本文目录一览:
如何快速清除系统中的木马病毒
1.MT捆绑克星文件中只要捆绑了木马,那么其文件头特征码一定会表现出一定的规律,而MT捆绑克星正是通过分析程序的文件头特征码来判断的。程序运行后,我们只要单击浏览按钮,选择需要进行检测的文件,然后单击主界面上的分析按钮,这样程序就会自动对添加进来的文件进行分析。此时,我们只要查看分析结果中可执行的头部数,如果有两个或更多的可执行文件头部,那么说明此文件一定是被捆绑过的!
2.揪出捆绑在程序中的木马光检测出了文件中捆绑了木马是远远不够的,还必须请出FearlessBoundFiLEDetector这样的特工来清除其中的木马。
程序运行后会首先要求选择需要检测的程序或文件,然后单击主界面中的Process按钮,分析完毕再单击CleanFile按钮,在弹出警告对话框中单击是按钮确认清除程序中被捆绑的木马。
二、清除DLL类后门相对文件捆绑运行,DLL插入类的木马显的更加高级,具有无进程,不开端口等特点,一般人很难发觉。因此清除的步骤也相对复杂一点。
1.结束木马进程由于该类型的木马是嵌入在其它进程之中的,本身在进程查看器中并不会生成具体的项目,对此我们如果发现自己系统出现异常时,则需要判断是否中了DLL木马。
在这里我们借助的是ICeSword工具,运行该程序后会自动检测系统正在运行的进程,右击可疑的进程,在弹出的菜单中选择模块信息,在弹出的窗口中即可查看所有DLL模块,这时如果发现有来历不明的项目就可以将其选中,然后单击卸载按钮将其从进程中删除。对于一些比较顽固的进程,我们还将其中,单击强行解除按钮,然后再通过模块文件名栏中的地址,直接到其文件夹中将其删除。
2.查找可疑DLL模块由于一般用户对DLL文件的调用情况并不熟悉,因此很难判断出哪个DLL模块是不是可疑的。这样ECQ-PS(超级进程王)即可派上用场。
运行软件后即可在中间的列表中可以看到当前系统中的所有进程,双击其中的某个进程后,可以在下面窗口的全部模块标签中,即可显示详细的信息,包括模块名称、版本和厂商,以及创建的时间等。其中的厂商和创建时间信息比较重要,如果是一个系统关键进程如svchost.exe,结果调用的却是一个不知名的厂商的模块,那该模块必定是有问题的。另外如果厂商虽然是微软的,但创建时间却与其它的DLL模块时间不同,那么也可能是DLL木马。
另外我们也可以直接切换到可疑模块选项,软件会自动扫描模块中的可疑文件,并在列表中显示出来。双击扫描结果列表中的可疑DLL模块,可看到调用此模块的进程。点击强进删除按钮
什么杀木马最好,最有效
在欧洲被称为唯一能与NOD32媲美的杀软avast4.7官方中文专业版
推荐用迅雷下载
序列号:
S6039686R6039W1106-FBYVE2MU 有效期2009.5.6
升级有效期2010.1.1
S7935192R4371Z1106-S1BJD5AJ 有效期2012.1.6
升级有效期2008.8.1
S6945137R6826L1106-WXH4K1SJ 有效期2008.4.6
升级有效期2010.9.
来自捷克的AVAST,已有17年的历史,但最近才在我们这里兴起,它在国外市场一直处于领先地位。Avast!的实时监控功能十分强大!它拥有七大防护模块:网络防火墙防护、标准的本地文件读取防护、网页防护、即时通讯软件防护、邮件收发防护、P2P软件防护。这么完善的防护系统,定能让你的系统练就一副金刚不坏之身!任意开启各项保护模块能够查杀流氓软件,比如3721。升级很人性化。
主要特点:
(1)高侦测的反病毒表现,多次获得过ICSA和VirusBulletin 100%认证,启发式强大。
(2)较低的内存占用和直观,简洁的使用界面。
(3)支持SKIN更换,完善的程序内存检测
(4)对SMTP/POP3/IMAP邮件收发监控的全面保护。
(5)支持MS OUTLOOK外挂,智能型邮件帐号分析。
(6)支持宏病毒文档修复,修复档案后自动产生病毒还原数据库(VRDB功能)。
(7)支持P2P共享下载软件和即时通讯病毒检测,保护全面。
(8)良好有效的侦测并清除病毒,如虫,广告和木马程序
(9)病毒库更新速度快,对新型病毒和木马有迅捷的反应。
功能特性如下:
*反病毒内核 *自动升级*简单的使用界面 *病毒隔离区*实时监控 *系统结合 *P2P和聊天软件监控保护
*病毒清除*网络防护 *64位系统支持*网页防护 *多国语言支持 *增强型用户界面*恶意脚本屏蔽*DOS下扫描*扩展病毒库升级 *移除病毒备份
占用内存不到25兆,让你老机器也流畅
木马专杀工具
下面有一个,最上面的是需要破解的,里面有注册机下载地址。
后面的两个是永久免费的。
AVG Anti-Spyware 7.5简体中文绿色版(原Ewido)
AVG Anti-Spyware -- 极致安全 完美防护.
针对因特网上传播的新一代安全威胁的有效解决方案.
确保您的数据安全,保护您的隐私,抵御间谍软件,广告软件,木马,拨号程序,键盘记录程序和蠕虫的威胁.
在易于使用的界面之下,我们为您提供了高级的扫描和探测方式以及时下最尖端的技术.
反病毒程序只能提供针对危急爆发的威胁如木马,蠕虫,拨号程序,劫持程序,间谍软件和键盘记录程序的有限的保护.而这正是AVG Anti-Spyware保护的出发点,它能补充现有的安全应用程序从而创建一个完整的安全系统 -- 因为只有完整的安全系统才能有效地工作.
AVG Anti-Spyware 7.5是ewido anti-spyware 4.0的全新高度改进的版本.
ewido anti-spyware 4.0已经被AVG Anti-Spyware 7.5代替并且不再可供(以旧名称)销售和下载.
AVG Anti-Spyware 7.5含有相同的ewido技术,但是带有更为增强的特性:
高度改进的清除性能
更低的资源使用
支持附加的语言
AVG Anti-Spyware的特性
新 完全复新的用户界面
新 可以创建例外
新 安全删除文件的粉碎器
新 XP反间谍
新 浏览器帮助程序对象查看器
新 分层服务提供器查看器
启发式探测未知威胁
扫描和清除Windows注册表
支持扫描NTFS交换数据流
每日更新数据库
通过使用强特征码防止补丁
分析工具(启动,连接和进程)
智能联机更新
在压缩文档内扫描
安全探测和删除动态链接库木马
通过模拟探测通用加密器
探测通用捆绑程序
免费电子邮件支持
自动清除引擎
可疑文件隔离
多语言用户界面
加强版的附加特性
新 计划扫描
实时监视整个系统
内存扫描探测活动的威胁
核心层自我保护保证了无缝监视
自动联机更新
ewido 的杀马效力无可替代,新一代产品更添加几百处更新和更全样本库,占用内存明显减少,启动更快,带来更多惊喜,几个月前ewido被捷克的Grisoft(AVG)收购,继而发布最新平台,简而言之,就是AVG Internet Security Suite 的组件。
原版下载汉化包下载:
附件内还有二个注册机简体中文版下载:
超级巡警 V3.5
专门查杀并可辅助查杀各种木马、流氓软件、利用Rootkit技术的各种后门和其它恶意代码(间谍软件、蠕虫病毒)等等。提供了多种专业工具,提供系统 /IE修复、隐私保护和安全优化功能,提供了全面的系统监测功能,使你对系统的变化了如指掌,配合手动分析可近100%的查杀未知恶意代码!
升级改动:
1.安全优化-系统修复中加入修复磁盘文件关联功能
2.初步解决软件启动时写屏造成的闪烁问题
3.增强监控功能,在病毒库更新后智能对敏感位置检测
4.升级模块将主动下载KEY,用户不用在担心KEY过期或者损坏的问题。
5、文件粉碎机的UI小调整
6、信任列表增加全选菜单
7、修正在内存扫描时仍然可以点击快速扫描的BUG。
8、进程管理增加强制使用微软数字签名校验菜单,钩选后将只使用微软签名来验证进程和模块文件。
8、服务管理增加强制使用微软数字签名校验菜单,钩选后将只使用微软签名来验证服务文件和对应的DLL模块。
9、进程管理增加隐藏已知DLL的选项,默认开启,方便一目了然的查找...
360安全卫士v3.4版
漏洞补丁集中分发功能,网管批量安装补丁好帮手 new!
· 支持局域网共享下载漏洞补丁,更可自定义漏洞补丁保存目录
· 提供U盘病毒免疫功能,阻止U盘病毒入侵
· 漏洞补丁扫描更精准,更新更及时,为各类突发漏洞提供及时有效的解决方案
增量升级,更快速升级特征库 new!
· 支持增量升级,更新特征库更快速
· 首页显示最新特征库信息,更了解查杀最新动向
扫描更多可疑位置,诊断报告更精确 new!
· 扫描更多恶意软件隐匿位置,更多列出系统可疑内容
· 诊断报告更精确,更准确更快速定位系统问题
超强查杀
· “破冰”技术,追击查杀广告软件asn.2、灰鸽子等最新变种。
· 查杀9000余款流行木马,1000余款恶意软件,每日增加中
免费杀毒
· 赠送价值320元的正版卡巴斯基杀毒V6.0,病毒库每小时更新,7*24小时全面服务
· 第一时间推出各类免费病毒专杀工具,熊猫烧香、灰鸽子尽数杀除
如何杀死木马Start
我的杀毒软件是Kaspersky。前段时间因为在我开着实时监控进入hacker文件夹时被其擅自删除了一些工具,一气之下关闭了他的实时监控,不过一直相安无事。昨天还头脑一热升级了Kaspersky。并且昨天偶尔会跳出一个来路不明的网站,我也没当回事。但是今天下午开机Kaspersky即告诉我他发现C:\Program Files\Common Files\Microsoft Shared\MSINFO\MsInfo.Dll(下面简称MsInfo.Dll)是木马Trojan.win32.startpage.aak(startpage木马的一个变种)。于是Google了一下Trojan.win32.startpage.aak,找到了一些其他网友的解决之道。但是还想自己探究一下,于是就没有按照网上的做法去立即处理。
先到文件夹C:\Program Files\Common Files\Microsoft Shared\MSINFO\,没看到MsInfo.Dll,于是更改文件夹选项,让其显示受保护的系统文件和隐藏文件,这回看到了,这个文件同时设置了s(系统文件)和h(隐藏文件)属性,而且还放在这么一个蹩脚的文件夹,挺会藏身的。用UltraEdit打开,发现没权限。复制,也不行,更别说删除了。Kaspersky也不能删除,于是就不断提示,关了。看来这个DLL正在干活。于是运行黑鹰的进程查看器,挨个查看载入MsInfo.Dll的进程,最后发现在QQ里面。于是关闭QQ,复制MsInfo.Dll,成功。但是删除还是不行。既然复制了一个,那就先看看里面到底有什么东西吧。于是用UltraEdit打开文件MsInfo.Dll,从里面摘取了几乎所有我能够看懂的内容如下(都只是片断,并非连续):
从MsInfo.Dll摘取的内容:
Temp1.Inf
Temp2.Inf
SOFTWARE\Borland\Delphi\RTL.FPUMaskValue
Liu_mazi Edit
\Program Files\Internet Explorer\IEXPLORE.EXE
wininit.ini
Software\Microsoft\Internet Explorer\Main
kernel32.dll DeleteCriticalSection LeaveCriticalSection EnterCriticalSection InitializeCriticalSection VirtualFree
VirtualAlloc LocalFree LocalAlloc GetCurrentThreadId MultiByteToWideChar GetStartupInfoA GetCommandLineA FreeLibrary ExitProcess WriteFile UnhandledExceptionFilter RtlUnwind RaiseException GetStdHandle user32.dll GetKeyboardType MessageBoxA advapi32.dll RegQueryValueExA RegOpenKeyExA RegCloseKey oleaut32.dll SysFreeString SysReAllocStringLen SysAllocStringLen kernel32.dll TlsSetValue TlsGetValue TlsFree TlsAlloc LocalFree LocalAlloc advapi32.dll RegSetValueExA RegCreateKeyExA RegCloseKey kernel32.dll WritePrivateProfileStringA Sleep ReadFile MoveFileExA LoadLibraryA GetVersionExA GetTickCount GetSystemDirectoryA GetShortPathNameA GetModuleFileNameA GetFileSize GetEnvironmentVariableA FreeLibraryAndExitThread DeleteFileA CreateThread CreateProcessA CreateFileA CompareStringA CloseHandle user32.dll WaitForInputIdle SetTimer MoveWindow KillTimer IsWindow GetWindowThreadProcessId GetMessageA GetClassNameA FindWindowExA FindWindowA EnumWindows DispatchMessageA DestroyWindow CreateWindowExA shlwapi.dll PathFileExistsA URLMON.DLL URLDownloadToFileA IsValidURL
Server.dll.Dll CanUnloadNow.Dll GetClassObject.Dll RegisterServer.Dll
Explorer.exe
我对该木马的一些探究:
这中间我又把实时监控打开过一次,而且糊里糊涂也没看仔细就让Kaspersky把我复制的那份MsInfo.Dll给删除了,于是又关闭了实时监控,想再复制一份,发现又不能复制了,看来该木马还有一个监视程序,当发现当前进程中已经没有任何进程载入MsInfo.Dll时就会再次将该dll注入到其中一个进程,这次他选择的是explorer,够狠。因为我从进程管理器看到explorer进程中载入了MsInfo.Dll。而木马的那个监视程序最可能的就是在IE缓存的那个文件了,具体名字我忘记了。但是现在清除IE缓存也没多大用处,因为MsInfo.Dll已经又运行了,随时可以再下载一个监视程序,于是就顺其自然吧。既然explorer被注入了,直接关闭进程还不如重启,于是就先看看其他地方,然后就重启。
去system32下面,竟然没发现Temp1.Inf和Temp2.Inf。而当我打开filemon,设置过滤条件为Temp1.Inf;Temp2.Inf时,却发现进程explorer在不断地交叉对Temp1.Inf和Temp2.In进行打开和查询属性操作。
又到windows目录下看有没有wininit.ini,但是没找到。Google了一下,发现该文件只是在windows启动时执行,并且执行完毕就被删除, 因此是不可能找到的。关于该文件这里有个参考网址:。
病毒木马往往是利用该文件的特殊性来神不知鬼不觉地在系统真正运行前用自己的DLL来替换系统DLL。
在注册表里面搜MsInfo.Dll,最后发现下面这个键HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B48F6409-4740-475B-A474-651F54CCE460}\InProcServer32的内容是C:\Program Files\Common Files\Microsoft Shared\MSINFO\MsInfo.Dll,于是将该子键直接删除。
查看注册表里面的HKCU\Software\Microsoft\Internet Explorer\Main和HKLM\Software\Microsoft\Internet Explorer\Main没发现什么异常。
想用Net transport当下来和大概看看其内容(应该是可执行文件),不过发现这个网站down掉了。
从MsInfo.Dll有这个字符串Liu_mazi来看,也许我们可以猜测其作者姓刘,自称刘麻子 :)
我们还可以从MsInfo.Dll里面那一大堆所使用的函数更加清楚地猜测他都做了些什么。
解决办法:
从上面所述我们可以看出,要解决此木马,关键是要连续干掉msinfo.dll和那个后台监视程序。
先打开Kaspersky的实时监控并且重启。
重启后,Kaspersky依然提示我MsInfo.Dll是木马,并且这回删除成功了。同时还删除了C盘回收站里面的Dc1.Dll,Dc2.Dll,Dc3.Dll。
也就免得我再到安全模式下删除了。
然后立即清空IE临时文件。再打开filemon,使用跟前面相同的过滤条件,再也没有发现对这两个文件的操作,而且Kaspersky再也没有出现提示,说明该木马已经被清除。
手工删除MsInfo.Dll:
如果你的杀毒软件没有在开机时帮你成功删除MsInfo.Dll,你可以按照下面的办法手工删除。
重启,F8,进入“带命令行的安全模式”。
然后在命令行运行如下命令
cd C:\Program Files\Common Files\Microsoft Shared\MSINFO\
attrib -s -h msinfo.dll
del msinfo.dll
然后再重启正常进入系统即可
-为什么有些木马病毒杀都杀不走??
你好:
这种可能是感染型的顽固病毒,所以一般杀软都不能清除的,你可以访问腾讯电脑管家官网,下载安装一个电脑管家
使用电脑管家工具箱中的顽固木马克星来查杀一下,电脑管家的顽固木马克星专门为
普通杀软无法清除或者根本检测不到的恶意威胁而设计,采用了非常强力的查杀引
擎,所以可以清除各种顽固的木马病毒
如果以后有什么问题,欢迎再来电脑管家企业平台询问,我们会尽心为您解答
如何查看自己电脑是否有病毒,或者是木马攻击?
查看电脑是否入侵,是否留有后门:
1、查看任务管理器--进程,是否有可疑程序。查看详细信息是否有可疑程序。必要时详情中点击程序右击打开文件所在的位置看看,再右击程序属性看创建日期及修改日期,看是否最新更新过系统或驱动,没有就要注意了。
2、win+R --cmd--输入:netstat -ano 看是否有可疑IP在进行外网链接,状态中后面数字为pid 。
解释:
listening:端口在监听,等待连接但是未连接;
time wait状态:曾经有过连接但当前断开了,最后一次连接状态。
established状态:连接中。
fin_wait_2:第二次fin应答状态。
close_wait: 已关闭连接的状态。
fin_wait: 关闭连接发fin应答状态。
3、看时间查看器--windows日志--系统,安全--信息--下部的常规--看服务文件名是否有可疑程序。
4、明知道是木马,杀毒不了,建议备份数据后重装电脑,加强防火墙及端口权限。不要浏览没有icp备案、不良信息的网站,
5、平时使用电脑比较快,看文件视频浏览网页不卡,但是遇到突然网页卡死或无网络、网络非常慢等要检查网线是否正常后查看是否被攻击。被攻击后建议备份数据重新装系统。
防止入侵:
1、加强防火墙管理。
2、加强端口进出入站规则。
3、加强远程权限管理。
4、加强共享文件管理。
5、不看不良网站。
其他命令:
1、通过端口找pid:netstat -aon|findstr "8008";
2、通过pid找程序:tasklist|findstr "3306";
3、查看ip,端口, pid信息:netstat -ano。