本文目录一览:
怎么清除***.exe.exe程序中的木马啊?
病毒主体是exe.exe
把那个样本重新测试了一遍,并试着干掉了它
File: exe.exe
Size: 58880 bytes
MD5: CE41DA3B6813DC7D22B0D71072D61020
SHA1: 26034C23E88BB5D23D181A2EEFD7A694102BF6A0
CRC32: 5CF7762F
运行后不断修改svchost.exe的内存
创建服务ICF
服务相关键值
HKLM\SYSTEM\ControlSet001\Services\ICF\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\ControlSet001\Services\ICF\Type: 0x00000110
HKLM\SYSTEM\ControlSet001\Services\ICF\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\ICF\ErrorControl: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\ICF\ImagePath: "C:\WINDOWS\system32\svchost.exe:exe.exe"
HKLM\SYSTEM\ControlSet001\Services\ICF\DisplayName: "ICF"
HKLM\SYSTEM\ControlSet001\Services\ICF\Group: "TDI"
HKLM\SYSTEM\ControlSet001\Services\ICF\ObjectName: "LocalSystem"
将C:\WINDOWS\system32\svchost.exe加入到Windows 防火墙的排除的程序中
修改C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system32\svchost.exe (应该是加入了他的那个exe.exe了吧)
(但windows并未报警说文件被修改,不知为什么)
清除办法想了很久 因为那个服务好删除 但C:\WINDOWS\system32\svchost.exe的那个隐藏的数据流怎么给他删除呀?从其他电脑上拷一个?是个办法,但是比较麻烦呀,还得在 dos 下弄 毕竟svchost.exe是个系统关键进程呀。
最后找到了个叫NTFSDataTest的软件 Made in China的
开始咯
1.删掉他的服务
打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
ICF
2.删除隐藏的数据流
打开那个NTFSDataTest的软件
输入要检测的路径
C:\WINDOWS\system32
可以看到 软件检测到一个NTFS数据流 在C:\WINDOWS\system32\svchost.exe下面 双击检测出来的C:\WINDOWS\system32\svchost.exe
可以看到那个隐藏的exe.exe现形咯
右键 删除流
OK 再用sreng检测一遍 被干掉咯 哈哈
最后在网上找了点关于NTFS数据流病毒的资料 给大家分享一下
什么是NTFS数据流?
在介绍NTFS数据流之前,我们先简单了解一下NTFS文件系统。NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更稳定,更安全,功能也更为强大。如果要让FAT文件系统转换为NTFS文件系统,可以在“命令提示符”中输入“convert 分区盘符: /fs:ntfs”,即可将该分区的文件系统转换为NTFS。
NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息,虽然我们无法看到数据流文件,但是它却是真实存在于我们的系统中的。创建一个数据交换流文件的方法很简单,命令为“宿主文件:准备与宿主文件关联的数据流文件”。
那么为什么我们无法看到系统中的数据流文件呢,是Windows为了防止我们误删数据流文件而故意设置的障碍吗?答案是否定的,我们之所以无法在系统中看到NTFS数据流文件,是因为Windows中的很多工具对数据流文件的支持并不是很好,就像“资源管理器”,我们无法在“资源管理器”中看到有关数据流文件的变化。这种缺陷让木马有机可趁,通过NTFS数据流将自己隐藏起来,从此就从“资源管理器”中消失了。例如Rootkit木马中的文件隐藏功能,就是利用了NTFS数据流。
NTFS数据流的创建实例
相信不少看了上文介绍的读者朋友还是对NTFS数据流一头雾水,没有关系,下面我们通过实例来深入了解一下NTFS数据流。
创建宿主文件
宿主文件在这里指的就是普通文件,是在Windows中可以正常显示、运行、编辑的任何类型文件。我们先来创建一个txt格式的文本文档,把它作为宿主文件。运行“记事本”,随意输入一些内容,例如“测试——宿主文件”,然后将其保存为C:\test\suzhu.txt。接着我们在suzhu.txt上点右键,选择“属性”,可以发现其文件大小为16字节。
关联数据流文件
宿主文件创建完成后,我们再来创建一个数据流文件,将其与宿主文件关联,看看宿主文件会发生什么变化。点击“开始”→“运行”,输入cmd运行“命令提示符”,切换到C:\test\目录中,输入命令“echo "测试——数据流文件" suzhu.txt:shujuliu.txt”。这样我们就创建了一个名为shujuliu.txt,内容为“测试——数据流文件”的数据流文件,并与宿主文件suzhu.txt进行了关联。
小贴士:在“命令提示符”中输入创建数据流命令后,不会有提示,但数据流文件已经成功创建了。
让我们回到C:\test\目录中,可以发现在该文件夹中只有一个suzhu.txt,而没有数据流文件shujuliu.txt,即使在“命令提示符”中使用“dir”命令也找不到shujuliu.txt。既然宿主文件suzhu.txt和数据流文件shujuliu.txt进行了关联,那么是不是shujuliu.txt的内容合并到suzhu.txt中了呢?我们打开suzhu.txt,其中的内容并没有改变,仍然是“测试——宿主文件”,而文件大小仍是16字节。
那么数据流文件shujuliu.txt哪去了呢?还是用“命令提示符”让它现形吧,在“命令提示符”中输入命令“notepad suzhu.txt:shujuliu.txt”,在弹出的记事本程序中就会出现数据流文件shujuliu.txt的内容。而我们在“命令提示符”中使用type、edit等命令对数据流文件进行编辑时,将会出现错误,这是因为“命令提示符”还不能很好地支持数据流文件。记事本虽然能够打开数据流文件,但并不表示它能完全支持NTFS数据流,这一点我们在“另存为”数据流文件的时候就会发现。
创建数据流文件
我们除了能将数据流文件和宿主文件进行绑定外,还能够创建单独的数据流文件。在“命令提示符”中输入“echo "测试——数据流文件" :shujuliu2.txt”,这样就创建了一个名为shujuliu2.txt的数据流文件,而这个文件无论是在“资源管理器”还是在“命令提示符”中使用“dir”命令,都是无法看到的。可以说,这个文件已经在系统中隐身了,我们只能通过输入命令“notepad :shujuliu2.txt”得知它的存在,而即使知道它的存在,我们也无法删除,因为命令提示符中“del”命令已经失去了作用。唯一能将之删除的办法,就是删除其上一级目录,如果单独的数据流文件存在于磁盘根目录,那么删除它将是一件很痛苦的事。
文中的数据流文件我们都是以文本文档举的例子,而数据流文件是不局限于文本文档的,任何文件都可以作为数据流文件,包括可执行程序,图片,声音等等。这就至少造成两个隐患:一是黑客入侵后可能将黑客工具通过数据流隐藏起来,当然也有病毒发作后将病毒文件进行隐藏的;二是通过某些途径,让数据流文件可以自动执行,起到隐藏木马的效果。说了那么多,黑客到底是如何利用NTFS数据流进行攻击的呢?接着往下看。
NTFS数据流木马的查杀
到目前为止,很多杀毒软件仍然不能较好地查杀本机上的NTFS数据流文件和利用数据流制作的木马,可以使用一些专业的NTFS数据流检查工具,找出隐藏在系统中的恶意文件。
专业检测NTFS数据流文件的工具有Sfind.exe、Streams.exe、lads.exe等,这里我们以lads.exe为例进行介绍。lads.exe是一个命令下的工具,需要在“命令提示符”中使用。在“命令提示符”中运行lads.exe,程序会自动检测当前目录中的NTFS数据流文件,如果要检测子目录中的数据流文件,可以在lads.exe运行的同时添加一个参数“/s”,这样就可以检测到子目录中的数据流文件了。对指定文件夹进行检测时,可以使用“lads.exe 文件夹路径”命令。
对于上文中介绍的那种利用NTFS数据流制作的木马自解压文件,也是可以防范的。首先当我们下载到一个自解压文件时,不要双击运行,可以在自解压文件上点击鼠标右键,选择“用Winrar打开”,如果发现其中的文件夹是空的,那么就要留个心眼了,很可能这就是一个数据流木马陷阱。其次,不管杀毒软件是不是能查杀NTFS数据流木马,木马程序运行后,在内存中还是会还原出来的,一般的杀毒软件都带有内存监控功能,可以将木马程序在内存中拦截下来。因此,勤升级杀毒软件也是防范NTFS数据流木马比较有效的办法。
怎么去除EXE程序中的木马或病毒
感染病毒。很简单,要么是文件头,要么在末尾添加病毒代码!首先具备汇编知识。然后具备感染,混于,黑客方面的知识!
再不行你把上报给杀软官方。
卡巴瑞星对感染木马可以清除的
就是发现病毒时点清除,而不是点删除!
怎样删除exe程序下的木马病毒Win32/Trojan.cad,保留exe程序
win32/trojan.e6d是病毒的,建议你按360提示处理它如果不好清理,建议你用如下方法试试:
(1)重启电脑时,f8
进带网络安全模式
(2)用360安全卫士依次进行:清除插件、清除垃圾、清除痕迹、系统修复、高级工具“开机启动项管理”一键优化、使用“木马查杀”杀木马,用360杀毒全盘杀毒。
如果还没清除用下以方案:
(3)重新启动,f8
进带网络安全模式
(4)用360系统急救箱试一试
,希望能帮助你
EXE被捆绑了木马怎么删除
exe文件在封装前捆绑的病毒是无法删除的,只能连exe程序一起删除。
建议使用腾讯电脑管家,卡巴斯基等比较知名的杀毒软件对exe程序进行查杀。
确定程序含有病毒后,建议立即删除。不要运行,一旦电脑被感染后,很难清除。
查杀之前应将安全软件更新到最新版本,并且更新杀毒软件的病毒库
如何清除serverx.exe木马病毒
先手动在进程中结束进程,然后再返回windows\system32目录下删除serverx.exe文件。
重启,狂按F8,进入断开网络状态的安全模式,运行杀毒软件,进行查杀病毒。
开始,运行,输入msconfig,启动选项卡,把serverx.exe启动文件删除,
进入注册表起始项,把病毒开机运行删除HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Serverx
%System%\Serverx.exe
这样,应该就差不多了,不行就换一个好一点的杀软,如McAfee等,下载地址:
U盘中exe程序木马的清理方法
你备份的时候,同时也把木马备份了,再格式化当然不行了,你上面的资料重要不?不重要直接格式化就行,重要的话你可以访问腾讯电脑管家官网,下载安装一个电脑管家,使用杀毒功能来查杀一下,就可以清除这个病毒了
电脑管家的杀毒部分采用的是4+1引擎,包含金山和腾讯两个国内最大的云查杀引擎
以及以高查杀著称的德国小红伞本地引擎,查杀率非常的高,可以完美的清除各种顽固的木马病毒
腾讯电脑管家企业平台:
