바이러스가 미쳤어요!

안녕하세요!

컴퓨터가

트로이 목마, 바이러스, 맬웨어 등에 감염된 경우

추가 질문이 있는 경우 MYQQ : 244344727 이메일 xiaozhibink@eyou.com 감사합니다!

내 솔루션을 수용해 주세요:

1 준비 소프트웨어:

안티바이러스 소프트웨어, 탐지 소프트웨어.

[가능하다면 어떤 종류의 바이러스가 있는지 알아보고 바이러스 제거 도구인 www.xunlei.com을 다운로드하여 찾아보세요(일부 바이러스는 텍스트를 차단함)]

2 . 정상 상태에서 바이러스 백신을 사용할 수 없는 경우

부팅 시 F8을 눌러 안전 모드로 들어가세요.

해당 모드에서는 바이러스 백신 소프트웨어를 실행할 수 있습니다.

바이러스 백신 소프트웨어를 사용하세요. [업데이트해야 합니다.]

탐지 소프트웨어로 디스크를 한 번만 종료하세요.

4, 다시 시작,

탐지 소프트웨어:

Super Rabbit: .com/soft/2993.html

, Optimization Master.com/soft/2988. html

, 360guard/killer/360compkill.html?uid=1amp;pid=h_homeamp;m=127c4d75a1b12798519d9ec0d373a7dc

, 안티 바이러스 소프트웨어: Kabbah, Rising, Kingsoft...,

로봇 개/디스크 드라이브/AV 터미네이터 살해 도구

/for_down/rsfree/ravulusrfree.exe

또는

시스템 정리:

시스템 정크 정리를 위한 두 가지 팁:

일괄 프로세스를 알려드리겠습니다.

del /f /s /q 시스템 드라이브\*.tmp

del /f /s /q 시스템 드라이브\*._mp

del /f /s /q systemdrive\*.log

del /f /s /q systemdrive\*.gid

del /f /s /q systemdrive\*.chk

del /f /s /q 시스템 드라이브\*.old

del /f /s /q 시스템 드라이브\재활용\*.*

del /f /s /q windir\* .bak

del /f /s /q windir\prefetch\*.*

rd /s /q windir\temp amp; md windir\temp

del /f / q 사용자 프로필\쿠키\*.*

del /f /q 사용자 프로필\최근\*.*

del /f /s /q "사용자 프로필\로컬 설정\임시 인터넷 파일 \*.*"

del /f /s /q "사용자 프로필\로컬 설정\Temp\*.*"

del /f /s /q "userprofile\recent\ *.*"

메모장을 만들고 위 문단을 메모장에 복사한 후 *.bat(*는 임의의 이름)로 저장한 뒤 직접 실행

새 메모장을 만들고 다음 내용을 입력하세요:

@echo off

echo가 시스템 정크 파일을 지우고 있습니다. 잠시 기다려 주세요. ...

del /f /s /q 시스템드라이브\*.tmp

del /f /s /q 시스템드라이브\*._mp

del / f /s /q systemdrive\*.log

del /f /s /q systemdrive\*.gid

del /f /s /q systemdrive\*.chk < / p>

델 /f /s /q sys

temdrive\*.old

del /f /s /q systemdrive\recycled\*.*

del /f /s /q windir\*.bak

del /f /s /q windir\prefetch\*.*

rd /s /q windir\temp amp md windir\temp

del /f /q 사용자 프로필 \cookies\*.*

del /f /q userprofile\recent\*.*

del /f /s /q "userprofile\Local Settings\Temporary Internet Files\* .*"

del /f /s /q "사용자 프로필\로컬 설정\Temp\*.*"

del /f /s /q "사용자 프로필\최근 \*. *"

에코클리어링 시스템 LJ가 완성되었습니다!

echo.amp; Pause

메모장에서 열어서 확인해보세요. 마지막으로 저장한 후 이름을 "Clear System LJ.bat"로 변경하세요. p>Trojan 프로그램은 유용하거나 단순히 흥미로운 기능을 제공하는 프로그램입니다. 하지만 여기에는 사용자가 모르는 사이에 파일을 복사하거나 비밀번호를 도용하는 등 사용자가 모르는 다른 기능도 있습니다.

RFC1244(Request for Comments: 1244)는 트로이 목마를 다음과 같이 설명합니다. "트로이 목마 프로그램은 유용하거나 단순히 흥미로운 기능을 제공하는 프로그램입니다. 그러나 사용자가 인식하지 못하는 다른 기능도 있습니다. "인터넷이 급속히 발전하면서 트로이 목마는 점점 더 해로워지고 있습니다. 트로이 목마는 기본적으로 작동하기 전에 실행해야 하는 프로그램이므로 "확인, 차단 및 종료"를 통해 "찾아 정의로 처리"할 수 있습니다.

확인

1. 시스템 프로세스를 확인합니다.

실행 후 대부분의 트로이 목마가 프로세스 관리자에 표시되므로 시스템 프로세스 목록을 분석하고 필터링합니다. 프로그램을 발견할 수 있습니다. 특히 CPU 자원 사용량과 핸들 수를 정상 프로세스와 비교하면 비정상적인 현상이 발견된다.

2. 레지스트리, ini 파일 및 서비스 확인

트로이 목마는 부팅 후 자동으로 실행하기 위해 레지스트리의 다음 옵션에 레지스트리 항목을 추가하는 경우가 많습니다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion ＼RunOnceEx

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

트로이 목마는 Win에서도 찾을 수 있습니다. ini 및 System.ini는 "run=", "load=" 및 "shell=" 뒤에 로드됩니다. 이러한 옵션 이후에 로드된 프로그램이 사용자에게 알려지지 않은 경우 트로이 목마일 수 있습니다. 트로이 목마가 사용하는 가장 일반적인 트릭은 "Explorer"를 자신의 프로그램 이름으로 변경하는 것입니다. "Explorer"의 문자 "l"을 숫자 "1"로 변경하거나 "o"를 변경하기만 하면 됩니다. 이러한 변화는 주의 깊게 관찰하지 않으면 감지하기 어렵습니다.

Windwos NT/2000에서 트로이 목마는 자신을 시스템에 서비스로 추가하고 시스템에서 시작하지 않은 서비스 프로그램을 무작위로 교체하여 자동 로딩을 수행합니다. 운영 체제의 일반 서비스를 배웁니다.

3. 열려있는 포트 확인

원격제어 트로이목마, Shell을 출력하는 트로이목마는 대부분 시스템의 특정 포트를 듣고 제어단으로부터 명령을 받아 구현한다. 트로이 목마의 흔적은 시스템에 열려 있는 일부 "이상한" 포트를 확인하여 찾을 수 있습니다. 명령줄에 Netstat na를 입력하면 시스템에서 열린 포트와 연결을 명확하게 볼 수 있습니다. www.foundstone.com에서 Fport 소프트웨어를 다운로드할 수도 있습니다. 소프트웨어를 실행한 후 열린 포트의 프로세스 이름, 프로세스 번호 및 프로그램 경로를 알 수 있어 "트로이 목마"를 찾는 편리한 방법을 제공합니다.

4. 네트워크 통신 모니터링

ICMP 데이터 통신을 사용하는 일부 트로이 목마의 경우 제어되는 끝은 수신 포트를 열지 않으며 역방향 연결이 필요하지 않으며 연결을 설정하지 않습니다. 타사 연결을 사용하십시오. 열려 있는 포트를 확인하는 이 방법은 작동하지 않습니다. 모든 네트워크 활동 프로세스를 닫은 다음 스니퍼 소프트웨어를 열어 모니터링할 수 있습니다. 여전히 많은 양의 데이터가 있으면 기본적으로 트로이 목마가 백그라운드에서 실행되고 있는지 확인할 수 있습니다.

차단

1. 제어 채널 차단

네트워크 연결이 비활성화되거나 전화 접속 연결이 취소되는 경우 반복적인 시작, 창 열기 등 . 현상이 사라지면 컴퓨터에 트로이 목마가 있다고 판단할 수 있습니다. 네트워크 연결을 비활성화하거나 네트워크 케이블을 뽑으면 원격 컴퓨터가 네트워크를 통해 사용자를 제어하는 것을 완전히 방지할 수 있습니다. 물론 방화벽을 통해 UDP, TCP, ICMP 포트를 닫거나 필터링할 수도 있습니다.

2. 의심스러운 프로세스를 종료합니다

Pslist를 통해 의심스러운 프로세스를 확인하고 Pskill을 사용하여 의심스러운 프로세스를 종료하면 컴퓨터가 정상이라면 의심스러운 프로세스가 종료되었음을 의미합니다. 네트워크를 통해 원격으로 제어되면 컴퓨터가 오작동할 수 있습니다.

죽이기

1. 수동 삭제

일부 의심스러운 파일의 경우 실수로 시스템 파일을 삭제하여 컴퓨터가 제대로 작동하지 않을 수 있습니다. .

먼저 의심스러운 파일과 레지스트리를 백업한 다음 Ultraedit32 편집기를 사용하여 파일 헤더 정보를 보고 의심스러운 파일의 일반 텍스트 문자를 통해 트로이 목마에 대한 일반적인 이해를 얻습니다. 물론 전문가는 W32Dasm 및 기타 특수 디컴파일 소프트웨어를 사용하여 의심스러운 파일에 대한 정적 분석을 수행하고, 가져온 기능 목록과 파일의 데이터 세그먼트 부분을 확인하고, 프로그램의 주요 기능을 미리 이해할 수도 있습니다. 마지막으로 레지스트리에서 트로이 목마 파일과 키를 삭제합니다.

2. 소프트웨어 안티 바이러스

트로이 목마 작성 기술의 지속적인 발전으로 인해 많은 트로이 목마가 자체 보호 메커니즘을 갖추고 있습니다. 일반 사용자는 Rising, Kingsoft Antivirus 및 기타 바이러스 백신 소프트웨어와 같은 전문 바이러스 백신 소프트웨어를 사용하는 것이 가장 좋습니다. 바이러스 백신 소프트웨어의 경우 적시에 업데이트하고 새로운 트로이 목마의 예방 및 제거 기술에 대해 알아보십시오. 바이러스 공지를 통해 또는 특수 바이러스 백신 소프트웨어를 다운로드하여 바이러스 백신을 실행합니다(최근 충격파 바이러스 등 주요 기업에서 바이러스 백신 도구를 개발함).