黑客24小时在线接单网站

黑客24小时在线接单网站,黑客接单,接单网站,黑客入口

这样当木马病毒专家(木马病毒杀毒)

本文导读目录:

电脑中了木马病毒 求专家解决

安装好系统以后,先更新安全软件并扫描,之后再通过双击的方式浏览磁盘和文件,这样好一些,因为你的盘里原来就有毒的。

当你双击磁盘和文件夹图标的时候,有些病毒或恶意程序会被激活,从而导致不能显示隐藏文件等问题。

什么是木马病毒?

什么是木马- -

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出,捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等

从对基本的地方了解木马

端口

你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑。

黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,你可以利用软件--

如何发现自己电脑中的木马

再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中了netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:\WINDOWS\WINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 http://10.10.10.10:7306/,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要--

进一步查找木马

曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口。

前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首先找个端口扫描器,推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。 排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。

扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了,我汉化了一个线程监视器,Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得--

在硬盘上删除木马

最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。

下面就netbus木马为例讲讲删除的经过。

简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,笔者倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。笔者在自己的电脑中做了这样一个实验,将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。

有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:\WINDOWS\DRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。

好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中。

你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。排除了木马以后,你就可以监视端口--

悄悄等待黑客的来临

介绍两个软件,首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么。

病毒木马

services.exe - services - 进程介绍

进程文件: services or services.exe

进程名称: Windows Service Controller

进程类别:其他进程

英文描述:

services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin

中文参考:

services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%\system32\ 目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。

出品者:Microsoft Corp.

属于:Microsoft Windows Operating System

系统进程:Yes

后台程序:Yes

网络相关:No

常见错误:N/A

内存使用:N/A

安全等级 (0-5): 0

间谍软件:No

广告软件:No

病毒:No

木马:No

这个后门还不错,也有点BT吧,共产生14个文件+3个快捷图标+2个文件夹。注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。即为中毒后,任意一个EXE文件的属性,“应用程序”变成“EXE文件”

当然,清除的方法也很简单,不过需要注意步骤:

一、注册表:先使用注册表修复工具,或者直接使用regedit修正以下部分

1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)

shell = Explorer.exe 1 修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的

Torjan Program----------C:\WINNT\services.exe删除

3. HKEY_Classes_root\.exe

默认值 winfiles 改为exefile

4.删除以下两个键值:

HKEY_Classes_root\winfiles

HKEY_Local_machine\software\classes\winfiles

5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的 “rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”

7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”

8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”

9. 删除病毒添加的文件关联信息和启动项:

[HKEY_CLASSES_ROOT\winfiles]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe 1"

改为

"Shell"="Explorer.exe"

10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:

HKEY_CLASSES_ROOT\MSWinsock.Winsock

HKEY_CLASSES_ROOT\MSWinsock.Winsock.1

HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒

二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件

c:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)

%programfiles%\common files\iexplore.pif

%programfiles%\Internat explorer\iexplore.com

%windir%\1.com

%windir%\exeroute.exe

%windir%\explorer.com

%windir%\finder.com

%windir%\mswinsck.ocx

%windir%\services.exe

%windir%\system32\command.pif

%windir%\system32\dxdiag.com

%windir%\system32\finder.com

%windir%\system32\msconfig.com

%windir%\system32\regedit.com

%windir%\system32\rundll32.com

删除以下文件夹:

%windir%\debug

%windir%\system32\NtmsData

一、病毒评估

1. 病毒中文名: SCO炸弹变种N

2. 病毒英文名: Worm.Novarg.N

3. 病毒别名: Worm.Mydoom.m

4. 病毒大小: 28832字节

5. 病毒类型: 蠕虫病毒

6. 病毒危险等级: ★★★★

7. 病毒传播途径: 邮件

8. 病毒依赖系统: Windows 9X/NT/2000/XP

二、病毒的破坏

1. 通过电子邮件传播的蠕虫病毒,感染之后,它会先在用户本地机器上搜索电子邮件地址,向其发送病毒邮件;

2. 利用在本机上搜索到的邮件地址的后缀当关键词,在Google、Yahoo等四个搜索引擎上搜索相关的email地址,发送病毒邮件传播自身。

3. 大量发送的搜索请求使这四个搜索引擎的运行速度明显变慢。

4. 感染了此病毒的机器,IE浏览器、OE软件和Outlook软件都不能正常使用。

5. 病毒大量向外发送病毒邮件,严重消耗网络资源,可能造成局域网堵塞。

三、技术分析

1. 蠕虫病毒,采用Upx压缩。运行后,将自己复制到%WINDOWS%目录下,文件名为:java.exe。释放一个后门病毒在同一目录中,文件名为:services.exe。

2. 在注册表启动项“\CurrentVersion\Run”下加入这两个文件的启动键值:JavaVM和Service,实现病毒的开机自启动。

3. 强行关闭IE浏览器、OE软件和Outlook软件,使其不能正常使用。

4.在本地机器上搜索电子邮件地址:从注册表中读取当前系统当前使用的wab文件名,并在其中搜索email地址;搜索internet临时目录(Local Settings\Temporary Internet Files)中的文件,从中提取电子邮件地址;遍历盘符从C:盘到Z:的所有硬盘,并尝试从以下扩展名文件中提取email地址:.adb ,.asp ,.dbx ,.htm ,.php ,.pl ,.sht ,.tbb ,.txt ,.wab。

5. 当病毒搜索到email地址以后,病毒以“mailto +%本地系统搜出的邮件地址%”、“reply+%本地系统搜出的邮件地址%”、 “{|contact+| |e| |-| |mail}+%本地系统搜出的邮件地址%”为关键字,利用以下四种搜索引擎进行email地址邮件搜索:search.lycos.com、 search.yahoo.com、www.altavista.com、www.google.com,利用这种手段,病毒能够搜索到非常多的可用邮件 地址。

6. 病毒邮件的附件名称为:readme ,instruction ,transcript ,mail ,letter ,file ,text ,attachment等,病毒附件扩展名为:cmd ,bat ,com ,exe ,pif ,scr ,zip。

四、病毒解决方案:

1. 进行升级

瑞星公司将于当天进行紧急升级,升级后的软件版本号为16.37.10,该版本的瑞星杀毒软件可以彻底查杀“SCO炸弹变种N”病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站( http://www.rising.com.cn/ )下载升级包进行升级,或者使用瑞星杀毒软件的智能升级功能。

2. 使用专杀工具

鉴于该病毒的特性,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具,用户可以到: http://it.rising.com.cn/service/technology/tool.htm 网址免费下载使用。

3. 使用在线杀毒和下载版

用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品是通过手机付费使用的,用户可以登陆 http://online.rising.com.cn/ 使用在线杀毒产品,或者登陆 http://go.rising.com.cn/ 使用下载版产品。

4. 打电话求救

如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800来寻求反病毒专家的帮助!

5. 手动清除

(1)结束系统中进程名为:Services.exe和java.exe(在%windows%目录中)

(2)删除系统临时目录中的两个病毒数据文件:MLITGB.LOG和ZINCITE.LOG

(3)删除病毒键立的注册表键:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

“JavaVM”=%WINDOWS%\java.exe

和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

“Services”=%WINDOWS%\Services.exe

注: %WINDOWS% 是指系统的windows目录,在Windows 9X/ME/XP下默认为:

C:\WINDOWS,Win2K下默认为:C:\WINNT

注: %WINDIR%指的是Windows系统的安装目录,在Windows 95/98/ME/XP操作系统下默认为:C:\WINDOWS目录,在WINDOWS2000操作系统下默认为:C:\WINNT目录。

五、安全建议:

1. 建立良好的安全习惯。 例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。

2. 关闭或删除系统中不需要的服务。 默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。

3. 经常升级安全补丁。 据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象蠕虫王、冲击波、震荡波等,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。

4. 使用复杂的密码。 有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。

5. 迅速隔离受感染的计算机。 当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。

6. 了解一些病毒知识。 这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。

7. 最好安装专业的杀毒软件进行全面监控。 在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等、遇到问题要上报, 这样才能真正保障计算机的安全。

8. 用户还应该安装个人防火墙软件进行防黑。 由于网络的发展,用户电脑面临的黑客攻击问题也越来越严重,许多网络病毒都采用了黑客的方法来攻击用户电脑,因此,用户还应该安装个人防火墙软件,将安全级别设为中、高,这样才能有效地防止网络上的黑客攻击。

木马病毒 专家进来解析一下

这不是木马,这是3721这个流氓软件的组件。用这个软件到安全模式下去清理一次:

流氓软件清理助手

下载地址:http://www.skycn.com/soft/24058.html

PS:下载解压缩后,先升级下它的病毒定义库。

求救木马病毒专家!!!!!

1.Acid Battery

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Explorer ="C:\WINDOWS\expiorer.exe"

关闭Regedit

重新启动到MSDOS方式

删除c:\windows\expiorer.exe木马程序

注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。

重新启动。

2.Acid Shiver

重新启动到MSDOS方式

删除C:\windows\MSGSVR16.EXE

然后回到Windows系统

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"

关闭Regedit

重新启动。

3.Ambush

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的zka = "zcn32.exe"

关闭Regedit

重新启动到MSDOS方式

删除C:\Windows\ zcn32.exe

重新启动。

4.AOL Trojan

启动到MSDOS方式

删除C:\ command.exe(删除前取消文件的隐含属性)

注意:不要删除真的command.com文件。

删除C:\ americ~1.0\buddyl~1.exe(删除前取消文件的隐含属性)

删除C:\ windows\system\norton~1\regist~1.exe(删除前取消文件的隐含属性)

打开WIN.INI文件

在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径,必须清除它们:

run=

load=

保存WIN.INI

还要改正注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的WinProfile = c:\command.exe

关闭Regedit,重新启动Windows。

5.Asylum

注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。

我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。

打开system.ini文件

在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe

如果不是"explorer.exe",那么那个文件就是木马程序,把它查找出来,删除。

保存退出system.ini

打开win.ini文件

在[WINDOWS]下面有个run=

如果你看到=后面有路径文件名,必须把它删除。

正确的应该是run=后面什么也没有。

=后面的路径文件名就是木马,把它查找出来,删除。

保存退出win.ini。

6.AttackFTP

打开win.ini文件

在[WINDOWS]下面有load=wscan.exe

删除wscan.exe ,正确是load=

保存退出win.ini。

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Reminder="wscan.exe /s"

关闭Regedit,重新启动到MSDOS系统中

删除C:\windows\system\ wscan.exe

7.Back Construction

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的"C:\WINDOWS\Cmctl32.exe"

关闭Regedit,重新启动到MSDOS系统中

删除C:\WINDOWS\Cmctl32.exe

8.BackDoor

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的'c:\windows\notpa.exe /o=yes'

关闭Regedit,重新启动到MSDOS系统中

删除c:\windows\notpa.exe

注意:不要删除真正的notepad.exe笔记本程序

9.BF Evolution

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的(Default)=" "

关闭Regedit,再次重新启动计算机。

将C:\windows\system\ .exe(空格exe文件)

10.BioNet

0.8X版本是运行在Win95/98

0.9X以上版本有运行在Win95/98 和WinNT上两个软件

客户-服务器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑NT被感染的系统完全一样。

清除木马的步骤:

首先准备一张98的启动盘,用它启动后,进入c:\windows目录下,用attrib libupd~1.exe -h

命令让木马程序可见,然后删除它。

抽出软盘后重新启动,进入98下,在注册表里找到:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

的子键WinLibUpdate = "c:\windows\libupdate.exe -hide"

将此子键删除。

11.Bla

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Systemdoor = "C:\WINDOWS\System\mprdll.exe"

关闭Regedit,重新启动计算机。

查找到C:\WINDOWS\System\mprdll.exe和

C:\WINDOWS\system\rundll.exe

注意:不要删除C:\WINDOWS\RUNDLL.EXE正确文件。

并删除两个文件。

12.BladeRunner

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

可以找到System-Tray = "c:\something\something.exe"

右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。

重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。

13.Bobo

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的DirrectLibrarySupport ="C:\WINDOWS\SYSTEM\Dllclient.exe"

关闭Regedit,重新启动计算机。

DEL C:\Windows\System\Dllclient.exe

14.BrainSpy

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

右边有 ??? = "C:\WINDOWS\system\BRAINSPY .exe"

???标签选是随意改变的。

关闭Regedit,重新启动计算机

查找删除C:\WINDOWS\system\BRAINSPY .exe

15.Cain and Abel

进入MS-DOS方式

查找到C:\windows\msabel32.exe

并删除它

16.Canasson

打开WIN.INI文件

查找c:\msie5.exe,删除全部主键

保存win.ini

重新启动计算机

删除c:\msie5.exe木马文件

17.Chupachbra

打开WIN.INI文件

[Windows]的下面有两个行

run=winprot.exe

load=winprot.exe

删除winprot.exe

run=

load=

保存Win.ini,再打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的'System Protect' = winprot.exe

重新启动Windows

查找到C:\windows\system\ winprot.exe,并删除。

18.Coma

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的'RunTime' = C:\windows\msgsrv36.exe

重新启动Windows

查找到C:\windows\ msgsrv36.exe,并删除。

19.Control

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的Load MSchv Drv = C:\windows\system\MSchv.exe

保存Regedit,重新启动Windows

查找到C:\windows\system\MSchv.exe,并删除。

20.Dark Shadow

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\RunServices

删除右边的winfunctions="winfunctions.exe"

保存Regedit,重新启动Windows

查找到C:\windows\system\ winfunctions.exe,并删除。

21.DeepThroat

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

版本1.0

删除右边的项目'System32'=c:\windows\system32.exe

版本2.0-3.1

删除右边的项目'SystemTray' = 'Systray.exe'

保存Regedit,重新启动Windows

版本1.0删除c:\windows\system32.exe

版本2.0-3.1

删除c:\windows\system\systray.exe

22.Delta Source

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的项目:DS admin tool = C:\TEMPSERVER.exe

保存Regedit,重新启动Windows

查找到C:\TEMPSERVER.exe,并删除它。

23.Der Spaeher

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run

删除右边的项目:explore = "c:\windows\system\dkbdll.exe "

保存Regedit,重新启动Windows

删除c:\windows\system\dkbdll.exe木马文件。

24.Doly

这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到Win.ini项目。

首先,进入MS-DOS方式,删除三个木马程序,但V1.35版本多一个木马文件mdm.exe。

把下列各项全部删除:

C:\WINDOWS\SYSTEM\tesk.sys

C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe

c:\Program Files\MStesk.exe

c:\Program Files\Mdm.exe

重新启动Windows。

接着,打开win.ini文件

找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目,删除路径,改变为load=

保存win.ini文件。

最后,修改注册表Regedit

找到以下两个项目并删除它们

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Ms tesk = "C:\Program Files\MStesk.exe"

HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run

Ms tesk = "C:\Program Files\MStesk.exe"

再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss

这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。

关闭保存Regedit。

还有打开C:\AUTOEXEC.BAT文件,删除

@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Items\

del c:\win.reg

关闭保存autoexec.bat。

25.Donald Dick

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\VxD\VMLDIR\

删除右边的项目:StaticVxD = "vmldir.vxd"

关闭保存Regedit,重新启动Windows

删除C:\WINDOWS\System\vmldir.vxd

26.Drat

开注册表Regedit

点击目录至:hkey_classes_root\exefile\shell\open\command

找到@=SHELL32 \"%1\" %*把它更改为@="%1" %*

关闭保存Regedit,重新启动Windows。

查找c:\windows\下shell32.*文件,并删除它。

27.Eclipse 2000

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:bybt = "c:\windows\system\eclipse2000.exe"

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\

删除右边的项目:cksys = "c:\windows\system\ could be anything .exe"

关闭保存Regedit,重新启动Windows

查找到eclipse2000.exe木马文件,并删除

28.Eclypse

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:Rnaapp ="C:\WINDOWS\SYSTEM\rmaapp.exe"

关闭保存Regedit,重新启动Windows

删除C:\WINDOWS\SYSTEM\rmaapp.exe

注意:不要删除Rnaapp.exe

29.Executer

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

在右边的项目查找到"C:\windows\sexec.exe",并删除。

关闭保存Regedit,重新启动Windows

相应删除木马程序文件。

30.FakeFTP beta

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:Rundll32 = rundll3.tww /h

关闭保存Regedit,重新启动Windows

找到C:\windows\文件夹下的三个文件并删除它们

rundll3.bat - 9x.reg - nt.reg

31.Forced Entry

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:MicrosoftRegistration32 = "C:\somepath \trojanhrs.exe"

关闭保存Regedit,重新启动Windows

由于路径容易改变,只要查找到trojanhrs.exe,并删除它。

32.GateCrasher

清除木马v1.0:

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:Explore='c:\windows\explore.exe'

关闭保存Regedit,重新启动Windows

然后,删除相应的木马程序。

33.Girlfriend

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:Windll.exe ="C:\windows\windll.exe"

Regedit里也保存着服务器的数据

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\General

删除General项目标题

关闭保存Regedit,重新启动Windows

然后,找到相应的木马程序,并删除。

34.Golden Retreiver

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:Task Manager="c:\mstask.exe"

关闭保存Regedit,重新启动Windows

然后,找到相应的木马程序,并删除。

35.Hack'a'Tack

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:Explorer32 ="C:\windows\Expl32.exe"

关闭保存Regedit,重新启动Windows

然后,找到相应的木马程序,并删除。

36.Hack99 KeyLogger

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:HKeyLog = "C:\Windows\System\HKeyLog.exe"

关闭保存Regedit,重新启动Windows

删除C:\Windows\System\HKeyLog.exe

37.HostControl

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:RegClean = "c:\windows\inf\regcle32.exe"

关闭保存Regedit,重新启动Windows

删除c:\windows\inf\regcle32.exe

38.Hvl Rat

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:Explorer = "C:\WINDOWS\system\MSGSVR16.EXE"

关闭保存Regedit,重新启动Windows

删除C:\WINDOWS\system\MSGSVR16.EXE

39.ik97

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:ik = 'c:\progra~1\ik\ik.exe'

关闭保存Regedit,重新启动Windows

删除C:\Program Files\ik\ik.exe

40.InCommand

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

找到右边的项目:AdvancedSettings = *

注意:*表示就是木马的存放路径与文件名,记下后删除此键。

关闭保存Regedit,重新启动Windows

按照刚才记下的木马路径与文件名删除木马程序。

41.IndocTrination

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce\

每项标题都包括Msgsrv16 ="Msgsrv16"项目

删除每个项目

关闭保存Regedit,重新启动Windows

删除C:\windows\system\msgserv16.exe

42.inet

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:Explorer = "C:\WINDOWS\system\inet.exe"

关闭保存Regedit,重新启动Windows

删除"C:\WINDOWS\system\inet.exe"

删除"C:\WINDOWS\system\inet.dll"

43.Infector

打开system.ini文件

找到shell=explorer.exe c:\path\to\trojan.exe项目

改为:shell=explorer.exe

保存关闭system.ini文件,重新启动Windows

删除c:\path\to\trojan.exe

44.iniKiller

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:Explore="C:\windows\bad.exe "

关闭保存Regedit,重新启动Windows

删除C:\windows\bad.exe

45.Intruder

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:PPModule1 = 'ppmod1.sys'

关闭保存Regedit,重新启动Windows

删除C:\windows\system\ ppmod1.sys

删除C:\windows\system\ ppmod2.sys

46.IPC3

打开win.ini文件

找到load=closew项目,更改为:load=

保存关闭win.ini,重新启动Windows

查找这两个文件'rundlls.exe' 、'closew.bat'

并删除它们。

47.Kaos

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:Sys="c:\windows\shell32.exe"

关闭保存Regedit,重新启动Windows

删除c:\windows\shell32.exe

48.Khe Sanh

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:TBoot0001="c:\windows\system\trjp.exe"

关闭保存Regedit,重新启动Windows

删除c:\windows\system\trjp.exe

49.Kuang logger

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:K2logas.task ="C:\WINDOWS\SYSTEM\K2logas.exe"

关闭保存Regedit,重新启动Windows

删除C:\WINDOWS\SYSTEM\K2logas.exe

50.Kuang Original

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:Temp$1.task = "c:\windows\system\temp$1.exe"

清除木马v 0.20-0.21版本:

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:K2PS.task = "c:\windows\system\k2ps.exe"

清除木马v 0.30-0.34版本:

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:K2PS_full.task = "c:\windows\system\k2ps_full.exe"

关闭保存Regedit,重新启动Windows

查找相对应的木马程序,并删除。

51.Logger

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:??? = "C:\windows\system\logged.exe"

关闭保存Regedit,重新启动Windows

删除C:\WINDOWS\SYSTEM\ logged.exe

52.Magic Horse

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:SpoolerService="c:\windows\spoolsrv.exe"

关闭保存Regedit,重新启动Windows

删除c:\windows\spoolsrv.exe

53.Malicious

打开注册表Regedit

点击目录至:

HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Policies\

删除右边的五个项目:DisableRegistryTools NoRun NoFind NoDesktop NoClose

关闭保存Regedit,重新启动Windows

54.Masters Paradise

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:SYSEDIT = c:\windows\ sysedit.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

删除右边的项目:Explorer = c:\......\agent.exe

关闭保存Regedit,重新启动Windows

查找到木马程序,并删除它们。

注意:c:\windows\system\下面的sysedit.exe文件是不是19KB,如果不是说明以被木马感染,删除它。

55.Matrix

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:??? ="C:\WINDOWS\Wincfg.exe"

关闭保存Regedit,重新启动Windows

删除C:\WINDOWS\Wincfg.exe

56.MBK

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

查找并删除右边的项目:Explorer =" "后面是"mbt.exe"

关闭保存Regedit,重新启动Windows

查找mbt.exe并删除。

57.Millenium

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:Millenium = "C:\windows\system\reg66.exe "

关闭保存Regedit,重新启动Windows

删除C:\windows\system\reg66.exe

58.Mine

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目: Windows = 'c:\msdos98.exe'

关闭保存Regedit,重新启动Windows

删除c:\msdos98.exe

打开win.ini文件

查找到run=c:\windows\uninstallms.exe

更改为:run=

关闭保存win.ini,重新启动Windows

del c:\msdos98.exe

del c:\windows\uninst~1.exe

del c:\windows\system\mine.exe

59.MoSucker

打开system.ini文件

查找到shell=Explorer.exe unin0686.exe

更改为:shell= Explorer.exe

关闭保存system.ini,重新启动Windows

删除C:\windows\unin0686.exe

60.Naebi

打开注册表Regedit

点击目录至:

HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\ICQ

v2.12删除右边的项目:path= "C:\windows\msramgr.exe "

v2.15删除右边的项目:path= "C:\windows\ msdll32.exe "

v2.19删除右边的项目:path= "C:\windows\ naebi219.exe "

v2.xx删除右边的项目:path= "C:\windows\ naebi219.exe "文件名可能还是naebi.exe , ns220.exe, ns227, ns231, ns234

关闭保存Regedit

v2.34和上面相同,但它在win.ini增加了启动

打开win.ini文件

把run=后面的路径删除

关闭保存win.ini,重新启动Windows

查找相应的木马程序,并删除

61.NetController

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:System = 'c:\windows\system.exe'

关闭保存Regedit,重新启动Windows

删除c:\windows\system.exe

62.NetRaider

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:Rsrcnrs = 'C:\windows\rsrcnrs.exe'

关闭保存Regedit,重新启动Windows

删除C:\windows\rsrcnrs.exe

63.NetSphere

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:NSSX ="C:\WINDOWS\system\nssx.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\****\Software\Microsoft\Windows\CurrentVersion\Run

删除项目同上。

关闭保存Regedit,重新启动Windows

删除C:\WINDOWS\system\nssx.exe

64.NetSpy

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:Netspy = "netspy.exe"

关闭保存Regedit,重新启动Windows

查找到netspy.exe,并删除。

65.NetSpy

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:Netspy = "netspy.exe"

关闭保存Regedit,重新启动Windows

查找到netspy.exe,并删除。

66.NetTrojan

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:*** = "C:\WINDOWS\System\glide16.exe"

关闭保存Regedit

打开win.ini文件

查找到run=c:\windows\fxp.exe

把run=后面的路径删除

关闭保存win.ini,重新启动Windows

查找相应的木马程序,并删除。

67.Nirvana VisualKiller

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:TheDoor = 'c:\windows\fonts\ariel.exe'

关闭保存Regedit,重新启动Windows

删除c:\windows\fonts\ariel.exe

68.Phaze Zero

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:MsgServ = "msgsvr32.exe"

关闭保存Regedit,重新启动Windows

查找相应的木马程序,并删除。

69.Prayer

打开注册表Regedit

点击目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项目:SysFiles = "C:\WINDOWS\System\dlls32.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

删除右边的项

木马病毒诈骗,原理,能通过什么手段

木马程序是目前比较流行的一类病毒文件,它与一般的病毒不同,它不会自我繁殖,也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行,或以捆绑在网页中的形式,当用户浏览网页时受害。木马程序向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件和隐私,甚至远程操控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;而木马程序则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是毫无价值的。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行,电脑就会有一个或几个端口被打开,黑客就可以利用控制端进入运行了服务端的电脑,甚至可以控制被种者的电脑,所以被种者的安全和个人隐私也就全无保障了!随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003),微软的任务管理器也一下子“脱胎换骨”,变得“火眼金睛”起来(在Win9X中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切在WinNT中却完全不同,无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能欺骗WinNT的任务管理器),这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机,所以木马的开发者及时调整了开发思路,转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。要弄清楚什么是动态嵌入式DLL木马,我们必须要先了解Windows系统的另一种“可执行文件”——DLL,DLL是DynamicLinkLibrary(动态链接库)的缩写,DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑,是由多个功能函数构成,它并不能独立运行,DLL文件一般都是由进程加载并调用的。因为DLL文件不能独立运行,所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马,并且通过别的进程来运行它,那么无论是入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe),那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能,所以,预防DLL木马也是相当重要的。在WinNT系统,DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录,里面的文件很多,在里面隐藏当然很方便了),针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车,再输入cdC:\Windows\System32回车,这就转换目录到了System32目录(要还是不知道怎么进入的,请参看DOS的cd命令的使用),输入命令:dir*.exeexebackup.txtdir*.dlldllbackup.txt回车。这样,我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的方法又查不出问题时,则要考虑是不是系统中已经潜入了DLL木马。这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中,然后运行CMD—fcexebackup.txtexebackup1.txtdifferent.txtfcdllbackup.txtdllbackup1.txtdifferent.txt(使用FC命令比较前后两次的DLL和EXE文件,并将结果输入到different.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。没有是最好,如果有的话也不要直接删除掉,可以先把它移到回收站里,若系统没有异常反应再将之彻底删除,或者把DLL文件上报给反病毒研究中心检查。最后,防治木马的危害,专家建议大家应采取以下措施:第一,安装反病毒软件和个人防火墙,并及时升级。第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。第三,使用安全性比较好的浏览器和电子邮件客户端工具。第四,操作系统的补丁要经常进行更新。第五,不要随便打开陌生网友传送的文件和下载、使用破解软件。相信大家只要做好安全防护工作,防治木马并不是那么可怕的。

请木马病毒处理专家帮帮忙!急

1.使用瑞星卡卡上网安全助手,进入系统启动项管理,选中左边的“驱动”,在右边找到C:\WINDOWS\system32\drivers\dwbzje91.sys 和C:\WINDOWS\system32\drivers\ftmpe.sys ,将其前面的钩去掉

选中左边的“资源管理器插件”,在右边找到C:\WINDOWS\system32\qvlvp.dll,将其前面的钩去掉,禁止自启动

2.重启计算机到安全模式下,使用冰刃(IceSword)删除那4个文件,如有无法删除的请使用强制删除按钮。

3.重启计算机到正常状态下,检查病毒是否存在,若不在清除成功

电脑方面高手请进(关于木马病毒)

打开windows任务管理器,察看是否有可疑的进程在运行,如果有把它结束。(Rundll32.exe本身不是病毒,有可能一个dll文件在运行,他可能是病毒或恶意程序之类的东西。)

若无法结束,再察看控制面板〉管理工具〉服务,看有没有与之相关的 服务(特别是“描述”为空的)在运行,把它停止。同时设法查找这些恶意程序文件(如system32文件夹中是否有不明dll或exe文件,C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或染毒文件),然后删去。

转载请注明原作者恋曲2010

  • 评论列表:
  •  柔侣私野
     发布于 2022-06-05 05:20:39  回复该评论
  • SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices删除右边的项目:Explorer = c:\......\agent.exe关闭保存Regedit,重新启动Windows查找
  •  礼忱谷夏
     发布于 2022-06-05 08:06:10  回复该评论
  • 开WIN.INI文件在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径,必须清除它们:run=load=保存WIN.INI还要改正注册表Regedit点击目录至:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi

发表评论:

«    2024年8月    »
1234
567891011
12131415161718
19202122232425
262728293031
文章归档
标签列表

Powered By

Copyright Your WebSite.Some Rights Reserved.