win7系統之后,微軟公司很大力度的增強了系統的安全性。但是還是很難避免源源不斷的新型病毒�����。雖說現在電腦中毒的幾率小了�,但是還是存在一定的隱患。如果電腦中病毒了,我們應該需要怎么做呢�����?下面小編就分享下一些小技巧���!
具體步驟如下:
第一:關閉運用程序阻止病毒運行
在電腦感染木馬病毒后���,病毒會依附windows正在運行的程序�。由于Windows保護正在運行的程序,所以殺毒軟件是無法殺掉正在運行的病毒。即使是真的殺掉了病毒���,電腦正常關機時內存中活動的病毒還會再復制一個病毒到硬盤上。
這個時候我們需要重啟后進入安全模式(啟動菜單鍵一般為F8),然后關閉正在運行的程序軟件���!
注意:殺進程的操作有時得進行兩次才成功。有的病毒有兩個進程,互相保護�,殺掉一個則會被另一個發現并恢復���。此時應先把該病毒在注冊表中的啟動項去掉���,然后用突然斷電的方式重啟電腦�����,再殺毒 �。
第二:利用任務管理器結束病毒依附的進程
電腦中了頑固病毒��,病毒隱藏在系統還原的文件夾“_restore”中。使用任務管理器(Ctrl+Alt+Del三鍵齊按)來查看當前所有的進程,來歷不明的就停止掉�,該過程俗稱“殺進程”��。殺進程時候需要注意審核,不要遺漏!
第三:使用殺毒軟件進行查殺(卡巴斯基、360安全衛士���、電腦管家等等)
在結束進程后���,我們運行電腦的殺毒軟件進行掃描查殺�����!
卡巴斯基是小編認為最好的殺毒軟件,有付費和免費版,沒有捆綁的全家桶。擁有著世界上最尖端科技的殺毒軟件,如果你討厭國內的全家桶�,可以嘗試使用卡巴斯基�����!
第四:查殺病毒后修復注冊表
在電腦查殺病毒后,我們可以使用第三方工具修復注冊表����。也可以在電腦上運行CMD命令����,打開命令行窗口�����,通過copy命令將 C:windows/system32/config/RegBack目錄下的所有文件都拷貝到C:windows/system32/config目錄下,然后重啟電腦����!
注:為了方便,建議大家使用注冊表檢測修復工具修復�!
一般在電腦中病毒后完成以上操作即可�����!如果小伙伴們需要深度維護或者重裝系統����,可以使用云騎士裝機大師�。云騎士PE系統有著豐富的維護工具,重裝系統簡易�。希望可以幫助到大家��!
相關推薦:
Win7比win10好用�?沒道理����,給你看看win10的強項����!
Win10一些鮮為人知卻實用的Win鍵快捷功能��,你知道幾個?
淺談Windows10系統“重置”和“回退”功能的區別
概述
2018年12月14日�,國內Windows平臺下免費驅動管理軟件“驅動人生”通過軟件自動升級的方式向用戶推送了后門病毒DTSealer,該程序利用“永恒之藍”高危漏洞進行局域網內的大范圍傳播��,同時回傳被感染用戶電腦CPU以及IP地址等具體信息到攻擊服務器�,之后下載惡意代碼進行執行。此次感染面積巨大�����,半天時間內已有數萬用戶電腦受到感染�。此次木馬傳播事件的發生���,是由于該軟件的某些老版本升級組件代碼漏洞被惡意攻擊所造成��。
病毒詳情
?病毒執行流程:
“驅動人生”升級推送程序會通過網址鏈接將惡意程序下載到本地進行執行�,然后釋放自身到System32系統目錄下并生成32位母體程序svhost.exe�,同時將自身注冊為系統服務執行后續的相關任務���。在svhost.exe(32位)執行過程中會上傳用戶電腦配置信息�����,并且下載惡意程序eb.exez��。在執行完成后釋放出64位變體程序svhhost.exe,其將作為代理程序釋放出svvhost.exe攻擊模塊,該攻擊模塊會執行掃描局域網操作�,然后利用windows下高危漏洞“永恒之藍”傳播32位母體svhost.exe�,擴大感染面積��。具體流程如下圖所示:
整體執行流程
?相關模塊具體分析:svhost.exe(32位與64位版)
1)注冊自身為Ddriver服務:
注冊服務名
2)獲取系統產品號以及顯卡等信息:
獲取顯卡信息
3) 查看安全軟件信息��,從下圖可以看出主流安全軟件都羅列在內����。
獲取安全軟件信息
4) 將獲取到的用戶電腦信息作為請求參數獲得shellcode指令執行����。從請求URL可以看出之前獲取到用戶名稱以及CPU,UUID等相關信息���。
獲取shellcode
5) 從服務器hxxp://dl.haqo.net/獲取加密的惡意代碼eb.exez(svvhost.exe母體)進行執行�����。
下載svvhost.exe
?相關模塊具體分析:svvhost.exe
快速枚舉局域網中主機的445端口�,使用永恒之藍漏洞進行攻擊����,運行界面會回顯出當前局域網主機版本以及是否打過補丁���。攻擊成功后下載svhost副本����,增加受感染主機數量。
枚舉局域網中的445端口
安全解決方案
迪普科技安全研究院提醒廣大用戶:對于已經感染主機����,建議盡快對感染主機進行斷網隔離��,可以通過查看系統目錄
C:\Windows\SysWOW64(system32)下是否存在svhost.exe\svhhost.exe文件,以及查找“Ddriver”服務定位刪除惡意文件���。
此外�����,可參考如下建議提高防御能力:
1����、服務器使用高強度密碼,切勿使用弱口令����,防止黑客暴力破解;
2����、服務器暫時關閉不必要的端口(如135、139����、445);
3�����、盡量關閉不必要的文件共享;
4���、及時升級系統補丁��。
迪普科技解決方案
迪普科技安全研究院監測到“驅動人生”木馬病毒爆發后��,迅速采取了應急措施。
1、目前DPtech IPS2000�����、FW1000可對“驅動人生”所傳播病毒可以進行有效防護����,對應特征庫版本號如下:
◆產品系列:
IPS2000��,FW1000
◆病毒庫版本:AV-R1.4.466
2��、使用DPtech慧眼安全檢測產品資產盤點功能����,快速識別出現網開啟高危端口的資產;使用安全漏洞檢測功能識別出易被病毒感染的高危風險資產����,并根據相應的修復建議進行安全加固����。
3�、在接入層部署DPtech LSW3600-SE系列自安全交換機��,可使網絡接入主動識別木馬�����、蠕蟲等病毒傳播行為并實時處置,天然防止病毒傳播;可視化定位病毒傳播源�,幫助管理員快速處理內網威脅�����。
4、迪普科技官網特征庫下載地址:
http://www.dptech.com/down.php?3
聯系我們
迪普科技正在全力跟蹤相關漏洞的最新進展,請啟動設備自動更新特征庫功能��,有疑問的客戶也可聯系迪普科技當地辦事處售后人員或撥打客戶服務熱線電話:400-6100-598�����,進一步了解相關情況。
