本文目录一览:
360查出Trojan.ACAD.E木马程序,威协对象\mtool\support\mtooldoc.lsp,要删除吗?
这个文件很陌生,而360安全卫士,对于木马的查杀还是比较准确有效的,所以这个应该是个木马,而现在的木马的危害还是很大的,例如窃取用户重要帐号,个人隐私等,建议你最好清除这个木马程序!
华硕系统自带文件SYSPRE64.cmd 及 SYSPRE.cmd被360报木马?
尊敬的华硕用户,您好!
建议您通过一个专业杀毒软件检测扫描一下,例如瑞星、诺顿或迈克菲等;有可能是病毒文件伪装为系统文件侵入系统的。
希望以上信息能够对您有所帮助,谢谢!
C:\esupport\eDrver\l386\syspRE64.cmd
您好;
这是一种伪装成系统文件的木马病毒,如果您的电脑中了这种木马病毒的话,建议您使用腾讯电脑管家对您的电脑进行一下全面的杀毒吧,打开腾讯电脑管家中的杀毒功能选择闪电查杀或者全盘查杀就可以的哦,腾讯电脑管家是采用“4+1”核“芯”杀毒引擎的专业杀毒软件,是完全可以帮助您查杀病毒而且保护您的电脑的哦。
腾讯电脑管家企业平台:
我用木马清道夫扫描出几个木马病毒(c.d.e盘都有)然后将他一一删除,下面该怎样在注册表中 正确
一 EXE后缀型病毒文件的手工杀毒的方法教程:
这类病毒一般是以进程的方式运行,这类病毒一般是比较好被发现的。下边先说下这类病毒,是在哪里启动的。
1/注册表 如果发现计算机有不名的进程和异常情况请在注册表内下列地方进行核实找住可以的程序进行删除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServicesOnce
HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER \Software \Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\Run
HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion
Explorer/ShellFolders Startup="C:/windows/start menu/programs/startup
2/系统WIN.INI文件内在win.ini文件中,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动件。也许你会问了我是XP系统啊怎么没有这个呢?不必担心给你个正确的你参考下就知道有没有可疑程序了。下边就是正常的WIN.INI(XP)
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
CMCDLLNAME32=mapi32.dll
CMCDLLNAME=mapi.dll
CMC=1
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo2
asx=MPEGVideo2
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo2
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo2
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2
wpl=MPEGVideo
3/SYSTEM.INI文件中在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是 “explorer.exe”,而是“shell= explorer.exe 程序名”,本文发表于pcpxp.com网站,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 又会有人问了我是XP系统怎么又不一样呢?在给你个正常的XP系统的SYSTEM.INI请大家可以参考下 正常的SYSTEM.INI文件
; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app936.FON
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON
4/在config.sys内 这类加载方式比较少见 ,但是并不是没有,如果上述方法都找不到的话,请来这里也许会有收获的。
5/在autuexec.bat内 这类加载方式也是比较少见,建议跟config.sys方法一样。
4 和5 的加载方式建议大家先必须确定计算机有病毒后在 并且上边的方法都找不到后,最后来这里进行查找。
总结:这类病毒是比较容易暴露的,建议手动删除时最好进入安全模式下,因为安全模式只运行WINDOWS必备的系统进程,EXE型病毒很容易暴露出来的,下边附上一张WINDOWS安全模式的 必须进程表
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) -netlogon
svchost.exe 包含很多系统服务 !!!-eventsystem,(SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)
explorer.exe 资源管理器 (internat.exe 托盘区的拼音图标)
system
System Idle Process 这个进程是不可以从任务管理器中关掉的。这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器时间
taskmagr.exe 就是任务管理器了
二、DLL型后缀病毒的手工杀毒的方法教程:
这类病毒大多是后门病毒,这类病毒一般不会把自己暴露在进程中的,所以说特别隐蔽,比较不好发现。启动DLL后门的载体EXE是不可缺少的,也是非常重要的,它被称为:Loader。如果没有Loader,那DLL后门如何启动呢?因此,一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多,可以是为我们的DLL后门而专门编写的一个EXE文件;也可以是系统自带的Rundll32.exe和 Svchost.exe,即使停止了Rundll32.exe和Svchost.exeDLL后门的主体还是存在的。现在大家也许对DLL有了个初步的了解了,但是不是后缀是DLL就是病毒哦,也不要因为系统有过多的Rundll32.exe和Svchost.exe进程而担心,因为他们不一定就是病毒,所以说这个病毒比较隐蔽,下边来介绍几种判别办法:pcpxp.com供稿
1/Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Svchost”每个键值表示一个独立的Svchost.exe组。微软还为我们提供了一种察看系统正在运行在 Svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索 Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。
2/还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。比如Windows优化大师中的Windows 进程管理 2.5。这样,可以发现进程到底饔昧耸裁碊LL文件.
3/普通后门连接需要打开特定的端口,DLL后门也不例外,不管它怎么隐藏,连接的时候都需要打开端口。我们可以用netstat –an来查看所有TCP/UDP端口的连接,以发现非法连接。大家平时要对自己打开的端口心中有数,并对netstat –an中的state属性有所了解。当然,也可以使用Fport来显示端口对应的进程,这样,系统有什么不明的连接和端口,都可以尽收眼底。
4/最关键的方法对比法。安装好系统和所有的应用程序之后,备份system32目录下的EXE和DLL文件:打开CMD,来到 WINNTsystem32目录下,执行:dir *.exeexe.txt dir *.dlldll.txt,这样,就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中;日后,如发现异常,可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txtexedll.txt fc dll.txt dll0.txtexedll.txt,其意思为使用FC命令比较两次的EXE文件和DLL文件,并将比较结果保存到exedll.txt文件中。通过这种方法,我们就可以发现多出来的EXE和DLL文件,并通过文件大小,创建时间来判断是否是DLL后门。
DLL型病毒的清除方法
1/ 在确定DLL病毒的文件的话请尝试下边方法
移除方法:
1. 开始——运行——输入"Regedit"
2. 搜索"*.dll"
3. 删除搜索到的键值。
4. 重启
5. 转到C:\Windows\System32\
6. 删除*.dll
2/到注册表下列地方寻找DLL的踪迹
HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ WindowsNT/ Currentversion/ Svchost
3/如果上边的地方都找不到的话建议使用优化大势进程显示工具 对 RUNDLL32.EXE和SVCHOST.EXE里边运行的DLL程序进行核实找到病毒文件对其进行结束 然后在对他进行删除 建议使用第1种方法是非常有效的
三、$NtUninstallQxxxxxxx$(x代表数字)型病毒的手工杀毒的方法教程:
这个属于恶意脚本文件病毒。C盘下生成文件夹:$NtUninstallQxxxxxxx$(x代表数字) 冒充微软更新补丁的卸载文件夹,并且在Win2000/XP下拥有系统文件级隐藏属性。下边说下清楚方法
注册表手动删除启动项,参考:
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
删除:regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows\ CurrentVersion\ RunOnce
HKEY_LOCAL_MACHINE\ SOFTWARE \Microsoft\ Windows\ CurrentVersion\RunOnce
删除:Sys32,值为:C:\$NtUninstallQxxxxxxx$\WINSYS.vbs
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Windows\ CurrentVersion \Run
删除:Sys32,值为:regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer
删除:internat.exe,值为:internat.exe
删除整个$NtUninstallQxxxxxxx$ 目录
pcpxp.com 补充说明:
系统文件夹(\WINNT或\Windows)下出现的如$NtUninstallQ823980$ 、$NtUninstallQ814033$ 这类文件夹是Windows Update 或安装微软补丁程序留下的卸载信息,用来卸载已安装的补丁,按补丁的编号如Q823980、Q814033 可以在微软的网站查到相应的说明。请注意与恶意代码建立的文件夹区分。
四、压缩文件杀毒工具对其不能删除的病毒的手工杀毒的方法教程:
这类病毒大多是在IE临时文件里的,请对临时文件进行清除即可清楚此类病毒,建议定时清理IE临时文件。
补充:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以 “Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,(查了下C没这个东西?希望大家来研究,看你们的有这个目录没?)在注册表中的位置: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在 System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样: Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
关于“Eset”下的病毒
windhcp.ocx,windhcp.dll和变态的iexpl0re.exe的清除2006年12月13日 星期三 10:40
本文的眼:iexpl0re.exe注册的启动项的名称很搞笑,是ravtask,猛一看是瑞星。文件的存放路径也很有迷惑性C:\Progra~1\Eset\,跟ESET(NOD32)也干上了?windhcp.dll由windhcp.ocx释放。
具体案例见 ;pid=194432page=1extra=page%3D1#pid194432
1 杀毒前关闭系统还原:右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件:打开IE 点工具--Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
重启计算机 然后再进入安全模式执行如下的操作
以下的操作都要求安全模式下进行。
[安全模式?重启电脑时按住F8 选择进入安全模式]
2 SREng 删除如下各项
方法
启动项目 --注册表 的如下项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
ravtaskC:\Progra~1\Eset\iexpl0re.exe [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{1A404685-7563-4d02-B0F6-58B308A406A9}c:\docume~1\admini~1\locals~1\temp\vyvorqfe.dll []
启动项目 --服务--Win32服务应用程序下的
[Windows DHCP Service / WinDHCPsvc]
C:\WINDOWS\system32\rundll32.exe windhcp.ocx,startMicrosoft Corporation
手动删除如上涉及的病毒文件
C:\Progra~1\Eset\iexpl0re.exe
c:\docume~1\admini~1\locals~1\temp\vyvorqfe.dll
c:\windows\windhcp.ocx
215366M.BMP不仅是一个后门程序,专门启动木马的病毒,
而且还做程序劫持.
启动的木马病毒有:
一是 10.exe,9.exe,sxs.exe都是柯楠图标(通过autorun.inf加载注册表,并启动运行)是一个典型的移动硬盘病毒!同时其它硬盘也会感染具有一般U盘病毒特征。同时他是一个循环程序~~通过这个文件在其他电脑上启动215366M.BMP。这些U盘病毒的删除方法我也提过,但是这个比较好删,可以直接删除(每个硬盘里的!autorun.inf也一起删掉)
二是启动 QQHX.dat,xeklsk.exe,zts2.dll(是征途盗号木马病毒ztdll.dll的变种)等多种大型游戏木马病毒!(有dllwm.dll和xeklsk.dll做单一删除没用,但是为做准备还是要结束任务删掉)
三是 启动svhost32.exe,该病毒的启动同原来的一样,但是更具威胁性,删除方法以前说过了!!可在本博客里找到,我就不再说了,太多了。
四是 启动一些其他后门程序本人没有记录抱歉,因为其危害作用没有找到,所以没有记录但是在C:\Documents and Settings\ksx\Local Settings\Temp文件夹中都有文件名后缀为exe。结束运行任务然后一并删除以做准备!
五是 劫持所有window正常运行程序!
劫持程序有:services.exe lsass.exe
svhost.exe
spolsv.exe
guard.exe
nvsvc32.exe
alg.exe
explorer.exe
windowstime.exe
avp.exe
ctfmon.exe
wuaudt.exe
winlogon.exe等程序,暂且不理它。
现在准备工作做完就等他运行了!所以在这里我提一下,我用江民试过有出现“屡禁不止”的现象,瑞星没用过不太清楚。然后就是用卡巴把它清掉,215366M.BMP在正常和安全模式下都无法删除的!只能删除215366M.dll虽然没用,下次启动系统的时候还会有的,但是还是删掉吧看了烦人。没用装卡巴的朋友就装卡巴6.0个人版(kaspersky anti-virus 6.0个人版,我本人比较支持英文原版的)在这里我要说一下卡巴的设置在防护那拦中把“潜在的危险软件:远程访问工具,恶作剧程序,玩笑”打对号!在主动防护中“应用程序完成件控制”打对号。卡巴要更新才行。一切都准备好了后,重启电脑,就等它杀毒了呵呵。等这些病毒杀完后,最后在注册表中把刚才出现的
svhost32.exe
10.exe,9.exe,sxs.exe
215366M.BMP
QQHX.dat,xeklsk.exe,zts2.dll这些删掉(我刚才说有几个没有记录的东西,在查找svhost32.exe时可能会在一起)这样就可以搞定了.
该病毒由本人亲自服毒一步步完成解毒,请想转贴的朋友带上本人博客并且府上作者名字,谢谢!(在在这里特别提一下,制作这个病毒的人真TMD是个犊子,王八蛋!一个病毒呈现出所有病毒能出现的特征,不佩服都不行)
有什么不懂或删不掉的情况告诉本人(请尽量详细的说明情况)本人将尽量帮大家解决问题!避免重装系统这样麻烦的事!