Red de Respuestas Legales - Directorio de abogados - La computadora ha sido completamente restaurada a la configuración de fábrica. ¿El virus sigue ahí?

La computadora ha sido completamente restaurada a la configuración de fábrica. ¿El virus sigue ahí?

Restaurar sistema, que simplemente restaura el registro.

El virus aún no ha desaparecido.

¡Hola!

Si tu ordenador

caballos de Troya, virus, malware, etc.

Si tiene alguna pregunta, mi QQ: 244344727 envíe un correo electrónico a xiaozhibink@eyou.com ¡Gracias!

Acepte mi solución:

1 Software de compilación:

Software antivirus, software de detección.

[Si es posible, intenta saber qué virus tienes, descarga la herramienta de comprobación de virus www.xunlei.com y búscalo (algunas palabras para bloquear virus)]

2. No se pueden matar los virus en su estado normal.

Por favor: Presione F8 para ingresar al modo seguro.

Puedes ejecutar software antivirus en este modo.

3,

Utilice software antivirus, [debe estar actualizado]

El software de detección solo mata el disco una vez,

4. Reinicie,

Software de detección:

Super Rabbit:. com/soft/2993.html

, maestro de optimización. es/soft/2988.html

, 360guard/killer/360compkill.html? uid = 1 & pid = h _ home & ampm = 127 C4 d75a 1b 12798519 d9 ec0 d 373 a7 DC

Software antivirus: Kabbah, Rising, Kingsoft...

Perro robot/conductor/herramienta para eliminar terminadores AV

/for _ down/RS free/ravolusrfree .exe

o

-

Sistema de limpieza:

Cclean 2 tiempos:

1:

Te doy un lote.

del /f /s /q %systemdrive%\*. Programa Terminal Monitor (abreviatura de Terminal Monitor Program)

del /f /s /q %systemdrive%\*. _mp

del /f /s /q %systemdrive%\*. log

del /f /s /q %systemdrive%\*. Vértigo

del /f /s /q %systemdrive%\*. chk

del /f /s /q %systemdrive%\*. Antiguo

del/f/s/q % unidad del sistema %\reciclado\*. *

del /f /s /q %windir%\*. bak

del/f/s/q % windir % \prefetch\*. *

rd/s/q % windir % \temp &md %windir%\temp

del/f/q % perfil de usuario %\cookie\*. *

del /f /q %userprofile%\recent\*. *

del/f/s/q " % perfil de usuario % \ Configuración local \ Archivos temporales de Internet \ *.*"

del/f/s/q " % perfil de usuario % \ Configuración local \ Temp \ * *"

del/f/s/q " % perfil de usuario % \ reciente \ *.

*"

Simplemente configure un Bloc de notas, luego copie el párrafo anterior en el Bloc de notas, guárdelo como *.bat (* es cualquier nombre) y luego ejecútelo directamente.

2 :

Cree un nuevo bloc de notas e ingrese lo siguiente:

@Close Echo

Echo está limpiando los archivos basura del sistema, espere...

del /f /s /q %systemdrive%\* (abreviatura de Terminal Monitor Program)

del /f /s /q %systemdrive% \*. /p>

del /f /s /q %systemdrive%\*. log

del /f /s /q %systemdrive%\*. /q %systemdrive%\* chk

del /f /s /q %systemdrive%\* antiguo

del/. \*.*

del /f /s /q %windir%\*.del/f/s/q. s/q % windir %\temp&md %windir%\temp

Del /f /q %userprofile %\ cookie s\* *

del /f /q %. perfil de usuario%\recent\* *

del /f/s/q " % perfil de usuario % \ Configuración local\Archivos temporales de Internet\*. *"

del/f/s/q " % perfil de usuario % \ Configuración local \ Temp \ *. *"

del/f/s/q " % perfil de usuario % \ reciente \ *. *"

Aike, limpia el sistema. ¡LJ está listo!

Echo. & abort

Abre o el bloc de notas, mira claramente aquí y finalmente guarda, y luego cámbiele el nombre a "sistema limpio LJ.bat"

Un troyano es un programa que puede proporcionar algunas funciones útiles o simplemente interesantes, pero también tiene otras funciones que el usuario no conoce, como sin Copie archivos o robe sus contraseñas.

RFC 1244 (Borrador para comentario: 1244) describe los troyanos de esta manera: "Los troyanos son programas que proporcionan algunas funciones útiles o simplemente interesantes. Pero también tiene otras capacidades que los usuarios desconocen, como copiar archivos sin tu conocimiento o robar tus contraseñas. "Con el rápido desarrollo de Internet, los caballos de Troya se están volviendo cada vez más agresivos y dañinos. Los caballos de Troya son esencialmente programas que solo pueden funcionar después de ejecutarse, por lo que dejarán pistas en la tabla de procesos y en el registro. Nosotros podemos " Atrápalo" "comprobando, bloqueando y eliminando"

Verificar

1. Verificar el proceso del sistema

La mayoría de los troyanos se mostrarán después de ejecutarse. En el administrador de procesos, los programas sospechosos se pueden encontrar analizando y filtrando la lista de procesos del sistema, especialmente comparando el uso de recursos de la CPU y el número de identificadores de declaraciones con los procesos normales.

2. archivos y servicios.

Para ejecutarse automáticamente después del arranque, Trojan generalmente agrega entradas de registro en las siguientes opciones del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\versión actual\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\versión actual\RunOnceEx

HKEY_LOCAL_MACHINE\Software\ Microsoft \ Windows \ versión actual \ RunServices

HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \ versión actual \ RunServicesOnce

Los caballos de Troya también se pueden cargar después de "run=", "load=" y "shell=" en Win.ini y System.ini. Si no conoce el cargador después de estas opciones, puede ser un caballo de Troya. El truco más común de Troy Hawes es cambiar "Explorer" por el nombre de su propio programa. Simplemente cambie ligeramente la letra "L" de "Explorer" por el número "1" o la "O" por el número "0". Estos cambios son difíciles de detectar sin una observación cuidadosa.

En Windwos NT/2000, el troyano se agregará como un servicio al sistema e incluso reemplazará aleatoriamente los programas de servicio que no se inician en el sistema para lograr la carga automática. Al realizar la prueba, debe tener cierto conocimiento de los servicios generales del sistema operativo.

3. Verificar los puertos abiertos

Troyano de control remoto y troyano de shell de salida, metropolis escucha en un puerto del sistema, recibe comandos del terminal de control y los ejecuta. Podemos encontrar rastros de caballos de Troya comprobando algunos puertos "extraños" abiertos en el sistema. Ingrese Netstat na en la línea de comando y podrá ver claramente los puertos y conexiones abiertos por el sistema. También puede descargar el software Fport desde www.foundstone.com. Después de ejecutar el software, puede conocer el nombre del proceso, el número de proceso y la ruta del programa que abre el puerto, lo que proporciona una manera conveniente de encontrar caballos de Troya.

4. Supervisar la comunicación de red

Para algunos troyanos que utilizan comunicación de datos ICMP, el extremo controlado no abre ningún puerto de escucha, por lo que no es necesaria una conexión inversa ni ninguna conexión. será establecido. El tercer método para comprobar los puertos abiertos no funciona. Puede cerrar todos los procesos de comportamiento de la red y luego abrir el software rastreador para monitorearlo. Si quedan muchos datos, básicamente puedes estar seguro de que hay un caballo de Troya ejecutándose en segundo plano.

Bloqueos

1. Bloqueo del canal de control

Si su conexión de red está deshabilitada o se cancela la conexión de acceso telefónico, inicio repetido, apertura de ventanas y otros. Los fenómenos anormales desaparecen. Entonces puede determinar que ha aparecido un caballo de Troya en su computadora. Al deshabilitar las conexiones de red o desconectar los cables de red, puede evitar por completo que las computadoras remotas lo controlen a través de la red. Por supuesto, los puertos UDP, TCP e ICMP también se pueden cerrar o filtrar mediante firewalls.

2. Elimine el proceso sospechoso

Si verifica el proceso sospechoso a través de Pslist, use Pskill para eliminar el proceso sospechoso. Si la computadora es normal, significa que el proceso sospechoso lo es. controlado remotamente a través de la red, causando anormalidades en la computadora.

Eliminar

1. Eliminación manual

Algunos archivos sospechosos no se pueden eliminar de inmediato y es posible que la computadora no funcione correctamente debido a la eliminación accidental de archivos del sistema. Primero haga una copia de seguridad de los archivos y el registro sospechosos, luego use el editor Ultraedit32 para verificar la información del encabezado del archivo y comprender aproximadamente el troyano a través de los caracteres de texto sin formato en los archivos sospechosos.

Por supuesto, los expertos también pueden utilizar software de descompilación especializado como W32Dasm para realizar análisis estáticos de archivos sospechosos, ver la lista de funciones importadas y los segmentos de datos del archivo, y obtener una comprensión preliminar de las funciones principales del programa. Finalmente, elimine el archivo troyano y la clave del registro.

2. Software antivirus

Debido al continuo avance de la tecnología de escritura de troyanos, muchos troyanos cuentan con mecanismos de autoprotección. Es mejor que los usuarios normales utilicen software antivirus profesional como Rising y Kingsoft Antivirus como antivirus. Para el software antivirus, asegúrese de actualizarlo a tiempo, conozca las nuevas técnicas de prevención y eliminación de troyanos a través de anuncios de virus o descargue software antivirus especial para antivirus (por ejemplo, las principales empresas han desarrollado recientemente herramientas antivirus para el virus de la onda de choque).

上篇: ¿Qué debo hacer si transfiero mis bienes y me niego a ejecutar la sentencia? 下篇: Parejas profesionales y culturales de la formación profesional

Artículos populares