本文目录一览:
如何彻底查杀Downloader木马病毒
电脑中病毒后要及时处理,可使用杀毒软件,类似腾讯电脑管家等来查杀。
腾讯电脑管家采用给腾讯云查杀技术的,可以强行查杀最新的木马程序的,让电脑远离病毒的威胁,还可以实时保护你的电脑对上网的网页、系统文件、U盘、浏览器等都多的保护的,有的病毒还篡改电脑文件,都是可以保护你的电脑不受威胁还你一个干净的上网环境
具体步骤:
1、普通查杀,打开腾讯电脑管家——病毒查杀
2、安全模式下查杀,可重启计算机按f8,屏幕显示winxp系统启动选项菜单,按下键移动到“带命令提示符的安全模式”,回车;找到电脑里面的杀毒软件杀毒就可以。
我的电脑检查到病毒是:Downloader.是什么来的?
该病毒属木马类。病毒使用Windows图片浏览器的图标,用以迷惑用户点击运行。病毒运行后,复制自身到系统目录%WINDIR%下,释放病毒文件,修改注册表,添加启动项,以达到随机启动的目的,连接网络,开启本地端口,下载病毒文件,修改用户QICQ密码,盗取用户的敏感信息,并使QICQ带有“QQ尾巴”,自动发送含有被挂马的网站信息,终止反病毒软件的进程,阻止杀毒软件的安装。该病毒对用户有较大危害。
行为分析:
1、病毒使用Windows图片浏览器的图标,用以迷惑用户点击运行。
2、病毒运行后,复制自身到系统目录%WINDIR%下,释放病毒文件:
%WINDIR%\niw.exe
%system32%\impai.exe
3、修改注册表,添加启动项,以达到随机启动的目的:
修改的注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile
\shell\open\command
原键值:字串:"默认"="%SystemRoot%\system32
\NOTEPAD.EXE %1."
修改的键值:字串:"默认"="C:\WINDOWS\system32
\impai.exe "%1""
新建注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
键值: 字串: "NIW "="C:\WINDOWS\NIW.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
键值: 字串: "Desktop"="C:\WINDOWS\system32
\rundll32.exe"
"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{08A312BB-5409-49FC-9347-54BB7D069AC6}\
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{08A312BB-5409-49FC-9347
54BB7D069AC6}\InprocServer32\
键值: 字串: "默认"="C:\PROGRA~1\DESKAD~1
\deskipn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\InprocServer32\
键值: 字串: "ThreadingModel "="Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{08A312BB-5409-49FC-9347-54BB7D069AC6}\ProgID
键值: 字串: "默认"="MonitorIE.MonitorURL.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{08A312BB-5409-49FC-9347
54BB7D069AC6}\VersionIndependentProgID
键值: 字串: "默认"="MonitorIE.MonitorURL"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL.1
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL.1\CLSID
键值: 字串: "默认"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.MonitorURL
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL\CLSID
键值: 字串: "默认"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL\CurVer
键值: 字串: "默认"="MonitorIE.MonitorURL.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0\0\win32
键值: 字串: "默认"="C:\Program Files\DeskAdTop\deskipn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0
键值: 字串: "默认"="MonitorIE 1.0 Type Library"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0\
键值: 字串: "HELPDIR"="C:\Program Files\DeskAdTop\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
键值: 字串: "DownloadManager"="C:\WINDOWS\system32
\rundll32.exe"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒体
键值: 字串: " DisplayName "="桌面媒体"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒体
键值: 字串: "SetupPath"="C:\Program Files\DeskAdTop\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒体
键值: 字串: "UninstallString"="C:\Program Files\DeskAdTop\DeskUn.exe"
4、连接网络,开启本地端口,下载病毒文件:
协议:TCP
端口:随机开启本地1024以上端口,如:1124
IP地址:210.51.168.69
下载的病毒文件:
%system32%\tmdown.exe
%system32%\tmdown1.exe
%Program Files%\deskadtop\_uninstall
%Program Files%\deskadtop\allverx.dat
%Program Files%\deskadtop\deskipn.dll
%Program Files%\deskadtop\DeskUn.exe
%Program Files%\deskadtop\Mrup.exe
%Program Files%\deskadtop\Run.dll
%Program Files%\deskadtop\sinfo.ini
5、修改用户QICQ密码,盗取用户的敏感信息,并使QICQ带有“QQ尾巴”,自动发送含有被挂马的网站信息:
QQ尾巴内容为:
咱们老同学的校友录有新留言了,你看看吧!
***.com/img/chianren.htm
6、终止反病毒软件的进程,阻止杀毒软件的安装。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
清除方案 :
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%WINDIR%\niw.exe
%system32%\impai.exe
%system32%\tmdown.exe
%system32%\tmdown1.exe
%Program Files%\deskadtop\_uninstall
%Program Files%\deskadtop\allverx.dat
%Program Files%\deskadtop\deskipn.dll
%Program Files%\deskadtop\DeskUn.exe
%Program Files%\deskadtop\Mrup.exe
%Program Files%\deskadtop\Run.dll
%Program Files%\deskadtop\sinfo.ini
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
修改注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile
\shell\open\command
键值:字串:"默认"="C:\WINDOWS\system32
\impai.exe "%1""
改为:
键值:字串:"默认"="%SystemRoot%\system32
\NOTEPAD.EXE %1."
删除以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
键值: 字串: "NIW "="C:\WINDOWS\NIW.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
键值: 字串: "Desktop"="C:\WINDOWS\system32
\rundll32.exe"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\InprocServer32\
键值: 字串: "默认"="C:\PROGRA~1\DESKAD~1\deskipn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\InprocServer32\
键值: 字串: "ThreadingModel "="Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\ProgID
键值: 字串: "默认"="MonitorIE.MonitorURL.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\VersionIndependentProgID
键值: 字串: "默认"="MonitorIE.MonitorURL"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL.1
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL.1\CLSID
键值: 字串: "默认"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.MonitorURL
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL\CLSID
键值: 字串: "默认"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE
.MonitorURL\CurVer
键值: 字串: "默认"="MonitorIE.MonitorURL.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0\0\win32
键值: 字串: "默认"="C:\Program Files\DeskAdTop\deskipn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
\{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0
键值: 字串: "默认"="MonitorIE 1.0 Type Library"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0\
键值: 字串: "HELPDIR"="C:\Program Files\DeskAdTop\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
键值: 字串: "DownloadManager"="C:\WINDOWS\system32
\rundll32.exe"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window
s\CurrentVersion\Uninstall\桌面媒体
键值: 字串: " DisplayName "="桌面媒体"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒体
键值: 字串: "SetupPath"="C:\Program Files\DeskAdTop\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒体
键值: 字串: "UninstallString"="C:\Program Files
\DeskAdTop\DeskUn.exe
你说的rasmed.exe是:只有英文介绍的具体翻译你可以用金山在线翻译看看:
My XPPro is behind a router with a firewall, and I run E-Trust Vet antivirus
and Ad-aware, but still something infected the PC,but what is it?
I boot from D:\ and about 30 seconds after login I get a Vet warning of
infections as below.
D:\Windows\system32\com\rasmed.exe (Win32/Chisnye!Generic) - deleted
D:\Documents and Settings\LocalService\Local Settings\Temporary Internet
Files\Content.IE5\89ABCDEF\drsmartload(1).exe (Win32/Thoog.FB - deleted
C:\dsmartload1.exe (Win32/Thoog.FB) - deleted
In addition I get a CMD.exe error warning that
"D:\windows\System32\com\rasmed.exe" cannot be found (It was deledted in a
Virus scan prior to reboot.
If I now run a virus scan across the system I get the following:
Infected items
D:\Windows\system32\com\rasmed.exe (Win32/Chisnye!Generic)- deleted
D:\Documents and Settings\LocalService\Local Settings\Temporary Internet
Files\Content.IE5\GHIJKLMN\drsmartload(1).exe (Win32/Thoog.FB)- deleted
C:\drsmartload(1).exe (Win32/Thoog.FB)- deleted
In addition I not a file pro3_install.exe is regularly copied into C:\ at
startup and at times when the PC is not in use.
At similar intervals I get the CMD.exe warning as an attempt is made to run
"D:\windows\System32\com\rasmed.exe"
TrojanDownloader.Adload.NEO这个是什么病毒。
TrojanDownloader.Adload.NEO这个是木马病毒;
具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。木马病毒其实是计算机黑客用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中,里应外合,对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件等。
扩展资料:
木马程序表面上是无害的,甚至对没有警戒的用户还颇有吸引力,它们经常隐藏在游戏或图形软件中,但它们却隐藏着恶意。这些表面上看似友善的程序运行后,就会进行一些非法的行动,如删除文件或对硬盘格式化。
完整的木马程序一般由两部分组成:一个是服务器端.一个是控制器端。“中了木马”就是指安装了木马的服务器端程序,若你的电脑被安装了服务器端程序,则拥有相应客户端的人就可以通过网络控制你的电脑。为所欲为。这时你电脑上的各种文件、程序,以及在你电脑上使用的账号、密码无安全可言了。