¡El virus está loco!

del /f /q perfil de usuario\reciente\*.*

del /f /s /q "perfil de usuario\Local Configuración\Archivos temporales de Internet \*.*"

del /f /s /q "perfil de usuario\Configuración local\Temp\*.*"

del /f /s /q "userprofile\recent\ *.*"

Cree un bloc de notas, copie el párrafo anterior en el bloc de notas, guárdelo como *.bat (* es cualquier nombre) y luego ejecútelo directamente

2:

Cree un nuevo bloc de notas e ingrese el siguiente contenido:

@echo off

echo está limpiando los archivos basura del sistema, espere. ...

del /f /s /q systemdrive\*.tmp

del /f /s /q systemdrive\*._mp

del / f /s /q systemdrive\*.log

del /f /s /q systemdrive\*.gid

del /f /s /q systemdrive\*.chk < / p>

del /f /s /q sistema

temdrive\*.old

del /f /s /q systemdrive\recycled\*.*

del /f /s /q windir\*.bak

del /f /s /q windir\prefetch\*.*

rd /s /q windir\temp amp md windir\temp

del /f /q perfil de usuario; \cookies\*.*

del /f /q perfil de usuario\recent\*.*

del /f /s /q "perfil de usuario\Configuración local\Archivos temporales de Internet\* .*"

del /f /s /q "perfil de usuario\Configuración local\Temp\*.*"

del /f /s /q "perfil de usuario\reciente \*. *"

¡El sistema de eliminación de ecos LJ está completo!

echo amp; pausa

Ábralo en el Bloc de notas y véalo claramente aquí. Finalmente guárdelo y luego cambie su nombre a "Borrar sistema LJ.bat"

RFC1244 (Solicitud de comentarios: 1244) describe los caballos de Troya de esta manera: "Un programa caballo de Troya es un programa que proporciona algunas funciones útiles o meramente interesantes. Pero también hay otras funciones que los usuarios no conocen". de, como copiar archivos o robar sus contraseñas sin su conocimiento "Con el rápido desarrollo de Internet, los troyanos son cada vez más dañinos. Un troyano es esencialmente un programa que debe ejecutarse antes de que pueda funcionar, por lo que dejará pistas en la tabla de procesos y en el registro. Podemos "encontrarlo y llevarlo ante la justicia" mediante "verificación, bloqueo y eliminación".

Verificar

1. Verifique el proceso del sistema

La mayoría de los troyanos se mostrarán en el administrador de procesos después de ejecutarse, así que analice y filtre la lista de procesos sospechosos. Se pueden descubrir programas. En particular, se encuentran fenómenos anormales al comparar el uso de recursos de la CPU y la cantidad de identificadores con procesos normales.

2. Verifique el registro, los archivos ini y los servicios

Para ejecutarse automáticamente después del arranque, los troyanos suelen agregar entradas de registro a las siguientes opciones del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion ＼RunOnceEx

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

También se pueden encontrar troyanos en Win. ini y System.ini se cargan después de "run=", "load=" y "shell=". Si desconoce el programa cargado después de estas opciones, puede ser un caballo de Troya. El truco más común utilizado por los troyanos es cambiar "Explorer" por el nombre de su propio programa. Sólo necesita cambiar ligeramente la letra "l" en "Explorer" por el número "1", o cambiar la "o" en. al número "0". Estos cambios son difíciles de detectar sin una observación cuidadosa.

En Windwos NT/2000, el troyano se agregará como un servicio al sistema e incluso reemplazará aleatoriamente los programas de servicio que el sistema no haya iniciado para lograr la carga automática. Al detectarlo, tenga en cuenta. los servicios regulares del sistema operativo aprenden.

3. Verifique los puertos abiertos

Los troyanos de control remoto y los troyanos que generan Shell escucharán principalmente un determinado puerto en el sistema, recibirán comandos enviados desde el terminal de control e implementarán. Se pueden encontrar rastros de troyanos comprobando algunos puertos "extraños" abiertos en el sistema. Ingrese Netstat na en la línea de comando y podrá ver claramente los puertos y conexiones abiertos por el sistema. También puede descargar el software Fport desde www.foundstone.com. Después de ejecutar el software, podrá conocer el nombre del proceso, el número del proceso y la ruta del programa del puerto abierto, lo que proporciona una manera conveniente de encontrar "troyanos".

4. Supervisar la comunicación de red

Para algunos troyanos que utilizan comunicación de datos ICMP, el extremo controlado no abre ningún puerto de escucha, no requiere una conexión inversa y no establece una conexión. Conexión Utilice un tercero. Este método de comprobar los puertos abiertos no funcionará. Puede cerrar todos los procesos de actividad de la red y luego abrir el software Sniffer para monitorear. Si todavía hay una gran cantidad de datos, básicamente puede determinar que se está ejecutando un troyano en segundo plano.

Bloqueo

1. Bloqueo del canal de control

Si su conexión de red está deshabilitada o se cancela la conexión de acceso telefónico, inicios repetidos, apertura de ventanas, etc. . son anormales Si el fenómeno desaparece, se puede determinar que su computadora tiene un caballo de Troya. Al deshabilitar la conexión de red o desconectar el cable de red, puede evitar por completo que la computadora remota lo controle a través de la red. Por supuesto, también puedes cerrar o filtrar los puertos UDP, TCP e ICMP a través del firewall.

2. Elimina el proceso sospechoso

Si verificas el proceso sospechoso a través de Pslist y usas Pskill para eliminar el proceso sospechoso, si la computadora es normal, significa que el proceso sospechoso es controlado remotamente a través de la red. Esto provoca que el ordenador no funcione correctamente.

Eliminar

1. Eliminación manual

Para algunos archivos sospechosos, no se pueden eliminar de inmediato. Es posible que la computadora no funcione correctamente debido a la eliminación accidental de archivos del sistema.

Primero, haga una copia de seguridad de los archivos y el registro sospechosos, luego use el editor Ultraedit32 para ver la información del encabezado del archivo y obtenga una comprensión general del troyano a través de los caracteres de texto sin formato en los archivos sospechosos. Por supuesto, los expertos también pueden utilizar W32Dasm y otro software de descompilación especial para realizar análisis estáticos de archivos sospechosos, verificar la lista de funciones importadas y la parte del segmento de datos del archivo, y tener una comprensión preliminar de las funciones principales del programa. Finalmente, elimine los archivos y claves troyanos del registro.

2. Software antivirus

Debido al continuo avance de la tecnología de escritura de troyanos, muchos troyanos cuentan con mecanismos de autoprotección. Es mejor que los usuarios comunes utilicen software antivirus profesional como Rising, Kingsoft Antivirus y otros programas antivirus. Para el software antivirus, asegúrese de actualizarlo a tiempo y aprender sobre las técnicas de prevención y eliminación de nuevos troyanos. a través de anuncios de virus o descargue un software antivirus especial Realice un antivirus (como el reciente virus de la onda de choque, las principales empresas han desarrollado herramientas antivirus).