Mi computadora está infectada y no tengo software antivirus. ¿Qué debo hacer?
1. Hágalo usted mismo Antes, recuerde Esté preparado: proceso del sistema de copia de seguridad de TaskList;^}\Z dw,
Los nuevos virus han aprendido a usar procesos para ocultarse, por lo que será mejor que hagamos una copia de seguridad de la computadora cuando el sistema esté normal Lista de procesos, por supuesto, es mejor no ejecutar ningún programa después de ingresar a Windows. Es mejor hacer una copia de seguridad de la lista de procesos de la computadora cuando el sistema está normal. Por supuesto, es mejor hacer una copia de seguridad de la lista de procesos de la computadora cuando ingresa a Windows por primera vez. ejecutando cualquier programa, para que pueda En el futuro, cuando sienta que la computadora es anormal, compare la lista de procesos para encontrar el proceso que puede contener virus _^>DR "G
Escriba en el. símbolo del sistema: =Aq )0 V5
TaskList /fo:csv>g:zc.csv a.G S(fi
El comando anterior genera la lista de procesos actuales en el archivo "zc .csv" en formato csv." archivo, g: es para La configuración guardada en el disco se puede personalizar y el archivo se puede abrir con Excel. .3 )7J
2. Hágalo usted mismo y. tenga buen ojo: use FC para comparar el archivo de lista de procesos T gJ Ck,
Si cree que su computadora no funciona normalmente o sabe que recientemente ha prevalecido un virus, es necesario para comprobarlo. J /r %_ l
Ingrese al símbolo del sistema e ingrese el siguiente comando: Iq<0-; [W[
TaskList /fo:csv>g:yc.csv QBH ( q?7h
Genere la lista de archivos yc.csv del proceso actual y luego ingrese: g ?3 :o {9
AkTiD /f ;
3. Recuerde recopilar pruebas al juzgar: utilice Netstat para comprobar los puertos abiertos/n}:B>%M=
Para un proceso tan sospechoso. ¿Cómo juzgar si es un virus? ¿Cómo saber si es un virus? Teniendo en cuenta que la mayoría de los virus (especialmente los troyanos) propagan virus a través de conexiones externas a través de puertos, puede verificar la ocupación del puerto: RM> [qv >
Netstat -a-n-o U#6p Hut
Los significados de los parámetros son los siguientes:
a: muestra toda la información del puerto %Vpf3* SJ establecido para conectarse a este host
n: muestra el código PID del proceso de puerto abierto @[Xx|
o: muestra información de dirección y puerto en formato numérico K| wEf c 9
Después de la entrada, puede ver todos los puertos abiertos y procesos conectados externamente, donde se encuentra el PID. 1756 (por ejemplo) es el más sospechoso. Su estado es "ESTABLECIDO". A través del administrador de tareas, puede saber que este proceso es "Winion0n.exe". ¡Una conexión ilegal! v/89/g
El significado de los parámetros de conexión es el siguiente: LISTENINC: Indica que está en estado de escucha, es decir, el puerto está abierto, esperando conexión, pero aún no conectado, solo TCP El puerto de servicio del protocolo debe estar en el estado LISTENINC. MH.H})Z+ ESTABLECIDO significa que la conexión ha sido establecida. TIME-WAIT significa que la conexión ha finalizado. TIME-WAIT significa que la conexión ha finalizado. Indica que se ha accedido al puerto antes, pero el acceso ha finalizado. Se utiliza para determinar si hay una computadora externa conectada a la máquina. S, >cs Cuatro: Sea implacable al eliminar virus: use NTSD '=;ve}Y5M& Aunque sabemos que "Winion0n.exe" es un proceso ilegal, muchos virus procesos ¿Qué debo hacer si el Administrador de tareas no puede finalizarlo? 0~ j> x| x Ingrese el siguiente comando en el símbolo del sistema: / *nZ6 :8 ntsd -c q-p 1756 Q J+Y*I2R6 Ingrese el símbolo del sistema para finalizar exitosamente el proceso del virus. RB[# ,vJ& Consejo: "1756" es el valor del PID del proceso. Si no conoce el ID del proceso, abra el administrador de tareas y haga clic en "Ver → Seleccionar columna → Verificar PID (Proceso). Identificador) "Eso es todo. NTSD puede finalizar por la fuerza todos los procesos excepto Sytem, SMSS.EXE y CSRSS. e # xm 0 Quinto, después de determinar el virus, debe erradicarlo: busque el archivo de virus original bS {~ DnL Para el archivo "Winion0n.exe" que tiene Se ha determinado que es un archivo de virus, busque "Todas las particiones localmente", busque "Todas las particiones localmente" y "Buscar carpetas del sistema y archivos y carpetas ocultos" para encontrar la ubicación oculta de los archivos y eliminarlos. Sin embargo, esto solo elimina el archivo principal del virus, así que verifique sus propiedades y busque nuevamente según la fecha y el tamaño de creación del archivo para encontrar sus cómplices y eliminarlos. Si no está seguro de qué otros archivos son "parientes" del virus, busque información sobre virus en línea para obtener ayuda. /'rj9-ZQ 6. Después de eliminar el virus, asegúrese de limpiar el campo de batalla K "C2 Tf > Aunque el archivo de virus se eliminará reparando manualmente el registro, el virus permanecerá en el registro. Quedan valores de clave basura en el programa, y esta basura debe limpiarse wEtM(sf; L 1. Utilice reg para exportar la copia de seguridad automáticamente. start Dado que hay muchos valores clave en el programa de inicio automático, es necesario buscar virus. No es fácil encontrar estos valores clave manualmente. Aquí usamos el comando reg export + por lotes. Inicie el Bloc de notas e ingrese el siguiente comando: bVDm %1oiB reg export HKLM\software\Microsoft\Windows\CurrentVersion\Run f:\hklmrun.reg O cj>Mlz reg p> reg export HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run f:\hkcu.reg NtIYff4@>9 reg export HKLM\Software \Microsoft\Windows\CurrentVersion \Policies\Explorer\Run f:\hklm.reg ^`$s_E6]O Nota: Esta es solo una lista de varias claves comúnmente utilizadas para realizar copias de seguridad. consulte el método anterior. Es posible que algunos usuarios no tengan los dos últimos elementos de inicio en su registro, lo cual es normal. WtZlEEvSa> Luego guárdelo como ziqidong.bat, ejecútelo en el símbolo del sistema, haga una copia de seguridad de todos los valores de las claves de inicio automático en el archivo de registro correspondiente y luego escriba "^ hy55 V copiar f:\*.reg ziqidong.txt z&?E A e! Este comando completa el trabajo p> La función de este comando es para hacer una copia de seguridad de todo, exporte el archivo de registro a "ziqidong.txt", por lo que si encuentra que el nuevo elemento de inicio del virus es el mismo que el último valor de inicio exportado, use el comando FC presentado anteriormente para comparar los dos archivos txt anteriores. y luego, puede encontrar rápidamente los nuevos elementos de inicio agregados vT t[&78 a 2. Utilice reg eliminar para eliminar el valor de clave de inicio automático recién agregado. Por ejemplo: use el método anterior en. [HKER_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run], se encontró la clave de inicio automático "Inicio de sesión" y su programa de inicio es "c:\windows\winlogon.exe". Ahora ingrese el siguiente comando para eliminar el archivo. Tecla de inicio automático del virus: Ya 55 k u reg eliminar HKLM\ software\Microsssoft\Windows\ CurrentVersion\Run /f CurrentVersion\Run /f M W 2? 3. import para restaurar el registro. reg de-lete es la clave RUN completa. Ahora use el registro respaldado. Ingrese el siguiente comando para restaurar rápidamente el registro: S9%-8 b(OL reg import f:\hklmrun.reg K scu~6YDz Arriba Este artículo presenta varios comandos para escanear y eliminar manualmente el sistema. De hecho, siempre que usemos estos comandos, podemos. Básicamente, escanea y elimina la mayoría de los virus. Por supuesto, debemos hacer un buen trabajo de copia de seguridad r Y{ a ~@ Consejo: Las operaciones anteriores también se pueden completar manualmente en el Editor del Registro, pero en el REG. El comando tiene una ventaja, es decir, incluso si el Editor del Registro está deshabilitado por un virus, aún puede exportar/eliminar/importar a través de los comandos anteriores, y ¡Más rápido! 5 C lI 7. Bundle Trojan star. --FIND x { ~2` m El método de usar comandos del sistema para detectar y eliminar virus generales se presentó anteriormente. Otro comando "FIND" para detectar troyanos empaquetados. Creo que muchos internautas se han encontrado con paquetes de madera. cuchillos Estos "lobos con piel de oveja" a menudo se esconden detrás de imágenes, FLASH e incluso archivos de música. Cuando abrimos estos archivos, aunque en la ventana actual se muestran imágenes (o se reproduce FLASH), el odioso troyano ya se ejecuta silenciosamente en segundo plano. Por ejemplo, recientemente recibí un fondo de pantalla de Supergirl de un amigo en QQ, pero cuando abrí la imagen, descubrí que se había abierto con el "Visor de imágenes y faxes" y la luz indicadora del disco duro había estado parpadeando violentamente. Aparentemente, al abrir la imagen, hay un programa desconocido ejecutándose en segundo plano. Ahora use el comando FIND para detectar si la imagen contiene troyanos, ingrese 8 LUG WeF en el símbolo del sistema FIND /c /I "Este programa "g:\chaonv.jpe.exe pN8H Rf0* FIND /c /I "Este programa "g:\chaonv.jpe.exe pN8H Rf0* Dónde: v#ol$?5U") g:\chaonv.jpe.exe indica el archivo a detectar e-/V k6xYR El comando FIND devuelve "__G:\chaonv.EXE: 2", que indica que "G: \chaonv.jpe.exe" de hecho está incluido con otros archivos, porque el comando FIND detectará: Si es un archivo EXE, el valor de retorno generalmente debería ser "1"; si no es un archivo ejecutable, el valor de retorno generalmente debe ser "0", y se deben anotar otros resultados) Consejo: De hecho, muchos troyanos incluidos utilizarán la "ocultación" predeterminada de Windows "Extensión de archivo de tipo conocido" para confundirnos, como por ejemplo. como "chaonv.jpe.exe" en este ejemplo. Dado que este archivo utiliza el icono de un archivo JPG, esto lleva a esta estafa. Abra "Mi PC" y haga clic en "Herramientas → Opciones de carpeta", haga clic en "Ver" y elimine. Haga clic en el pequeño gancho delante de "Ocultar extensiones de archivos de tipos conocidos" y podrá ver la verdadera cara de "Wolf" tqu >(d*U 8. Resumen "2yDT5 #8 Finalmente, resumamos el proceso de envenenamiento manual: +vW{ .~% Use TSKLIST para hacer una copia de seguridad de la lista de procesos → Use FC para comparar archivos y encontrar el virus → use NETSTAT para determinar el proceso → use FIND para finalizar el proceso → busque el virus y elimínelo → use el comando REG para reparar el registro. De esta manera, se completa todo el proceso desde el descubrimiento del virus, la eliminación del virus y la reparación del registro. proceso de detección manual de virus