今天分享{黑客24小时在线接单网站}的知识,会对常见木马病毒解释,如果解决了您的问题可以收藏本站。
为什么我的木马syssp安装包删除不了?
很多手机病毒会伪装为正常软件或者诱惑性名称,存在系统分区中恢复出厂设置是无法删除的,若怀疑手机中存在木马或者病毒,一般的表现是手机自动下载其他推广软件、手机卡顿发热、出现有遮挡的广告等。请尝试按照以下步骤进行清除:
请尝试安装一款安全软件(例如:手机管家等)。以手机管家为例,打开手机管家,点击主界面上的一键体检即可自动检测手机中存在的问题,并且给出处理建议,点击一键清除即可删除病毒程序。
若重启手机发现病毒依然存在或者提示无法删除,请先获取ROOT权限再进行深度查杀,获取ROOT可以使用电脑端的一键ROOT工具进行。
若发现某款软件存在恶意行为,手机管家缺没有检测出来,请尝试将软件在手机管家的查杀界面中进行举报和上传,来帮助我们改善手机管家的杀毒能力。
电脑中病毒啊
看问答篇第3问,
此篇写于2009/07/18,从晚上10点开始到凌晨4点,但当时是中毒状态,一边杀毒一般写,结果本来都写好了,但操作时IE崩溃了,12点后的我没保存,全部没了,当时心痛,真的很痛,19号有事外出,没写,今天补上,红色部分为木马或特别说明,淡红色为说明,请看完这篇文后再实践,总结在最后,记得要先看
第一篇,工具篇
去下sreng,xuetr,wsyscheck0116中文版,process explorer,没有去网上下,没网用U盘拷,没U盘,没U盘也继续看
sreng
xuetr
wsyscheck0116中文版
process explorer
第二篇 准备篇
一,判断电脑中是什么类型的木马,有没有autorun,有没有映像劫持,有没有dll插入,有没有驱动启动。
1,有无autorun
看各个盘下有无autorun.inf文件,文本格式的,系统隐藏属性,看不见,工具-文件夹选项-查看-隐藏受保护的操作系统文件(推荐) 去√,显示所有文件和文件夹。打点,隐藏已知文件扩展名,去√,
没有,过;有,删了又有,过;设置不能改,过;中毒中,当然不让你改。
2,有无映像劫持,
用sreng看,在 启动项目-注册表,下来有IFEO,红色的,恭喜,被劫持了,删不了吧;用xuetr看,映像劫持 那里,有,删里刷新又出来,还是删不了吧;在注册表里看,运行RegEdit,打不开,提示被管理员禁用,放下,用xuetr上面的打开,杀完毒在解决,怎么解决,我不知道,直接百度,在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 里面就是映像劫持了,能删你就删,能不能我不知道,没试过。
3,有无dll插入,
用sreng2的智能扫面,看报告里的东西,标记为有N/A,[ ],file ismissing,这些标有有可能是exe,dll,fon,sys等格式的,有且很多 又百度不到说明,恭喜你,中了,用xuetr同样可以,打开xuetr,如果提示有线程注入,点是就行,你随便点个进程,木马特喜欢插explorer这个进程,就点它好了,右键-查看进程模块,你会发现很多没有文件厂商说明的数字字母命名的dll,fon格式的东西,再次恭喜你,中了。QQ也是木马喜欢插的一个。
4,有无木马驱动,
用sreng查看,点→启动项目→服务→,在win32和驱动里面找吧,名字怪怪的,数字字母混合的有没有啊?有的话,中了,记得隐藏已认证的微软项目哦,不然那么多够你看的,当你点注册表那项时提示你appInit_dlls,不是默认值时,差不多也是中了,sreng看不太明白,看xuetr打开xuetr,打开过的就别打开了,在服务那找,没文件厂商的,名字怪怪的,比sreng看起来好多了吧,信息很全了,在道内核模块那找,找什么?没什么什么的呀,上面说过就忘了。
第二篇到此结束,谢谢观赏
第三篇 问答篇
1,问:安全模式进不去怎么办?蓝屏?没反应?
答:用sreng修复功能,那有,找不到别找我,修改注册表参照修 复安全模式篇,不再这里,是另一篇文章,还没写
2,exe,com,bat等可执行文件打不开怎么办?
答:你用sreng修复啊!不说打不开了吗?忘了,不好意思(~O(∩_∩)O~)。
方法1,改名字,exe运行不了该成.com,.com运行不了改成.bat,bat运行不了改成.cmd,还运行不了啊?看方法2吧;
方法2,打开程序,打开选择那选→从列表中选择程序→选windows command processor,也就是cmd,没有去windows\system32下找,这样你发先打开cmd窗口了吧,不要问我为什么能打开cmd.exe,我也不知道,问比尔盖茨去,有cmd就好办了,在cmd里输入assoc .exe=exefile,enter键,输 ftype exefile="%1" %*,exe程序能运行了,类推就是com了,等等,等等,能运行exe程序你该笑了吧,没cmd看方法3去,
方法3,没cmd找别人借个,U盘不用我借你吧;用安装盘进windows PE系统,操作方法如2,PE进去找不到硬盘看方法4
方法4,除了重装系统外的所有方法,暂时没想到,
方法5,刚想到的,系统装到其他分区去,用这个系统启动杀木马就行了,适合有重要资料的人使用,没必要就格了吧,省事
3,杀毒软件打不开怎么办?首页被改怎么办?输关键字如“杀毒”网页自动关怎么办?
答:参照 准备篇,问答篇第2问,中毒了吗?中了像下看,肯定中了的啦!!
4,我电脑中了!求高手帮忙解决或我电脑中毒了怎么办啊!!??百度知道常见问题。
答:我的回答,杀毒,或就你那十来个字,我总结出三个字:不知道,再或贴sreng扫描报告,结果没一个贴的,我失望,只好天天去挣2分去了,
在此认真回答,请把这篇文章看完,保证你有收获,不想看完的话扫sreng报告发到我邮箱里去只要我有空帮你看,282967372@163.com,等不及那就就格了重装或找有空的人,
5,什么是进程?什么的pid?什么是dll?什么是驱动?
答:去百度搜,我也说不清楚,简单比方说,程序是一穿衣服人的话,进程就一裸体人,PID就一身份证,dll(指木马)就一病毒细菌的干活,程序就是穿衣服的人,很多很像,可以一模一样,没人说你,进程就像双胞胎乃至多胞胎,总归有个数,PID就一身份证,一人一个,dll(指木马)就一寄生虫,在人体(程序)内活的,出来就死翘翘了;驱动(专指木马)就一异型,难找难宰,自己能活,还楞的装成个人,一不小心就放过去了;
6,为什么你会知道哪些是木马的进程/驱动/dll/fon?
答:我也不知道太阳离我们有多远,那是别人告诉我的,所以你要去百度找进程方面的资料,然后记下来,时间久了就知道了,也可以经常用sreng扫描报告对比,我经常这样做的
7,你不是说是手动杀毒吗?哪来那么多软件要用?
答:问你1+2+3+。。+100=?你是拿xp那个计算器加加加,得到5050呢还是下个软件直接输个1和100得到5050呢?简单问题复杂化。
8,你经常说免疫是怎么回事?
答:就建一个和木马同名的文件夹或文件,在里面在放个。。的文件,删不了就行
那个。。文件夹建法
我们以autorun免疫为例:运行里输cmd打开后输:
md c:\autorun.inf\autorun.inf..\ ,几个点随你,但要=2,
md d:\autorun.inf\免疫...\ ,下面这个文件夹名字随便取, 啊!类推,你有几个盘就建几个
删除这样的文件夹直接在cmd里输rd c:\autorun.inf\autorun.inf..\
进入文件夹在运行里输 c:\autorun.inf\autorun.inf..\
9,出现comres.dll无法找到入口点怎么办?
答:这个一般是木马替换了原来的正常文件,如果出现对话框,你点点点,就没了,然后上网下comres.dll,在下,放到c盘根目录下或Windows目录下,其他盘也行,不过建议放到C盘下,你放到system32目录下,不会让你放的,不信你放了就知道了,然后用regsvr32注册,命令是regsvr32 c:\comres.dll 这样重启电脑后所有的软件都用c盘下的这个comres.dll了,再去32目录下删了原来的复制正常的过去,再注册回去,就是regsvr32 c:\Windows\system32\comres.dll 。
方法2,用xuetr全局卸载这个dll,就能复制到32目录下了
10,你 啰嗦半天到底还杀不杀了?
答:现在就杀,现在就杀,不要吓我,我怕怕!!!
第四篇 动刀篇
实例:以为一网友杀毒并用其机器中的木马为基础讲解下,我现在机器可中中毒着,没用虚拟机的,杀不了我也要 格! 格! 格!
病毒名:system.exe ,释放文件为system.dll ,此dll文件用txt打开后都是乱码,但有,这个东西,都是木马程序,密码我搞不定,不会,真的!不会
在每个盘生成autorun.inf 和AutoRun.vbs和system.exe文件,autorun.inf内容为:
[AutoRun]
shellexecute=AutoRun.vbs
shell\Auto\command=AutoRun.vbs
就一简单执行AutoRun.vbs这个脚本程序,然后这个脚本程序又执行system.exe,脚本程序内容为:
set yu=wscript.createobject("wscript.shell")
yu.run "cmd /c start system.exe",0
yu.run "cmd /c start E:\",0 →c盘的就是C:\',0,d盘你知道了吧
这里就是典型的autorun木马了,这个system木马在每个盘下创建自己,你一不小心打开盘就中了,预防就关了自动播放,在每个盘下建个autorun.inf文件夹,
下面说system.exe还干了什么事,基本就是狂下木马,修改首页, 然后桌面不能用,explorer.exe被强奸了,下完就有桌面了,然后分析干什么事,
重启后没有桌面,但你等会就有了,用process explorer看的话会发现当explorer.exe下面蹦出rundll32.exe后桌面就出来,简单说就是explorer加载了rundll32.然后rundll32.exe加载木马,一会就出现xttp6j11x.exe,cmd.exe有3个,cmd不是木马,只是被调用了,一个iexplore.exe,IE知道吧,你没开网页也会有,不要搞忘了,一个1a1.exe,QQ登不上,有中奖消息提示你
总结下:进程出现
xttp6J11x.exe,在c:\windows\system32目录下
1a1.exe ,在c:\windows\system32目录下
iexplore.exe 被木马强奸的,结束就可以了不用删
cmd.exe 被木马强奸的,结束就可以了不用删,有3个,我这的是3个
QQ无法登陆,出现QQ中奖消息提示
上面说的都是基本症状,就是简单看出来的,下面我们用这几个软件看看,重点部分了,这里你搞明白了,以后你中毒就就会做了,
用sreng看,我直接扫描报告,把报告里面的部分东西贴上来,具体分析
启动项目 ,也就是软件上的那个启动项目里面的东西,更具体了,有一个正常的对比
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
ctfmon.exeC:\WINDOWS\system32\ctfmon.exe [(Verified)Microsoft Windows Component Publisher] 有说明,此项对比用
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
load [N/A] 这里通常什么都没有的注意了
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
systemC:\WINDOWS\system32\system.exe [] ←我说的那个[ ] ,木马添加自启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
stupC:\WINDOWS\system32\1a1.exe []←我说的那个[ ] ,木马添加自启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLsC:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll, [] 木马
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
{AB900155-F1F0-4165-9E73-67BC13BBCE89}C:\WINDOWS\system32\xg4hAPNygs29.dll []木马
{22EEBD06-A251-44C3-BB16-426025319471}C:\WINDOWS\system32\e999G49bN.dll []木马
{CEBB8F8A-308B-43E9-9789-B6FD6BE1BD97}C:\WINDOWS\system32\v54M9wWBuNGTf2m.dll []木马
{76CBCF38-0583-44C7-A1AE-D463DFE625EC}C:\WINDOWS\system32\skcfujQ5EDN.dll []木马
{76B9BA7A-81D0-4979-8598-8471F2AB5186}C:\WINDOWS\system32\76B9BA7A.dll []
{9726072A-8039-4958-B609-565CF7A16B38}C:\WINDOWS\system32\JPccCJnKygDdp3.dll []
-B20E-0B656D450264}C:\WINDOWS\system32\A0C86020.dll []
{F8C6B7B5-DAE0-4B78-BF2A-101C9A9CCA27}C:\WINDOWS\system32\Va7SpUWgCA5f.dll []
{C1606DC4-C352-4B1F-A0B5-52DF3204E05D}C:\WINDOWS\system32\up9fEkYRsKHT.dll []木马
{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}C:\WINDOWS\system32\122B901E.dll []
{41912A21-4337-4E99-8C30-80A8434B0793}C:\WINDOWS\system32\zHvqM6hMxwpem.dll []
{11B10F7F-FB23-466D-BDC3-9591CF02EC17}C:\WINDOWS\fonts\uXUsF2RrQy.fon []
{37C5D66A-8B1B-4545-8112-3751194F6A4A}C:\WINDOWS\system32\taNjsFa2tT2Dh.dll []
{71C4F360-FF1E-413E-B17A-0CA267A78E97}C:\WINDOWS\system32\qB5BKZy7vR5m.dll []
{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}C:\WINDOWS\system32\ndxq9awMc.dll []
{A5CA6C70-7185-4466-AB45-B1C34E7A37CA}C:\WINDOWS\system32\ed78ab9.dll []
{DA112397-5376-4E52-A333-A85284658DEA}C:\WINDOWS\fonts\NPPVWvYEyCe8H.fon []木马 fon格式的,这种我找不到源文件,
由于太多,我就不全部标记,也没贴全,毕竟这只是例子,大家自己找,自己判断,就找数字字母混合型,N/A,[ ] File is missing 的看自己了,最好记下来,后面有用,
启动文件夹 一般木马不会放这,但不排除也有
N/A
服务
太多,就贴个正常的对比下,和木马
[Intel?PROSet/Wireless WiFi Service / S24EventMonitor][Running/Auto Start]
C:\Program Files\Intel\WiFi\bin\S24EvMon.exeIntel(R) Corporation 无线网卡的,有说明
[xttp6J11x / xttp6J11x][Running/Auto Start]
C:\WINDOWS\system32\xttp6J11x.exeN/A 上面提到的,在进程里的那个程序,此项可以直接在sreng那里删除后停止启动,xuetr也行。
驱动
驱动程序
[RAS Asynchronous Media Driver / AsyncMac][Stopped/Manual Start]
system32\DRIVERS\asyncmac.sysN/A 对比5,6月份报告没有此项,但7月份有,无法判断是不是正常,我先放着了
[eamon / eamon][Running/Auto Start]
[ehdrv / ehdrv][Running/System Start]
system32\DRIVERS\ehdrv.sysN/A 对比 5 6月份没有,7月份有,发现是ESET的,难道是因为是把360版换成官方版的缘故?
peio / peio][Running/Manual Start]
\??\C:\WINDOWS\system32\Drivers\peios.sysN/A 对比567月都没有,暂时判断为木马
[yrgpvq / yrgpvq][Running/Boot Start]
\SystemRoot\system32\drivers\lwtsg.sysN/A 不用对比,我直接判断为木马,服务名驱动名都是乱七八糟的,你不要问为什么,我的感觉,时间久了你也就能感觉了
正在运行的程序
我就贴两个个出来说明下,
[PID: 1264 / SYSTEM][C:\WINDOWS\system32\xttp6J11x.exe] [N/A, ] 那个木马,
标记看到了吗?system.exe没有运行,因为我重启后ESET的杀毒程序没启动,但服务启动了,估计被杀了,还有上面提到几个也都没有,
在这我要说下,不是广告不是托,ESET比瑞星强,我那网友开着瑞星我帮他QQ远程,进程里那几个木马都在,瑞星除了自保了,什么也没做,扫也扫不到,所以给大家的建议,装瑞星的还是卸了吧,再说一遍,我不是托,我的经历告诉我瑞星不行,不要和我辩,你可以选择继续用瑞星那个不咋地的杀软,
[PID: 1324 / IEXPLORE.EXE][IEXPLORE.EXE] [Microsoft Corporation, 7.00.6000.16791 (vista_gdr.081217-1620)]
插入型的木马,一般是dll文件,fon文件,插在IEXPLORE.EXE里
[C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll] [N/A, ] 这个木马每个都插,厉害,也不怕身体受得了受不了,也点H吗?
[C:\WINDOWS\system32\UxTheme.dll] [Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)] 我正常的很
[C:\Documents and Settings\jly\Application Data\S3.dll] [N/A, ] 木马,
[C:\WINDOWS\system32\mtlrd.dll] [, 4.4.3.0]
[C:\WINDOWS\system32\COMRes.dll] [Microsoft Corporation, 2001.12.4414.42] 网友那个
COMRes.dll被木马替换还是感染什么的我说不好,但是网友的标记为N/A,肯定是木马了,就是最近流行的COMRes.dll找不到入口点什么的,我这个没有,奇怪,难道我长的帅?如果你的被替换,请参照问答篇
[C:\WINDOWS\fonts\YZefWbcSzhK6J.fon] [N/A, ] 木马 这个字库格式的木马我找不到路径,所以没的删除,但你按路径打的开,没办法我改了打开方式,让他用记事本打开,我只是想看看怎么找这个文件,在这说下,没什么意思,
[C:\WINDOWS\system32\JBn2ypqY23vWX.dll] [N/A, ]木马
[C:\WINDOWS\system32\taNjsFa2tT2Dh.dll] [N/A, ]木马
[C:\WINDOWS\fonts\uXUsF2RrQy.fon] [N/A, ]木马
[C:\WINDOWS\system32\Va7SpUWgCA5f.dll] [N/A, ]木马
[C:\WINDOWS\system32\08223B03.dll] [N/A, ] 木马
[C:\WINDOWS\fonts\xPjWNGd8cERq.fon] [N/A, ] 木马
[C:\WINDOWS\fonts\fyrwJf5Qfhh.fon] [N/A, ] 木马
[C:\WINDOWS\system32\704C3595.dll] [N/A, ] 木马
[C:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon] [N/A, ] 木马
[C:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll] [N/A, ] 木马
[C:\WINDOWS\system32\JPccCJnKygDdp3.dll] [N/A, ] 木马
[C:\WINDOWS\system32\76B9BA7A.dll] [N/A, ] 木马
[C:\WINDOWS\system32\skcfujQ5EDN.dll] [N/A, ] 木马
[C:\WINDOWS\system32\e999G49bN.dll] [N/A, ] 木马
[C:\WINDOWS\system32\xg4hAPNygs29.dll] [N/A, ]木马
[C:\WINDOWS\system32\Mit47503109Lic.dll] [, 1, 0, 0, 1] 判断不好,放着了
[C:\WINDOWS\system32\up9fEkYRsKHT.dll] [N/A, ] 木马
我没有贴全,但你一定要找全,并记下名字,后面有用,现在可能会很繁琐,但以后就不会了,熟能生巧
下面的这两项有问题就修复下吧,杀毒后修复
Autorun.inf
HOSTS 文件
上面用sreng这个软件查看部分就结束了,如果你熟悉的话都可以处理了,但我没有处理,就是想一步一步说明,当你熟悉后,你自然知道怎么做了
xuetr功能使用说明 简单说明
这里我们就要操刀了。sreng只是辅助使用,xuetr才是主角,,补充:你可以用类似xuetr的工具,如冰刃,狙剑,等等,
首先打开xuetr,
本工具配置 :这里可以全部√上,也可以不管,个人操作习惯问题。
映像劫持:里面有东西,试试删除,如果在本工具配置那都√上了,里面有东西你删除后刷新也不会再有了,如果你没配置,刷新后又有,可以不用管,杀完毒再删就没了
DCP定时器,不知道干什么的,没用过,不管
服务:找没文件厂商,没描述,名字怪怪的,知道怎么怪吧?这里一般都是Microsoft Corporation居多,还有显卡厂商,一些软件厂商,杀软,播放器厂商等等,要仔细看,我以前就看到个厂商叫computer is here的厂商,你告诉我这是不是木马,肯地是。,找到后根据sreng的报告选择删除或停止服务,建议用停止,因为有时不能判断,
其他的不说了,直接看内核那
内核模块:这里比较危险,删错容易蓝屏死机,所以要判断准确了,同样和服务那样找,xuetr.sys这个没厂商,这是xuetr自己的驱动,不要删了。 不确定的校验数字签名
进程:
建议值保留,其他都结束了
System Idle Process 系统空闲进程,级别高,没有映像路径
System 系统关键进程,映像路径 是system
smss.exe system32目录下,系统关键进程,
csrss.exe system32目录下,系统关键进程
winlogon.exe system32目录下,系统关键进程
services.exe system32目录下,系统关键进程
lsass.exe system32目录下,系统关键进程
svchost.exe system32目录下,系统关键进程,有几个留几个
wmiprvse.exe system32\wbem下,可能你的没有
explorer.exe windows目录下,简单说就是桌面,没了就没桌面,可以结束,没桌面不习惯,留着
ctfmon.exe system32目录下,输入法,没了没输入法,可以没有,不习惯?留着吧
XueTr.exe xuetr自己,任意目录下,看你放哪了
结束进程出现60秒倒计时关机时在运行里输入 shutdown -a 记得敲 回车键 或 点 确定,如果有杀毒进程的话也可以留着,
为什么留这几个进程?还记得木马喜欢插吗?进程少,你干活就少啊,并且把木马进程也结束了是吧
现在开始卸载dll,上面我们已经删除驱动和服务了还记得吗?卸载完dll就大功告成,杀软肯定能打开了,如果打不开,就是还有漏的,继续找,重复以上步骤,直到杀软能打开扫描杀毒为止
一个一个进程看,右键查看进程模块,找到我上面要你记下的那些N/A的吗?全局卸载,一般这些木马在这也是一样,没文件厂商,全局卸载过程中可能会出现桌面崩溃,软件崩溃,等等,不用管,只要不死机就行,记得最后卸载xuetr里面的,不然xuetr死了后你用任务管理器结束不了,要重启机器,那样你就白忙了
注意:有可能你会发现sreng扫描的标记为N/A,[ ] 那些,就是你记的那些,在xuetr看有文件厂商,你会奇怪为什么了,我也不明白,但一般你校验数字签名的话 没有签名就可以卸载了,但有的没文件厂商,你校验数字签名有签名的不要卸载
全部卸载完打开杀软,杀毒吧,
总结:我们可以看到木马的几个通性,名字怪,08223B03.dll 纯数字,xg4hAPNygs29.dll,xttp6J11x.exe,混合型,lwtsg.sys 没规律的字母组合,sreng扫描都是N/A, xuetr,看数字签名基本没有
peios.sys 这是木马,我上面无法判断,所以我停止服务,但没删,ESET 启动后扫到为木马并且隔离了
asyncmac.sys ,不是木马,ESET没报,查看文件有厂商,是微软的,网上检测 ,过了,没事
一般用xuetr是先结束进程,后停止服务,在删除内核的木马,上面是根据软件界面来的,但同样可行,
杀软启动后就可以把病毒木马杀了,只要你别用瑞星就行,
最后用xuetr修复映像劫持,这样你的很多软件就能打开了,sreng修复累死人,不建议用,修复HOSTs用sreng,xuetr不好用,此木马修改的首页也可以改回来了,,任务栏的快捷方式要点属性把后面的,删了
扫描sreng报告时最好关了网页,QQ,等所有软件,减少扫描内容方便大家看
那个木马我放到里了,图片区,想玩的去下
请问syssp是什么木马,对手机有哪些危害
很多木马程序会伪装为正常软件或者诱惑性名称,存在系统分区中恢复出厂设置是无法删除的,一般的表现是手机自动下载其他推广软件、手机卡顿发热、出现有遮挡的广告等。若怀疑手机中存在木马或者病毒,请尝试按照以下步骤进行清除:
请尝试安装一款安全软件(例如:手机管家等)。以手机管家为例,打开手机管家,点击主界面上的一键体检即可自动检测手机中存在的问题,并且给出处理建议,点击一键清除即可删除病毒程序。
若重启手机发现病毒依然存在或者提示无法删除,请先获取ROOT权限再进行深度查杀,获取ROOT可以使用电脑端的一键ROOT工具进行。也可以尝试使用专门的法老病毒专杀工具进行一键查杀。
安卓手机syssp木马病毒如何清除?谢谢..!
可以安装杀毒软件,直接进行查杀
如腾讯手机管家,还能优化手机系统,提升手机的运行速度。
用腾讯手机管家杀毒的步骤是:到官网下载安装最新版本的腾讯手机管家,安装后更新病毒库-再在手机桌面点击“腾讯手机管家”-选择“病毒查杀”-选择“快速扫描”(或者“全盘扫描”)即可对手机进行彻底杀毒。
手机出现sysphones病毒
您好,a.expense.sysphone软件(类似病毒全.称预装恶意软件)隐藏在系统文件夹sysphones中,该软件会开机自启动,如果以病毒定义来说这个软件不算病毒,因为它只下载本身推广软件,安卓手机就在带很多这种文件
如果是新出现的问题可以直接删除
方法很简单用比较稳定的方法root权限下载高权限杀毒软件强力清除如果您还有什么问题欢迎继续追问
LSASS是病毒吗??为什么我把它在进程立结束了,就有问题了!!
处理冲击波
病毒中文名:冲击波(包括很多变种)
病毒类型:蠕虫病毒
攻击对象:Windows NT 4.0,Windows 2000,Windows XP,Windows Server 2003等
传播途径:“冲击波”是一种利用Windows系统的RPC(远程过程调用,是一种通信协议,程序可使用该协议向网络中的另一台计算机上的程序请求服务)漏洞进行传播、随机发作、破坏力强的蠕虫病毒。它不需要通过电子邮件(或附件)来传播,更隐蔽,更不易察觉。它使用IP扫描技术来查找网络上操作系统为Windows 2000/XP/2003的计算机,一旦找到有漏洞的计算机,它就会利用DCOM(分布式对象模型,一种协议,能够使软件组件通过网络直接进行通信)RPC缓冲区漏洞植入病毒体以控制和攻击该系统。
中毒症状:
1.系统资源紧张,应用程序运行速度异常;
2.网络速度减慢,“DNS”和“ⅡS”服务遭到非法拒绝,用户不能正常浏览网页或收发电子邮件;
3.不能进行复制、粘贴操作;
4.Word、Excel、PowerPoint等软件无法正常运行;
5.系统无故重启,或在弹出“系统关机”警告提示后自动重启等等。
应急办法:
如果不小心感染病毒,可以使用如下步骤进行查杀:
1.关闭“系统关机”提示框
在出现关机提示时,在“开始→运行”中输入“shutdown -a”,即可取消“系统关机”提示框,该方法确保用户有足够的时间下载补丁。
2.下载针对“冲击波”的补丁
Windows 2000简体中文版补丁下载地址:;familyid=c8b8a846-f541-4c15-8c9f-220354449117
Windows XP 简体中文版(32位)补丁下载地址:
;familyid=2354406c-c5b6-44ac-9532-3de40f69c074
Windows Server 2003 中文版(32位))补丁下载地址:
;familyid=f8e0ff3a-9f4c-4061-9009-3a212458e92e
在下载补丁时,要注意不同的操作系统、不同的版本均有不同的补丁,不可混淆。安装补丁时,盗版Windows XP系统可能不能正常安装,Windows 2000操作系统则必须升级SP2以上版本才可安装。
Windows2000 Service Pack 4简体中文版下载地址:
3.下载专杀工具
瑞星“冲击波(Worm.Blaster))”病毒专杀工具下载地址:
金山“冲击波(Worm.Blaster))”病毒专杀工具下载地址:
4.脱机杀毒
断开网络连接,然后运行专杀工具,这些工具体积小巧,操作简单,按照提示操作即可。
手工清除:
如果想体验一下手工杀毒的乐趣,可以按以下步骤操作:
1.中止进程
按“Ctrl+Alt+Del”组合键,在“Windows 任务管理器”中选择“进程”选项卡,查找“msblast.exe”(或“teekids.exe”、“penis32.exe”),选中它,然后,点击下方的“结束进程”按钮。
提示:如不能运行“Windows 任务管理器”,可以在“开始→运行”中输入“cmd”打开“命令提示符”窗口,输入以下命令“taskkill.exe /im msblast.exe”(或“taskkill.exe /im teekids.exe”、“taskkill.exe /im penis32.exe”)。
2.删除病毒体
依次点击“开始→搜索”,选择“所有文件和文件夹”选项,输入关键词“msblast.exe”,将查找目标定在操作系统所在分区。搜索完毕后,在“搜索结果”窗口将所找到的文件彻底删除。然后使用相同的方法,查找并删除“teekids.exe“和“penis32.exe”文件。
提示:在Windows XP系统中,应首先禁用“系统还原”功能,方法是:右击“我的电脑”,选择“属性”,在“系统属性”中选择“系统还原”选项卡,勾选“在所有驱动器上关闭系统还原”即可。
如不能运行“搜索”,可以在“开始→运行”中输入“cmd”打开“命令提示符” 窗口,输入以下命令:
“del 系统盘符\winnt\system32\msblast.exe”(Windows 2000系统)或“del系统盘符\windows\system\msblast.exe”(Windows XP系统)
3.修改注册表
点击“开始→运行”,输入“regedit”打开“注册表编辑器”,依次找到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”,删除“windows auto update=msblast.exe”(病毒变种可能会有不同的显示内容)。
4.重新启动计算机
重启计算机后,“冲击波”病毒就已经从系统中完全清除了。
防 御:
可以通过系统升级、优化网络设置和使用第三方软件的方法来增强系统的安全性能。
系统升级防病毒
安装针对“冲击波”的补丁后,怎样确认补丁已经正确安装呢?我们可以通过查看注册表的方法来确认,方法如下:在“开始→运行”中输入“regedit”,打开“注册表编辑器”,查看相应的注册表信息:
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980”(Windows 2000系统)
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980”(Windows XP系统)
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB823980”(Windows Server 2003系统)
禁用端口防病毒
“冲击波”病毒是利用系统的135、137、138、139、445、593端口,以及UDP端口69(TFTP))和TCP端口4444入侵系统的,只要禁用了这些端口就能有效地防范此类病毒。
1.手工设置
手工禁用端口的方法如下(以Windows 2000为例):
打开“控制面板”,双击“网络连接”,右击“本地连接”,选择“属性”,在“本地连接属性”窗口中,选择“Internet”协议,点击“高级”按钮,然后在“高级TCP/IP设置”窗口中选择“选项”选项卡,双击“TCP/IP筛选”即可进入设置窗口。选择“只允许”,则用户只能使用设定的端口,这样就可以达到禁用危险端口的目的。一般而言,如果我们的计算机只是工作站而不是服务器,就可以只开放如下端口:TCP:80,UDP:6,IP协议:17。
提示:不同的应用程序可能会要求使用系统不同的端口,比如FTP软件需要用到TCP21端口等,请按照各程序的说明文件进行相应的设置。
2.使用防火墙软件
对普通用户而言,手工设置可能会比较困难,笔者建议使用专门的防火墙软件,如Norton Internet Security、金山网镖、瑞星个人防火墙、天网防火墙个人版等。
启用Internet连接防火墙
对于使用 Windows XP或Windows Server 2003的用户来说,系统内置的Internet连接防火墙就能有效地阻止来自Internet的入站RPC通信信息,从而免受此类病毒的影响。操作方法为:进入“开始→控制面板”,双击“网络连接”,右击“本地连接”,选择“属性”,在“属性”窗口中点击“高级”按钮,就可以看到“Internet 连接防火墙”,勾选“通过限制或阻止来自Internet的对此计算机的访问业保护我的计算机和网络”即可。
禁用DCOM防病毒
DCOM是一种能够使软件组件通过网络直接进行通信的协议。如果一台计算机是网络的一部分,则该计算机上的COM对象将能够通过DCOM网络协议与另一台计算机上的COM对象进行通信。通过禁用DCOM,可以帮助计算机防范“冲击波”,具体操作方法如下:
在“开始→运行”中输入“Dcomcnfg.exe”,打开“组件服务”窗口;单击“控制台根节点”下的“组件服务”,再打开“计算机”子文件夹;然后右击“我的电脑”,选择“属性”(对于本地计算机),或者右击“计算机”文件夹,选择“新建→计算机”,输入计算机名称,再右击该计算机名称,然后选择“属性”(对于远程计算机);然后选择“默认属性”选项卡,取消“在这台计算机上启用分布式COM”复选框上的钩即可。
提示:禁用DCOM会阻断该计算机上的对象与其他计算机上的对象之间的所有通信,请慎重选择。
几点注意:
1.安装专业的防火墙和防病毒软件,并激活“实时防护”功能,并且经常更新病毒库;
2.激活系统的自动更新功能,及时下载安装最新的安全补丁,未雨绸缪;
3.优化与系统安全相关的参数,修改部分缺省值,关闭或删除系统中不需要的服务;
4.养成良好的网络安全观念,不访问不健康网站,不随意打开来历不明的邮件及附件,不要执行从Internet下载的未经杀毒处理的软件;
5.尽量使用复杂的密码,提高计算机的安全系数;
6.发现病毒时,应该迅速断开网络连接,隔离受感染的计算机。
syssp是木马病毒吗的介绍到这里结束,感谢您的关注,常见木马病毒、syssp是木马病毒吗的信息别忘了在本站进行查找喔。