本文目录一览:
怎么查杀复制性的病毒?
一般杀毒软件对这类病毒木马也失效。用杀毒软件找到病毒木马位置,终止木马进程后用记事本打开木马,删除所有内容,保存。对于其他位置的同名文件进行相同操作。最后用autoruns查找自动运行的木马在注册表的位置,删除,重启,ok。
木马病毒如何查杀?
这是木马代理下载器的一个变种
下载木马,盗帐号密码的
清除方法:
首先打开注册表编辑器或用来恢复文件关联的工具(如RegFix),先不要关闭(否则再次启动应用程序的时候使病毒又重新加载,或者将“.exe”的后缀名改为“.com”也可以。),然后通过任务管理器或KillBox或者是TroyanFindInfo等进程管理工具结束病毒Rundll32.exe的进程,接下来恢复EXE和TXT文件关联,最后再找到病毒文件删除掉:
%System%\ .exe
%System%\notepad .exe
%Windows%\System\RUNDLL32.EXE(如果是Windows 2000/XP)
%Windows%\System32\RUNDLL32.EXE(如果是Windows 9x)
还有一步,到QQ安装目录下,把病毒生成的TIMPlatform.exe删除,然后把TIMP1atform.exe改名为TIMPlatform.exe即可。
注:推荐使用工具来恢复TXT文件关联。
木马可以把自己改为系统启动时必定会调用的某个文件名,并复制到比原文件要浅一级以上的目录里。Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,这就意味着,如果有两个同样名称的文件分别放在C:\和C:\Windows下,Windows会执行C:\下的程序,而不是C:\Windows下的,这就是木马运行起来的方式。但关键是如果你以为删除掉这些木马程序就万事大吉的话,你会发现在删除之后哭都来不及:系统也出了故障,所有应用程序都打不开了。因为在Windows系统里,文件的打开操作是通过注册表内相应键值指定的应用程序来执行的,这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内。而应用程序自身也被视为一个文件,它也属于一种文件类型,同样可以用其他方式开启,只不过Windows设置它的调用程序为“"%1" %*”,但是木马程序则修改了应用程序(EXE文件)的并联方式,它将EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”,也就是说,系统是通过调用木马程序将原来的.exe程序打开。所以当你把木马杀死后,没有东西给被改变并联方式的.exe文件传递参数,就没法启动这些程序,自然你的电脑的应用程序就打不开了。
一种最最最方便简捷有效的方法来恢复.exe文件的关联文件:新建一个记事本文件,把下面的复制进去
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
直接保存,然后右键点此文件,选打开方式-〉选择程序-〉浏览到windows文件夹里双击regedit,把信息加到注册表就可以了
电脑木马病毒怎么彻底清理
笔记本电脑病毒主要包括以破坏笔记本电脑文件等为目的的普通病毒和通过网络盗取别人笔 记本电脑资料和秘密的黑客、木马病毒。下面分别介绍电脑感染病毒木马后如何查找和清除。
1 普通病毒诊断与排除
笔记本电脑病毒会破坏文件或数据,造成用户数据丢失或毁损;抢占系统网络资源,造成网 络阻塞或系统瘫痪;破坏操作系统等软件或计算机主板等硬件,造成计算机无法启动,因此必须 及时发现并杀掉病毒。
当笔记本电脑感染病毒后通常会出现异常死机,或程序装入时间增长,文仵运行速度下降, 或屏幕显示异常,屏幕显示出不是由正常程序产生的界面或字符串,屏幕显示混乱,或系统自行 引导,或用户并没有访问的设备出现“忙”信号,或磁盘出现莫名其妙的文件和坏块,卷标发生 变化,或丢失数据或程序,文件字节数发生变化,或打印出现问题,打印速度变慢或打印异常字 符.或内存空间、磁盘空间减小,或磁盘访问时间比平时增长,或出现莫明其妙的隐蔽文件,或 程序或数据神秘丢失了,或系统引导时间增长,或可执行文件的大小发生变化等现象。
当笔记本电脑出现上述故障现象后,可以采用下面的方法进行检修。
安装最新版的杀毒软件(如瑞星等),然后查杀病毒;杀毒时杀毒软件会自动检查有无病毒, 如有病毒,杀毒软件会自动将病毒清除。
2 黑客、木马病毒诊断与排除
黑客、木马病毒的目的一般是为了盗取笔记本电脑用户的个人秘密、银行密码、公司机密等, 而不是为了破坏用户的笔记本电脑,因此笔记本电脑感染黑客、木马病毒后,系统一般不会出现 损坏。只是由于黑客、木马病毒在笔记本电脑中运行需要占用笔记本电脑的资源,因此笔记本电 脑的速度可能变得比较慢,另外,在不使用笔记本电脑的时候,笔记本电脑看起来还是很忙。
如果笔记本电脑感染黑客、木马病毒可以采用下面方法进行检修。
① 安装最新版杀毒软件和防火墙(如瑞星),然后运行杀毒软件杀毒即可。
② 手动查找黑客、木马病毒,具体的操作方法如下。
◆重新启动笔记本电脑到安全模式下,然后单击窗口中的“查看—文件夹选项”命令,接着单击切 换到“查看”选项卡,在“高级选项”列表框中取消“隐藏受保护的操作系统文件(推荐)”复选框,并选中“显示所有文件和文件夹”单选按钮,然后单击“确定”按钮,让所有文件都可见。
◆打开“我的电脑”中的c盘,查看c盘根目录下是否存在不熟悉的文件。如果有,且日期为发现 中毒现象当天,则将其删除。
◆查看完C盘根目录下后,接着打开C盘中的MNDOWS文件夹,首先按照修改时间顺序徘列图标, 查看最下面的文件。如果发现有中毒现象当天新建的文件,且为没有见过的,将其删除。
◆进入C盘WINDOWS文件夹中的system32文件夹,同样按照修改时间顺序排列图标,查看其中 的文件和文件夹。如果发现当天新建的文件或文件夹有中毒现象,且为没有见过的,将其删除。
◆查看C盘Program Files文件夹中的Intemet Explorer文件夹和Common Files文件夹,按照上面的 方法进行查看。
◆查看注册表的启动项,看有无不认识的启动项目,如果有,将其删除,同时清空临时文件夹 ( C:\WINDOWS\Temp),接着重新启动笔记本电脑即可。
木马病毒如何彻底清除?
瑞星有如下优点:
1.第八代虚拟机脱壳引擎(VUE)技术
“虚拟机脱壳”引擎(Virtualmachine
Unpack
Engine)首次将商用虚拟机的核心技术应用到杀毒引擎中。通过在计算机中构建一个仿真的运行环境,让加壳病毒在运行中自行脱壳、还原到原始形态,彻底查杀带有多重加壳加密的病毒。
2.Startup
Scan
独占式抢先杀毒技术
通过在Windows系统启动前加载,抢在木马、病毒启动前进行杀毒,可有效清除以往难以杀灭的病毒。
3.漏洞攻击防火墙联动技术
当杀毒软件检测到有病毒通过局域网进行传播时,会自动通知瑞星个人防火墙2007版切断病毒源对用户计算机的访问。实现单机在局域网中的安全隔离。
4.第二代智能提速增量查杀毒技术
用杀毒软件对计算机进行过一次查毒后,再次进行查毒时可选择只扫描变化的文件。用户升级杀毒软件后,也可以仅使用病毒库中新增加的特征进行查毒。大大提高了查毒效率,节省用户的宝贵时间。
5.NTFS流隐藏数据查杀技术
NTFS数据流是微软NT系统分区格式提供的一种功能,可以用来保存文件附加数据。目前,不少病毒、木马开始采用NTFS数据流进行隐藏。瑞星NTFS流隐藏数据查杀技术可以有效解决该问题,保证用户计算机不留安全死角。
6.专利未知病毒查杀技术(专利号:ZL
01
1
17726.8)
采用“未知病毒查杀”专利技术,不仅可查杀DOS、邮件、脚本以及宏病毒等未知病毒,还可自动查杀Windows未知病毒,在国际上率先使杀毒软件走在了病毒前面。
7.八大监控系统
提供了“文件、注册表、内存、网页、邮件发送、邮件接收、漏洞攻击、引导区”八大监控系统,给计算机提供完整全面的保护。八大监控系统不仅能够轻松查杀现阶段所出现的所有已知病毒,更能对未知的病毒、木马、间谍软件等进行预先防范。
8.主动漏洞扫描、修补系统
随时针对各个版本的操作系统进行漏洞彻查,第一时间提供漏洞信息和解决方案,具有支持连续打补丁的功能。
9.全自动无缝升级(专利号:ZL
01
1
42155.X)
主动式智能升级技术会自动检测最新的版本并自动为您升级。通过与瑞星个人防火墙2007版联动,可以保证在升级过程中不受诸如冲击波、震荡波、魔波病毒、木马、间谍软件及黑客等的侵袭。
10.支持64位操作系统
全面支持WindowsXP、Windows
Server2003
64位版,使安全无处不在。
11.文件粉碎技术
用户使用Windows删除文件后会留下残留数据,黑客通过简单的技术手段即可将数据进行恢复,造成用户信息泄密。瑞星文件粉碎技术删除文件后,即使进行数据修复也无法找回被粉碎的文件,保障了用户的隐私安全。
12.高速邮件监控技术
采用新一代高速邮件监控引擎,大幅度提高邮件扫描速度,可快速准确检测出邮件中附带的病毒,并进行清除。
13.垃圾邮件智能白名单
可自动将经常联系的电子邮件地址加入白名单中,大大提高垃圾邮件过滤的准确度,提高工作效率。
14.迷你杀毒
许多用户希望杀毒时不影响自己的工作,而传统的杀毒软件检查病毒通常需要较长的时间,且会明显减慢计算机的运行速度。瑞星杀毒软件2007版针对此问题提供了迷你杀毒功能,它只占用极小的系统资源。用户可以在查杀病毒过程中进行其他的工作,而不会感到速度有所减慢。
15.IE执行保护(IE防漏墙)
采用了基于行为监控的技术,对通过IE浏览器漏洞传播的病毒、木马以及流氓软件进行阻截,是目前市场上唯一采用主动防御技术的IE防护产品。该功能同时在瑞星卡卡上网安全助手3.1版中提供
怎样才能清除木马病毒
一、使用正确的杀毒方法
1、在安全模式或纯DOS模式下清除病毒
当计算机感染病毒的时候,很多人都会图方便,在正常模式下清除病毒,但这种方法往往是不能干净清除病毒的。
这里说的正常模式准确的说法应该是实模式(Real Mode),这里通俗点说了。其包括正常模式的Windows和正常模式的Windows下的"MS-DOS方式"或"命令提示符"。
在正常模式下,由于带毒的文件正在运行,是无法对这些文件直接进行操作的。从现今的反病毒技术和病毒来看,绝大部分病毒都不可能在正常模式下简单的就可以彻底清除了的。很多一些朋友误以为只要装上反病毒软件,软件可以彻底清除计算机上的病毒,当病毒无法彻底清除的时候就认为软件不好,这是很错误的!
建议在查杀病毒的时候,要在安全模式(Safe Mode)或者纯DOS下进行清除。对于现在大多数流行的病毒,如蠕虫病毒、木马程序和网页代码病毒等,都可以在安全模式下清除,不必要像以前那样必须要用软盘启动杀毒;但对于一些引导区病毒和感染可执行文件的病毒才需要在纯DOS下杀毒(建议用干净软盘启动杀毒)。而且,当计算机原来就感染了病毒,那就更需要在安装反病毒软件后(升级到最新的病毒库),在安全模式(Safe Mode)或者纯DOS下清除一遍病毒了!
2、不要使用网页在线杀毒
我想这也是很多朋友使用的杀毒方法,其实这种方法也是和上述的一样,同样无法彻底清除病毒,同时,由于利用了IE的特殊功能,会带来更多的安全隐患,而且一般反病毒厂商也不会提供全面的病毒库文件,所以这种方法充其量只能查出计算机上是否感染流行的病毒,而不能实际的进行清除病毒。而且,换个角度来看,如果这样就能干净清除病毒的话,那么厂商就没必要销售反病毒软件了。^o^
二、带毒文件存在于特定的目录或文件中的清除方法
这里所说的是由于某些目录和文件的特殊性,无法直接清除(包括安全模式下杀毒等一些方式杀毒),而需要某些特殊手段清除的带毒文件。以下所说的目录均包含其下面的子目录。
1、带毒文件在Temporary Internet Files目录下
由于这个目录下的文件,Windows会对此有一定的保护作用(未经证实)。所以对这个目录下的带毒文件即使在安全模式下也不能进行清除,对于这种情况,请先关闭其他一些程序软件,然后打开IE,选择IE工具栏中的"工具""Internet选项",选择"删除文件"删除即可,如果有提示"删除所有脱机内容",也请选上一并删除。
2、带毒文件在\_Restore目录下,*.cpy文件中
这是系统还原存放还原文件的目录,只有在装了Windows Me/XP操作系统上才会有这个目录,由于系统对这个目录有保护作用。
对于这种情况需要先取消"系统还原"功能,然后将带毒文件删除,甚至将整个目录删除也是可以的。
3、带毒文件在.rar、.zip、.cab等压缩文件中
现今能支持直接查杀压缩文件中带毒文件的反病毒软件还很少,即使有也只能支持常用的一些压缩格式;所以,对于绝大多数的反病毒软件来说,最多只能检查出压缩文件中的带毒文件,而不能直接清除。而且有些加密了的压缩文件就更不可能直接清除了。
要清除压缩文件中的病毒,建议解压缩后清除,或者借助压缩工具软件的外挂杀毒程序的功能,对带毒的压缩文件进行杀毒。
4、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中
这种病毒一般是引导区病毒,报告的病毒名称一般带有boot、wyx等字样。如果病毒只是存在于移动存储设备(如软盘、闪存盘、移动硬盘)上,就可以借助本地硬盘上的反病毒软件直接进行查杀;如果这种病毒是在硬盘上,则需要用干净的可引导盘启动进行查杀。
对于这类病毒建议用干净软盘启动进行查杀,不过在查杀之前一定要备份原来的引导区,特别是原来装有别的操作系统的情况,如日文Windows、Linux等。
如果没有干净的可引导盘,则可使用下面的方法进行应急杀毒:
(1) 在别的计算机上做一张干净的可引导盘,此引导盘可以在Windows 95/98/ME系统上通过"添加/删除程序"进行制作,但要注意的是,制作软盘的操作系统须和自己所使用的操作系统相同;
(2) 用这张软盘引导启动带毒的计算机,然后运行以下命令:
A:fdisk/mbr
A:sys a: c:
如果带毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中,那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件,一般作用不大,病毒在其中已经不起作用了。
5、带毒文件的后缀名是.vir、.kav、.kbk等
这些文件一般是一些防毒软件对原来带毒的文件做的备份文件,一般情况下,如果确认这些文件已经无用了,那就将这些文件删除即可。
6、带毒文件在一些邮件文件中,如dbx、eml、box等
有些防毒软件可以直接检查这些邮件文件中的文件是否带毒,但往往不能对这些带毒的文件直接的进行操作,对于一些邮箱中的带毒的信件,可以根据防毒软件提供的信息找到那带毒的信件,删除信件中的附件或者删除该信件;如果是eml、nws一些信件文件带毒,可以用相关的邮件软件打开,确认该信件及其附件,然后删除相关内容。一般有大量的eml、nws的带毒文件的话,都是病毒自动生成的文件,建议都直接删除。
7、文件中有病毒的残留代码
这种情况比较多见的就是带有CIH、Funlove、宏病毒(包括Word、Excel、Powerpoint和Wordpro等文档中的宏病毒)和个别网页病毒的残留代码,通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是int、app等结尾,而且并不常见,如W32/FunLove.app、W32.Funlove.int。一般情况下,这些残留的代码不会影响正常程序的运行,也不会传染,如果需要彻底清除的话,要根据各个病毒的实际情况进行清除。
8、文件错误
这种情况出现的并不多,通常是某些防毒软件将原来带毒的文件并没有很干净地清除病毒,也没有很好的修复文件,造成文件无法正常使用,同时造成别的防毒软件的误报。这些文件可以直接删除。
9、加密的文件或目录
对于一些加密了的文件或目录,请在解密后再进行病毒查杀。
10、共享目录
这里包括两种情况:本地共享目录和网络中远程共享目录(其中也包括映射盘)。
遇到本地共享的目录中的带毒文件不能清除的情况,通常是局域网中别的用户在读写这些文件,杀毒的时候表现为无法直接清除这些带毒文件中的病毒,如果是有病毒在对这些目录在写病毒操作,表现为对共享目录进行清除病毒操作后,还是不断有文件被感染或者不断生成病毒文件。以上这两种情况,都建议取消共享,然后针对共享目录进行彻底查杀,恢复共享的时候,注意不要开放太高的权限,并对共享目录加设密码。
对远程的共享目录(包括映射盘)查杀病毒的时候,首先要保证本地计算机的操作系统是干净的,同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话,建议还是直接在远程计算机进行查杀病毒。
特别的,如果在清除别的病毒的时侯都建议取消所有的本地共享,再进行杀毒操作。在平时的使用中,也应注意共享目录的安全性,加设密码,同时,非必要的情况下,不要直接读取远程共享目录中的文件,建议拷贝到本地检查过病毒后再进行操作。
11、光盘等一些存储介质
对于光盘上带有的病毒,不要试图直接清除,这是神仙也做不到的事情。同时,对另外一些存储设备查杀病毒的,也需要注意其是否处于写保护或者密码保护状态。