玩游戲最怕被下木馬盜賬號,教你簡單另類方法掃毒 首頁新增:完美onlie測木馬教學

momo1212

以下是轉貼1位網友的文章
相信大家都用不少掃毒程式,可是有時又怕掃不干凈!!
這里有個簡單掃毒方法..啊..不是..應該說是測毒方法
大家可以試試!!



這 個 木 馬 程 式 有 些 是 隱 藏 檔 官 方 的 掃 駭 程 式 ,
P C , 鐵 賽 , 諾 頓 , 都 是 掃 不 出 來 的


(1)惡 意 病 毒 ：hookit『 鍵 盤 側 錄 程 式 』

視 窗 左 下 → 按 開 始 → 按 尋 找 → 選 檔 案 或 資 料 夾 → 名 稱 輸 入 hookit
查 詢 那 邊 先 找 C 槽 然 後 d . e . f ( 看 你 有 幾 個 都 要 找 一 次 ),
然 後 按 立 即 搜 尋 讓它 搜 尋 一 下 ， 如 有 找 到 此 檔 ,
代 表 你 的 電 腦 內 有 『 鍵 盤 側 錄 程 式 』

處 理 方 式 ：
對 著 他 點 一 下 ， 然 後 按 一 下 Delete 那 顆 把 它 刪 掉 。



(2)惡 意 程 式 ： smcsvr『 木 馬 程 式 』

視 窗 左 下 → 按 開 始 → 按 尋 找 → 選 檔 案 或 資 料 夾 → 名 稱 輸 入 smcsvr
如 有 找 到 此 檔 則 代 表 您 中 了 『 木 馬 』， 找 到 smcsvr 按 Delete 是 無 法
刪 除 的 ， 因 為 它 會 說 他 正 在 執 行 。

處 理 方 式 ：
開 始 → 執 行 → 輸 入 msconfig → 按 確 定 → 選 擇 最 右 邊 的 『 啟 動 』
→ 把 SMCsvr.exe ( 有 時 候 有 好 幾 個 ) 打 勾 取 消 ( 然 後 先 不 要 按 確 定 或 是 套 用 )
到 視 窗 左 下 → 按 開 始 → 按 尋 找 → 選 檔 案 或 資 料 夾 → 名 稱 輸 入 smcsvr
→然 後 搜 尋 smcsvr 找 到 後 把 它 刪 除 ， 需 重 新 開 機 。



(3) 惡 意 程 式 ： peep

此為木馬程式則用做遠端遙控並可傳遞受感染之電腦內任何檔案資料

用同樣步驟把換成poop再搜尋一次,通常會存放在 c:\winnt\system32目錄之下

處 理 方 式 ：
找 到 的 檔 案 不 在 正 常 目 錄 下 的 都 按 Delete 刪 除 掉 ,
(正 常 之 explorer.exe 是 存 放在 c:\winnt 之 目 錄 之 下),
peep.exe 木 馬 程 式 則 用 做遠 端 遙 控 並 可 傳 遞 受 感 染
之電 腦 內 任 何 檔 案 資 料 。



(4) 惡 意 程 式 ： service

於網路連線後以TCP方式連線至跳版主機之 5 3 port ,一般53port為DNS之用

用 同 樣 步 驟 把 換 成 service 再 搜 尋 一 次 ， 常 之 系 統 檔 為 services.exe ， 存 放 於 c:\winnt\system32 目 錄 之 下 ， 若 電 腦 有 service 或 非 位 於 c:\winnt\system32 目錄 下 ，檔 案 則 可 能 受 到 感 染 。

處 理 方 式 ：
把 不 在 正 常 目 錄 下 的 檔 案 ， 對 著 他 點 一 下 ， 然 後 按 一 下Delete 那 顆 把 它 刪 掉 。



(5)惡 意 程 式 ： iexplore

該 程 式 改 編 自 知 名 偷 密 碼 程 式 之 passwordspy 、 Backdoor.PowerSpider 及
PWSteal.Netsnake ,為 知 名 收 集 密 碼 資 訊 程 式 的 變 種 ,會 蒐 集 受 害 者 所 輸
入 的 帳 號 密 碼 後 以 電 子 郵 件 方 式 傳 送 至 中 國 大 陸 的 某 個 郵 件 主 機

用 同 樣 步 驟 把 換 成 iexplore 再 搜 尋 一 次 ， iexplore.exe 被 置 於 c:\windows\system32 目 錄 中(正 常 位 於 c:\programFiles\InternetExplorer )

處 理 方 式 ：
把 不 在 正 常 目 錄 下 的 檔 案 ， 對 著 他 點 一 下 ， 然 後 按 一 下 Delete 那 顆 把 它 刪 掉 。




<特 別 注 意 >

其 他 異 常 程 式 ：
包 括 exec3.exe 、 r_server.exe 、 hiderun.exe 、gatec.exe 、
gates.exe 、 gatew.exe 、 nc1.exe 、radmin.exe 、 hbulot.exe..等等..

已 知 檔 名 之 惡 意 程 式 ， 另 需 人 工 檢 核 是 否 有 異 常 程 式 ，
如 「 *.bat 」 及 「 *.reg 」 通 常 為 駭 客 入 侵 後 安 裝 惡 意 程 式 使 用 之 檔 案 , 及 pslist.exe 、 pskill.exe 、 pulist.exe 等 p 開 頭 之檔 案『 則 為 駭 客 工 具 檔 案』以 上 檔 案 通 常 存 放 於 c:\winnt\system32 目 錄 之 下 。


希 望 你 們 都 不 要 被 盜 用 ， 花 點 時 間 把 這 些 辛 苦 整 理 出 來 的 資 料 看 完,並 且 確 實 的 操作 ， 如 不 放 心 ， 或 是 操 作 時 候 刪 錯 檔 案 導 致 不 能 開 機 ,請 重 灌 作 業 系 統 ， 並 且 不 要任 意 的 下 載 任 何 不明外 掛 ！


若怕刪錯東西,可以看看檔案的建立時間,一般來說如果是作業系統的檔案,不是木馬的話,

建立時間都是最早的,木馬都是後來塞進來的程式,建立時間必定比較晚


現在，防木馬的方法又多一個

希望玩家們都可以開心的玩遊戲，對XP版的有應該有所幫助










新增:測試完美online game是否有木馬!

[轉帖]

最近不小心，中了一次木馬，我趕緊用各種殺毒軟體殺了殺，殺完毒後，以為安全了，但不久後又被盜了次……於是我知道完美的盜號木馬用現在世面上的各種殺毒軟體是查不出來的，不管你是用卡巴還是瑞星。


但再狡猾的狐狸也會露出尾巴，仔細檢查自己的電腦，我終於還是找到了盜號木馬的痕跡。現在就列出來，供廣大玩家參考和警惕。


要檢查本機中有沒有完美的盜號木馬，很簡單，只要一個步驟：
在安全模式下打開註冊表，搜索：_hook.dll和magkey.dll或mag.exe，如果搜索出magkey.dll或者mag.exe這些註冊項，那麼恭喜你，你中木馬了，趕緊刪了系統重新裝吧。
完美盜號木馬的狡猾，就在於它把盜號程式隱藏成正常的系統滑鼠鍵盤掛鈎程式“mag_hook.dll”。所以殺毒程式檢查不出來。


當然，也有愚蠢一點的盜號者，沒有隱藏的那麼深，那麼對於這種盜號木馬，則更好檢查,
我懶得打字，直接複製網路上一段檢查木馬的文字給大家參考好了：


灰鴿子病毒其特點是“三個隱藏”——隱藏進程、隱藏服務、隱藏病毒檔
灰鴿子的手工檢測


由於灰鴿子攔截了API調用，在正常模式下木馬程式檔和它註冊的服務項均被隱藏，也就是說你即使設置了“顯示所有隱藏檔”也看不到它們。此外，灰鴿子服務端的檔案名也是可以自定義的，這都給手工檢測帶來了一定的困難。


但是，通過仔細觀察我們發現，對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出，無論自定義的伺服器端檔案名是什麼，一般都會在cao作系統的安裝目錄下生成一個以“_hook.dll”結尾的文件。通過這一點，我們可以較為準確手工檢測出灰鴿子木馬。


由於正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的cao作一定要在安全模式下進行。進入安全模式的方法是：啟動電腦，在系統進入Windows啟動畫面前，按下F8鍵，在出現的啟動選項功能表中，選擇“安全模式”。


1、由於灰鴿子的檔本身具有隱藏屬性，因此要設置Windows顯示所有檔。打開“我的電腦”，選擇功能表“工具”—》“檔夾選項”，點擊“查看”，取消“隱藏受保護的cao作系 統檔”前的對勾，並在“隱藏檔和檔夾”項中選擇“顯示所有檔和檔夾”，然後點擊“確定”。

2、打開Windows的“開始——搜索——搜索檔”，檔案名稱輸入“_hook.dll”，搜索位置選擇Windows的安裝盤（默認C:盤）。

3、經過搜索，在Windows目錄下如果發現了一個名為X_Hook.dll（x代表任何單詞字母）的檔，則代表你中了盜號木馬。 因為根據灰鴿子原理分析我們知道，這個_Hook.dll結尾的檔是灰鴿子的檔，同時，它還會在你的電腦中生成X.exe和X.dll文件。同時還有一個用於記錄鍵盤 cao作的XKey.dll文件。（X代表任何單詞字母）

如果在你的機器中找到這些_hook.dll結尾的文件就證明你是中了盜號木馬了。



有找到mag_hook.dll,請看這里,不用擔心!!!

mag_hook.dll (5.1.2600.0)

文件路徑: C:\WINDOWS\system32\mag_hook.dll
檔案版本: 5.1.2600.0
文件大小: 8.00 KB (8,192 位元組)
描述: Microsoft Magnifier hook library file
著作權: &#169; Microsoft Corporation. All rights reserved.

內部名稱:Mag_Hook
公司:Microsoft Corporation
原始檔名:Mag_Hook.dll
產品名稱:Microsoft&#174; Windows&#174; Operating System
產品版本:5.1.2600.0
語言:英文 (美國)
檔案版本:5.1.2600.0 (xpclient.010817-1148)

mag_hook.dll 是本身windows就有的元件
似乎是放大鏡的相關文件吧！

應該是每台電腦都會有的檔案,
一般大小大概是在8.2k左右!

在安全模式中找尋不到 mag.exe 或 magkey.dll

倒是可以放心,此檔並未受到更改,不用太過於緊張!



以后有發現好用的,會立刻更新!


PS:覺得好用就回個貼吧,不想讓好東西沉下去!
PS:覺得好用就回個貼吧,不想讓好東西沉下去!
PS:覺得好用就回個貼吧,不想讓好東西沉下去!
PS:覺得好用就回個貼吧,不想讓好東西沉下去!

[ 本帖最后由 momo1212 于 6-5-2007 09:50 PM 编辑 ]

Jakk

路过，推一推

不知道有没有用。。。但还是非常感谢。。

lsrnniky

可以试下看看。。谢谢分享。。

Ah666

路过看到好也, 顶上去

JackyTJH

哈哈
不用外挂的

帮你推上去

FunUnitCanKit

這個不是巴哈有人POST出來的嗎@_@?

真快就傳到這裡了....嘿嘿!!

mapleluv

頂一頂你了
momo兄~
好帖要頂啊!!

好文章,推一下不让他沉下去.

kahchoon

我來頂了...momo

ECMS

帮顶。。被盗可不好过:@
谢谢楼主的帖

感覺好像很有用，一定要幫忙頂一下

绝世白目男

顶一顶。好帖就是要奉享。

DjTaka

在CC玩的話就難說了
很多被盜玩的都是在CC中招的

momo1212

  謝謝樓上那幾位的支持!!

希望多人幫推一下!!

momo1212

原帖由 DjTaka 于 13-1-2007 02:34 AM 发表
在CC玩的話就難說了
很多被盜玩的都是在CC中招的

如果是在CC玩,就不能這些了,CC電腦都鎖了很多路經!

其實去CC玩,要找可以信得過的,不然的話,很大機會被盜!!

他們可以在電腦里面做手腳!!

[ 本帖最后由 momo1212 于 14-1-2007 03:26 PM 编辑 ]

cra2yl3on9

楼主试过吗？？？有没有效？

momo1212

原帖由 cra2yl3on9 于 14-1-2007 04:07 PM 发表
楼主试过吗？？？有没有效？

我當然試過啊!!

我都不上色情網站,沒亂下載東西,不明email直接刪掉!

所以我電腦完全沒問題,超干凈! 我覺得這個不錯用,就分享給大家~

那些方法都是XP的程式,不用任何戶外的程式就可以測毒了,放心試吧!

題外話:我介紹我朋友用,的確可以掃到不少毒喔~

cra2yl3on9

原帖由 momo1212 于 14-1-2007 04:33 PM 发表



我當然試過啊!!

我都不上色情網站,沒亂下載東西,不明email直接刪掉!

所以我電腦完全沒問題,超干凈! 我覺得這個不錯用,就分享給大家~

那些方法都是XP的程式,不用任何戶外的程式就可 ...

我都不上色情網站,沒亂下載東西,不明email直接刪掉!
我也是。。可是也会中招==

momo1212

原帖由 cra2yl3on9 于 14-1-2007 05:44 PM 发表


我都不上色情網站,沒亂下載東西,不明email直接刪掉!
我也是。。可是也会中招==

可能是網站羅....

exp:討論區/網站被下木馬/被hack,你有上他網站就中招!
    網站owner應該是知道的,如果太久沒處理的話...
    =.= 很可能是他自己下木馬害人了~
    我之前在大陸官方下載游戲程式
    安裝時出現木馬...暈到.... 他網站就是被hack了!!


    下載東西很寬大,這個很難說,有些人刻意放好東西給你們下載,
    其實他里面已經下了木馬~

   
    可能你家人/男女朋友/朋友 用你電腦上網而中了你自己也不知道!


    再來就是免費外掛,這個很多人貪心中了木馬!!
    你只要下載他們外掛,用過一次,你的電腦可以"打包了"


其實...中不中木馬..真的很難預防!

現在網路很多都不安全~ 每天都有一堆新病毒的出現!

我現在每天都會掃一次毒,雖然是很麻煩,可是我電腦用了幾年沒出事!

[ 本帖最后由 momo1212 于 14-1-2007 06:24 PM 编辑 ]