在使用腾讯QQ的过程中, QQ自动关闭。到腾讯官方网站下载最新版安装使用,启动QQ,问题依然出现,网络防火墙提示出现NTdhcp.exe访问网络的警告。无法启动杀毒软件进行杀毒。www.sq120.com推荐文章
获知盗贼“面目”
根据电脑症状,感觉应该是中了黑客的QQ盗号木马。本想启动杀毒软件将木马程序清除掉,哪知道并没我想象的那么简单。不但杀毒软件不能启动,连杀毒软件网站都不能访问。这木马还真嚣张!
不过俗话说得好,“知己知彼,百战百胜”,我先查清大盗的底细,再慢慢对付这个木马。我根据网上扫黑高手的经验,首先查看系统端口和进程,发现一个名为“NTdhcp.exe”的可疑进程,该进程在任务管理器的“用户名”项目上显示的是我所登录用户的名称,可是我又没启动这样的服务呀。
难道搞怪的就是它?于是上网查询“NTdhcp.exe ”进程信息,得知中的原来是啊啦QQ大盗,哈哈,原来是你!看你还嚣张!
将大盗扫地出门
通常木马病毒程序都会在注册表的启动项中加入木马的键值,以便每次系统启动时都能运行木马。啊啦QQ大盗应该也是这样的工作原理。于是启动“开始”菜单打开“运行”对话框,输入“regedit”命令,打开注册表编辑器进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current version\Run,发现啊啦QQ大盗的加载项安静地躺在那里。WWw.itCoMpUtER.cOm.cn
通过注册表的该项键值,我发现啊啦QQ大盗加载的位置是C:\WINDOWS\system32下的NTdhcp.exe,这不正是啊啦QQ大盗的进程吗?我先结束木马的进程“NTdhcp.exe”,再将该键值和C:\WINDOWS\system32目录下的NTdhcp.exe木马原程序删除掉。重启电脑之后,一切又恢复了以往的“平静”。
小贴士:有的木马病毒会把程序隐藏,我们删除时就需要打开资源管理器中的“文件夹选项”,选择其中的“查看”标签,将其中“隐藏受保护的操作系统文件”选项前面的钩去掉。
在利益的驱使下,很多黑客都专门盗取QQ号,所以我们要加强对于类似事件的防范,对于此类事件我们可以通过采用带注册表监视功能的杀毒软件或者安装一个注册表监视软件,这样木马程序在加载启动时我们就可以马上将它清除掉。也可以去腾讯官方下载专杀工具进行查杀。
对于啊啦QQ大盗,我们还可以通过下载一个啊啦QQ大盗的配置程序,运行后点击“卸载程序”即可将木马完全清除掉!
如何清除WINLOGON.EXE木马
一天笔者在网上下载了一部RM电影,电影放到三分之一时,忽然弹出一个IE窗口,赶忙关掉IE,但还是听到硬盘一阵咔咔声。笔者心中疑惑,赶忙调出任务管理器看看,果然中招了,多了一个可疑进程:WINLOGON.EXE(注意是大写)。同时它所在位置也不对,在Windows安装目录,而系统的winlogon.exe全部是小写,并且在Windows目录下的System32目录中,看来是中了木马无疑了。www.sq120.com推荐文章
第一步:结束进程
要去除木马,首先要中止这个木马进程,直接用任务管理器中止不了。那就来个更狠的进程管理器——prockiller(下载地址:http://soft.zddd.com/soft/1776.htm)。打开prockiller,选中WINLOGON.EXE,然后选择“删除文件”。此操作会将木马进程直接中止并删除硬盘上的WINLOGON.EXE文件。
第二步:恢复关联
木马往往会修改很多的系统设置,比如EXE文件关联之类,以便在进程被中止后也可以通过其他的Windows操作来恢复木马本身。让我们来看看这个木马有没有动什么设置。使用SRE2.0(System Repair Engineer)(下载地址:http://down1.tech.sina.com.cn/download/download/14207.shtml),果然提示EXE文件找不到,显然EXE文件关联被改了,把主程序后缀名*.exe改成*.com即可运行SRE了。
选择启动项目时程序就警告:注册表值shell被修改了,同时多了两个启动项来启动木马程序。去掉木马启动项,并且去掉shell设置中explorer.exe后面的1。看来这个1是一个1.exe或者1.com(后面的杀毒结果证实了我的猜测)。然后选择自动修复以便修复EXE关联。SRE不仅可以修复启动项,对一些诸如IE主页被锁定等“病症”也可以药到病除。只要选择自动修复即可还你一个“干净”的设置。
第三步:清除木马
最后用杀毒软件进行杀毒,因为已经将所有的关联和启动项已经修复,木马很容易就可以被删除掉,重启后,系统终于干净了。
如何设置Windows密码的最小长度 现在很多入侵者都是通过破解系统管理员的弱口令进行入侵。其实我们可以通过在系统中设置强制密码长度,增加密码的强壮性。
方法一:单击“开始→运行”,在打开的输入框中输入“Regedit”后回车,打开注册表编辑器,展开[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network]键值,在右边新建一个名为“MinPwdLen”的DWORD值,然后双击“MinPwdLen”键值,在出现的对话框中的“键值”框内输入数字,这个数字就是设置的最小的密码长度(必须大于等于0、小于等于8)。
方法二:依次进入“开始→控制面板→管理工具→本地安全策略→账户策略→密码策略→密码长度最小值”,在弹出的对话框中,将最小数值填进去即可。
Windows XP的一道防线——启动密钥程序
为了限制别人打开自己的电脑,给电脑设置CMOS密码是一个不错的办法,可是这样却防不住已经打开的计算机,试一试Windows XP(其实在Windows 2000时就有了)带来的防线——启动密钥程序(Syskey.exe),在系统启动前加载运行。
第一步:单击“开始→运行”,在打开的“运行”对话框中输入“Syskey”,回车后弹出“保护Windows XP账户数据库的安全”对话框;
第二步:确定选中“启用加密”项,然后单击右下角的“更新”按钮,弹出“启动密码”对话框。在默认情况下,“系统产生的密码”组的“在本机上保存启动密码”项是选中的;
第三步:下面输入密码,单击“启动密码”项,并输入自定义的密码。单击“确定”按钮后弹出“账户数据库的开始密码已经更改”,关闭确认对话框。这样以后每次打开电脑就必须输入正确密码才能出现选择用户的登录窗口。
小提示
如果选择“在软盘上保存启动密码”的话,那么每次开机后,就必须先将启动密码软盘插入软驱,否则你的Windows XP是无论如何也登录不上的。
From:http://www.itcomputer.com.cn/Article/Network/201309/946.html