que sitios web maliciosos instalen software desconocido y complementos de navegador en su computadora para evitar ser invadidos por caballos de Troya.
Troyanos de control remoto: Glacier, Grey Pigeon, Shangxing, PCshare, Internet Thief, FLUX, etc. También existen muchos troyanos que utilizan tecnología de inserción de subprocesos. Los programas troyanos actuales suelen estar estrechamente relacionados con los archivos DLL. Mucha gente los llama "troyanos DLL". Los troyanos DLL son el nivel más alto de tecnología de inserción de subprocesos, se refiere a la tecnología de incrustar su propio código en el proceso en ejecución. En teoría, cada proceso en Windows tiene su propio espacio de memoria privado y otros procesos no pueden operar en este espacio privado. Sin embargo, en la operación real, aún podemos usar varios métodos para ingresar y operar el proceso, teniendo así. los mismos permisos que ese proceso remoto. En cualquier caso, es una buena idea ejecutar el código central del troyano en el espacio de memoria de otro proceso, para que no sólo pueda ocultarse bien, sino también protegerse mejor.
La DLL no se puede ejecutar de forma independiente, por lo que para que el troyano se ejecute, un archivo EXE debe utilizar tecnología de incrustación dinámica, lo que permite que la DLL se ejecute en otros procesos normales y permita que el proceso incrustado llame a la función DllMain. de la DLL para estimular la ejecución del troyano. Finalmente, inicie el EXE del troyano para finalizar la operación y se completará el inicio del troyano. El EXE que inicia el troyano DLL juega un papel importante. Se llama cargador. El cargador puede ser varios Windows Rundll32.exe y algunos troyanos DLL también lo utilizan. Este tipo de troyano generalmente no tiene incrustación dinámica. Tecnología, y se inyecta directamente en el proceso Rundll32 Run, incluso si el proceso Rundll32 se elimina, el cuerpo del troyano todavía existe. Incluso si se elimina el proceso Rundll32, el cuerpo del troyano todavía existe. Además de utilizar este método para iniciar troyanos, muchas aplicaciones también utilizan este método para iniciar. Uno de los ejemplos más comunes es "3721 Network Real Name".
"3721 Network Real Name" se implementa llamando al archivo DLL "Network Real Name" a través de Rundll32. En la computadora con el nombre real de red instalado, ejecute el editor de registro, expanda "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" y busque un archivo de elemento de inicio llamado "CnsMin" con el valor de clave "Rundll32 C: \WINDOWS \Downlo~1\CnsMin.dll,Rundll32", CnsMin.dll es el archivo DLL de nombre real de la red. De esta manera, la función de nombre real de red del archivo DLL se realiza mediante el comando Rundll32.
Método de defensa simple
La detección de troyanos DLL es más difícil que la detección de virus y troyanos generales. Se recomienda que los usuarios verifiquen con frecuencia si hay elementos de inicio del sistema inexplicables. proyecto, este es uno de los lugares donde puede existir el cargador de troyanos DLL. Si el usuario tiene ciertos conocimientos de programación y capacidad de análisis, también puede buscar el nombre de la DLL en Loader o ver cuántas DLL desconocidas están adjuntas al proceso. Para los usuarios normales, la forma más sencilla y eficaz es utilizar software antivirus y cortafuegos para proteger la seguridad de su ordenador. Ahora existen algunos programas de firewall externos que recordarán a los usuarios cuando se carga un archivo DLL, como Tiny, SSM, etc., para que podamos prevenir eficazmente los troyanos DLL maliciosos. Métodos de control y prevención de troyanos 1. Desactive Restaurar sistema (Windows Me/XP)
Si está ejecutando Windows Me o Windows XP, se recomienda desactivar temporalmente "Restaurar sistema". Esta función está habilitada de forma predeterminada y Windows la utiliza para restaurar archivos en su computadora si se dañan. Si un virus, gusano o caballo de Troya infecta su computadora, Restaurar sistema realiza una copia de seguridad del virus, gusano o caballo de Troya en esa computadora.
Windows impide que programas externos, incluidos programas antivirus, modifiquen Restaurar sistema. Por lo tanto, los programas o herramientas antivirus no pueden eliminar las amenazas de la carpeta de restauración del sistema. Por lo tanto, Restaurar sistema puede restaurar archivos infectados en su computadora incluso si los ha eliminado de todas las demás ubicaciones.
Además, un análisis antivirus puede detectar amenazas en la carpeta Restaurar sistema, incluso si la has eliminado.
Nota: Después de eliminar el gusano, siga las instrucciones del artículo anterior para restaurar la configuración de Restaurar sistema.
2. Reinicie el ordenador en modo seguro o modo VGA
Apague el ordenador, espere al menos 30 segundos y luego reinicie en modo seguro o modo VGA
Usuarios de Windows 95/98/Me/2000/XP: reinicie la computadora en modo seguro. Todos los sistemas operativos Windows de 32 bits, excepto Windows NT, pueden reiniciarse en modo seguro. Para obtener más información, consulte el documento "Cómo iniciar su computadora en modo seguro".
Usuarios de Windows NT 4: reinicie el ordenador en modo VGA.
Escanear y eliminar archivos infectados Inicie su software antivirus y asegúrese de que esté configurado para escanear todos los archivos. Ejecute un análisis completo del sistema. Si se detecta que algún archivo está infectado mediante "Descargar", elimínelo. Si es necesario, borre el historial y los archivos de Internet Explorer. Si se detecta este programa en un archivo comprimido en la carpeta temporal de Internet, siga estos pasos:
Inicie Internet Explorer, haga clic en Herramientas > Opciones de Internet. Opciones de Internet. Haga clic en la pestaña General, en la sección Archivos temporales de Internet, haga clic en Eliminar archivos y luego haga clic en Aceptar cuando se le solicite. En la sección Historial, haga clic en Borrar registro del historial y luego haga clic en "Sí" cuando se le solicite.
[1] Herramienta de detección de troyanos
Troyano de control remoto: Glacier (el orgullo del pueblo chino, el troyano número uno en China), Grey Pigeon, Shangxing, PCshare, Network Thief, FLUX, etc. Ahora hay muchos troyanos que utilizan tecnología de inserción de subprocesos, echemos un vistazo
Anti-Trojan
Herramienta para eliminar troyanos
Herramienta de detección de troyanos
<. p>Trojan Defense 2005 V4.16Troyano experto en análisis 2005 V6.57
Troyano estrella (iparmor) V5.47
Virus de piratería popular. herramienta de detección de software
Trojan Anti-Trojan Master V2.6
Trojan Expert 2005 0102
Windows Trojan Scavenger
Experto en análisis de troyanos Personal El firewall detecta troyanos en las computadoras 1. Integre en el programa
Porque los usuarios generalmente no ejecutan programas activamente y los productores de troyanos atraen a los usuarios para que lo ejecuten, pero una vez que se ejecuta, no solo se ejecutará el programa normal, pero el programa troyano incluido con él también se ejecutará en secreto en segundo plano.
Este tipo de troyano oculto en otras aplicaciones es más dañino y no es fácil de encontrar. se ejecuta cuando se inicia Windows. Sin embargo, siempre que tengamos un firewall personal instalado o un Firewall de Windows habilitado en Windows XP SP2, cuando el servidor troyano intente conectarse al cliente troyano, se le preguntará si desea liberar el troyano. que puede determinar si ha sido atacado por un troyano.
2. Oculto en archivos multimedia
Estrictamente hablando, los usuarios no tienen este tipo de troyano. es fácil de ignorar porque la gente no está muy atenta a los archivos de video y audio. El método común es insertar un fragmento de código en el archivo multimedia, que contiene una URL cuando se reproduce en un tiempo específico. automáticamente, y el contenido de la página web al que apunta la URL es alguna página web troyana u otro contenido dañino.
Por lo tanto, si encontramos una ventana abierta de repente al reproducir una película descargada de Internet, no lo hagamos. Si tiene curiosidad, debe cerrarlo inmediatamente y omitir la reproducción de la película durante ese período de tiempo.
3. Oculto en System.ini
4. ini
Al igual que System.ini, Win.ini también es un lugar donde les gusta cargar a los troyanos. Para esto, podemos abrir el archivo Win.ini en el directorio del sistema y marcar "load=". y "ejecutar" en el área [Windows]. =", en circunstancias normales, deberían estar en blanco. Si se encuentran agregados después de un determinado programa, entonces el programa cargado puede ser un caballo de Troya y es necesario eliminarlos. .
5. Oculto en Autoexec.bat
Hay un archivo Autoexec.bat en el directorio raíz de la unidad C y su contenido se ejecutará automáticamente cuando se inicie el sistema. Similar a este archivo es Config.sys, que también es un escondite para los troyanos porque se ejecuta automáticamente. Nuevamente, necesitamos abrir estos dos archivos y verificar si se han cargado programas de origen desconocido en ejecución.
6. Administrador de tareas
Después de ejecutar algunos troyanos, podemos encontrarlo en el Administrador de tareas.
Haga clic derecho en la barra de tareas, seleccione "Administrador de tareas" en el menú emergente y cambie la ventana abierta a la pestaña "Procesos". Aquí puede verificar si hay más recursos ocupados por procesos y si hay procesos desconocidos. Si los hay, puedes intentar apagarlos primero. Además, preste especial atención al proceso Explorer.exe, porque muchos troyanos usarán el nombre del proceso Exp1orer.exe, es decir, reemplazarán l con 1. Si el usuario no mira con atención, pensará que es un proceso del sistema.
7. Inicio
En Windows XP, podemos ejecutar "msconfig" y cambiar la ventana abierta a la pestaña "Inicio", donde podemos ver todos los archivos cargados al iniciar el proyecto. ¡en este momento! Determine si el troyano se carga al inicio según el "comando" y la "ubicación". Si se determina que es un troyano, se puede cancelar y luego procesar más.
8. Registro
La mayoría de los controles de nuestro programa están controlados por el registro, por lo que debemos verificar el registro. Ejecute "regedit" para abrir el Editor del Registro y luego verifique las siguientes áreas:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion ,
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion Verifique todas las claves que comiencen con "ejecutar" en estas tres áreas si el contenido de la clave apunta a algunos archivos o programas ocultos que nunca lo han hecho. instalado, es probable que se trate de caballos de Troya.
La razón por la que el troyano puede hacer esto es precisamente porque sabe ocultarse bien. Pero cuando sepamos dónde están, podremos eliminarlos uno por uno. Por supuesto, cuando el troyano realmente se disfraza, puede utilizar uno o más de los métodos anteriores para camuflarse, lo que requiere que no solo revisemos algunas de las ubicaciones al verificar y eliminar. Los principiantes comienzan rápidamente con la guía para detectar y eliminar troyanos informáticos. A menudo camino junto al río, ¿cómo no mojarme los pies? Por lo tanto, en ocasiones, si permaneces conectado durante mucho tiempo, es muy probable que un atacante haya implantado un caballo de Troya en tu ordenador.
Si su computadora tiene implantado un virus troyano, entonces necesita instalar un "software antivirus" en su computadora.
1. Método manual:
1. Verifique la conexión de red
Dado que muchos troyanos escuchan activamente los puertos o se conectan a IP y puertos específicos, no podemos tenerlo. Los programas normales se conectan a la red, y podemos descubrir la existencia de troyanos comprobando la conexión de red. Los pasos específicos son hacer clic en "Inicio" -> "Ejecutar" -> "cmd" y luego ingresar netstat-an. Este comando puede ver todas las IP conectadas a su computadora y los puertos monitoreados por su computadora. --proto (modo de conexión), dirección local (dirección de conexión local), dirección externa (dirección para establecer conexión con la dirección local), estado (estado actual del puerto). Con los detalles de este comando, podremos monitorear completamente la conexión de red del ordenador.
2. Ver los servicios actualmente en ejecución
Los servicios son una de las formas en que muchos troyanos se mantienen ejecutándose en el sistema. Podemos hacer clic en "Inicio" -> "Ejecutar" -> "cmd", y luego ingresar "net start" para ver qué servicios están abiertos en el sistema. Si encontramos que hay servicios sin abrir, podemos ingresar al "Servicio". herramienta de gestión "Servicio", busque el servicio correspondiente, deténgalo y desactívelo.
3. Verifique los elementos de inicio del sistema
Debido a que el registro es relativamente complicado para los usuarios comunes, a los troyanos a menudo les gusta esconderse aquí.
Verifique los elementos de inicio del registro de la siguiente manera: haga clic en "Inicio" -> "Ejecutar" -> "regedit" y luego verifique todas las claves que comiencen con "ejecutar" en HKEY_LOCAL _MACHINE\Software\Microsoft\Windows\CurrentVersion Value; Microsoft Default\Software\Microsoft\Windows\CurrentVersion; HKEY-USERS\."Default\Software\Microsoft\Windows\CurrentVersion.
System.ini en el directorio de instalación de Windows también es un troyano como un lugar oculto Abra el archivo y verifique si hay shell=Explorer.exe file.exe en el campo [inicio]. Si existe dicho contenido, entonces file.exe es un troyano. cuenta del sistema
A los atacantes maliciosos les gusta mantener una cuenta en la computadora para controlarla. Su método es activar una cuenta predeterminada que rara vez se usa en el sistema y luego eliminar la cuenta. ser el mayor riesgo de seguridad en el sistema. Los atacantes malintencionados pueden controlar su computadora a través de esta cuenta. En este caso, puede utilizar los siguientes métodos para detectar esta cuenta.
Haga clic en "Inicio" -> "Ejecutar". -> "cmd", luego ingrese net user en la línea de comando para ver qué usuarios están en la computadora, y luego use "net user nombre de usuario" para ver a quién pertenece este usuario, generalmente excepto Administrador, que es el administrador. grupo, los demás no deberían pertenecer al grupo de administradores. Si descubre que un usuario integrado en el sistema pertenece al grupo de administradores, es casi seguro que ha sido invadido. Utilice "nombre de usuario de red /del "Eliminar". ¡Este usuario!
Si se encuentra un troyano, puede seguir los siguientes pasos para eliminarlo.
1. Ejecute el administrador de tareas y finalice el proceso del troyano.
<. p>2. Verifique RUN, RUNSERVEICE y otros elementos en el registro, haga una copia de seguridad primero, escriba la dirección del elemento de inicio y luego elimine los sospechosos3. en los archivos ejecutables del disco duro. Valor clave
4. Generalmente, estos archivos se encuentran en carpetas como WINNT, SYSTEM y SYSTEM32. Generalmente no existen solos. Marque C. Si hay archivos .exe, .com o .bat sospechosos en discos como D y E, elimínelos si están presentes.
5. Verifique varios elementos (como la página local) en el registro HKEY_LOCAL_MACHINE y HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main. Si se han modificado, simplemente vuelva a cambiarlos.
6. Compruebe si se han modificado los programas de apertura predeterminados de varios tipos de archivos comunes, como HKEY_CLASSES_ROOT\txtfile\shell\open\command y HKEY_CLASSES_ROOTxtfileshellopencommand. Hay que volver a cambiarlo. Muchos virus se cargan cuando los usuarios abren archivos de texto modificando el programa de apertura predeterminado para archivos .txt.
2. Utilice herramientas:
Las herramientas para detectar y eliminar troyanos incluyen LockDown, The Clean, Trojan Star, Kingsoft Antivirus Trojan Killer, Trojan Removal Master, Trojan Analysis Expert, etc. Algunas de ellos Si desea utilizar todas las funciones de la herramienta, deberá pagar una determinada tarifa, pero la licencia de Trojan Analysis Expert es gratuita.
Modifique el registro para mejorar la defensa del sistema contra los virus troyanos. Los virus troyanos generalmente inician servicios a través del registro, por lo que el registro es de gran importancia para la defensa del sistema contra los virus. En teoría, podemos prevenir virus y troyanos modificando los atributos del registro. De hecho, podemos hacer esto. El método de implementación específico es el siguiente:
El registro de Windows 2000/XP/2003 puede establecer permisos, pero rara vez los usamos. . Establezca los permisos para los siguientes valores de clave de registro:
1. Configure los elementos de inicio automático del registro para que sean de solo lectura para todos (Run, RunOnce, RunService) para evitar que troyanos y virus invadan a través de la auto-inicio. elementos de inicio
2. Configure .txt, .com, .exe, .inf, .ini, .bat y otros archivos relacionados con Renren como de solo lectura (Run, RunOnce, RunService). Las asociaciones de archivos como bat son de solo lectura para todos para evitar que se inicien troyanos y virus a través de asociaciones de archivos.
3 Configure el registro HKLM/SYSTEM/CurrentControlSet/Services en solo lectura para todos. Evite que troyanos y virus se inicien a través de servicios.
Los permisos de las claves de registro se pueden configurar de las siguientes maneras.
1. Si se encuentra en un entorno de dominio, puede lograrlo a través de la Política de grupo de Active Directory.
2 Establezca la política de grupo de la computadora local en (línea de comando gpedit.msc). )
3. La operación manual se puede lograr a través de regedt32 (en Windows 2000, en la sección "Seguridad" en el menú "Seguridad")
3. regedt32 (en Windows 2000, en el menú "Seguridad" en la sección "Seguridad") o regedit (Windows 2003/XP, en el menú "Editar" en "Permisos")
Si solo tienes permisos para En el grupo de usuarios, el valor clave anterior es de solo lectura de forma predeterminada, por lo que no tendrá que pasar por tantos problemas. [3]