如何清除木马病毒?
目前 *** 上最猖獗的病毒估计非木马程序莫数了,特别是在过去的2004年木马程序的攻击性也有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等,这些木马也是目前最难对付的。本期就教你查找和清除线程插入式木马。
操作步骤:
1.通过自动运行机制查木马
一说到查找木马,许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”,具体的地方一般有以下几处:
1)注册表启动项:
在“开始/运行”中输入“regedit.exe”打开注册表编辑器,依次展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\],查看下面所有以"Run"开头的项,其下是否有新增的和可疑的键值,也可以通过键值所指向的文件路径来判断,是新安装的软件还是木马程序。
另外[HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\]键值也可能用来加载木马,比如把键值修改为“X:\windows\system\ABC.exe "%1"%”。
2)系统服务
有些木马是通过添加服务项来实现自启动的,大家可以打开注册表编辑器,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑键值,并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑主键。
然后禁用或删除木马添加的服务项:在“运行”中输入“Services.msc”打开服务设置窗口,里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找到木马所启动的服务,双击打开它,把启动类型改为“已禁用”,确定后退出。也可以通过注册表进行修改,依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服务显示名称”键,在右边窗格中找到二进制值“Start”,修改它的数值数,“2”表示自动,“3”表示手动,而“4”表示已禁用。当然更好直接删除整个主键,平时可以通过注册表导出功能,备份这些键值以便随时对照。
3)开始菜单启动组
现在的木马大多不再通过启动菜单进行随机启动,但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项,可以右击它选择“查找目标”到文件的目录下查看一下,如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看,它的位置为[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders],键名为Startup。
4)系统INI文件Win.ini和System.ini
系统INI文件Win.ini和System.ini里也是木马喜欢隐蔽的场所。选择“开始/运行”,输入“msconfig”调出系统配置实用程序,检查Win.ini的[Windows]小节下的load和run字段后面有没有什么可疑程序,一般情况下“=”后面是空白的;还有在System.ini的[boot]小节中的Shell=Explorer.exe后面也要进行检查。
5)批处理文件
如果你使用的是WIN 9X系统,C盘根目录下“AUTOEXEC.BAT”和WINDOWS目录下的“WinStart.bat”两个批处理文件也要看一下,里面的命令一般由安装的软件自动生成,在系统默认会将它们自动加载。在批处理文件语句前加上“echo off”,启动时就只显示命令的执行结果,而不显示命令的本身;如果再在前面加一个“@”字符就不会出现任何提示,以前的很多木马都通过此 *** 运行。
2.通过文件对比查木马
最近新出现的一种木马。它的主程序成功加载后,会将自身做为线程插入到系统进程SPOOLSV.EXE中,然后删除系统目录中的病毒文件和病毒在注册表中的启动项,以使反病毒软件和用户难以查觉,然后它会监视用户是否在进行关机和重启等操作,如果有,它就在系统关闭之前重新创建病毒文件和注册表启动项。下面的几招可以让它现出原形(下面均以Win XP系统为例):
1)对照备份的常用进程
大家平时可以先备份一份进程列表,以便随时进行对比查找可疑进程。 *** 如下:开机后在进行其他操作之前即开始备份,这样可以防止其他程序加载进程。在运行中输入“cmd”,然后输入“tasklist /svc X:\processlist.txt”(提示:不包括引号,参数前要留空格,后面为文件保存路径)回车。这个命令可以显示应用程序和本地或远程系统上运行的相关任务/进程的列表。输入“tasklist /?”可以显示该命令的其它参数。
2)对照备份的系统DLL文件列表
对于没有独立进程的DLL木马怎么办吗?既然木马打的是DLL文件的主意,我们可以从这些文件下手,一般系统DLL文件都保存在system32文件夹下,我们可以对该目录下的DLL文件名等信息作一个列表,打开命令行窗口,利用CD命令进入system32目录,然后输入“dir *.dllX:\listdll.txt”敲回车,这样所有的DLL文件名都被记录到listdll.txt文件中。日后如果怀疑有木马侵入,可以再利用上面的 *** 备份一份文件列表“listdll2.txt”,然后利用“UltraEdit”等文本编辑工具进行对比;或者在命令行窗口进入文件保存目录,输入“fc listdll.txt listdll2.txt”,这样就可以轻松发现那些发生更改和新增的DLL文件,进而判断是否为木马文件。
3)对照已加载模块
频繁安装软件会使system32目录中的文件发生较大变化,这时可以利用对照已加载模块的 *** 来缩小查找范围。在“开始/运行”中输入“msinfo32.exe”打开 “系统信息”,展开“软件环境/加载的模块”,然后选择“文件/导出”把它备份成文本文件,需要时再备份一个进行对比即可。
4)查看可疑端口
所有的木马只要进行连接,接收/发送数据则必然会打开端口,DLL木马也不例外,这里我们使用netstat命令查看开启的端口。我们在命令行窗口中输入“netstat -an”显示出显示所有的连接和侦听端口。Proto是指连接使用的协议名称,Local Address是本地计算机的IP地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的IP地址和端口号,State则是表明TCP连接的状态。Windows XP所带的netstat命令比以前的版本多了一个-O参数,使用这个参数就可以把端口与进程对应起来。输入“netstat /?”可以显示该命令的其它参数。
接着我们可以通过分析所打开的端口,将范围缩小到具体的进程上,然后使用进程分析软件,例如《WINDOWS优化大师》目录下的WinProcess.exe程序,来查找嵌入其中的木马程序。有些木马会通过端口劫持或者端口重用的 *** 来进行通信的,一般它们会选择139、80等常用端口,所以大家分析时要多加注意。也可以利用 *** 嗅探软件(如:Commview)来了解打开的端口到底在传输些什么数据.
如何防范 *** 病毒
相比于传统类型的病毒, *** 类型的病毒有着更强大的传播性,尽管两者在具体的表现形式、传播路径和破坏目标方面有所不同,但是它们仍然有本质的相同点——传播性和破坏性,因此如何有效地防范 *** 病毒已经成为众多上网用户所关心的话题,下面就我们来看看防范 *** 病毒的一些技巧。
一、合理设置杀毒软件
如果安装的杀毒软件具备扫描电子邮件的功能,比如PC-cillin的“Web过滤器”、“Web安全”和“POP3扫描”等,尽量将这些功能全部打开,其它的杀毒软件也必须打开类似的 *** 过滤扫描功能。另外,现在的病毒发展速度越来越快,通过 *** 传播的时间越来越短,因此必须及时升级更新杀毒软件的病毒库和扫描引擎。
二、合理设置电子邮件工具
如果是使用Outlook Express作为邮件的收发程序,为了尽量避免邮件病毒的威胁,建议在“选项”中的“发送”设置中,选择使用“纯文本”格式发送电子邮件,要知道,现在大部分流行的邮件收发工具都支持以HTML方式撰写新邮件,而使用“纯文本”格式发送邮件,不但可以有效防止无意中被植入恶意的HTML代码,同时也可以减少邮件体积,加快发送速度。
三、合理设置浏览器的安全级别
在控制面板中的“Internet选项”中,进行合理的“安全”设置,不要随意降低安全级别,以减少来自恶意代码和ActiveX控件的威胁,在系统推荐的默认设置级别“中”的基础上,点击“自定义级别”按钮,可以进一步进行更严格的设置,建议尝试着每次只更改一两个项目,如果导致不能正常上网,或者上网不方便了,则适当地降低安全设置,多试几次直到找到适合自己的更佳安全设置组合。
四、慎重对待邮件附件
如果收到邮件附件中有可执行文件(如.EXE、.COM等)或者带有“宏”的文档(.doc等),不要直接打开,更好先用“另存为”把文件保存到磁盘上,然后用杀毒软件查杀一遍,确认没有病毒后再打开。不要打开扩展名为VBS、SHS或者PIF的附件,因为这类文件几乎不会作为正常的附件发送,却经常地被病毒或蠕虫所利用。另外,绝对不要打开带有双扩展名的附件,如“.BMP.EXE”或者“.TXT.VBS”等。 五、不要随便点击不明链接
如果收到不明邮件,一定不要随便点击其中的链接,防止其带有恶意代码,同样我们在上网的时候,也不要经不住一些无聊话语的诱惑,随便轻意点击一些无名小站的不明链接,因为它们经常被用来引诱用户去执行该文件。
六、不要随意接收文件
除非对方是你绝对信得过的朋友,且已经约定好了要发送文件,否则,不要随意接收从在线聊天系统(Oicq、IRC等)发送过来的文件,无论对方用什么样的花言巧语也不要轻易上当。
七、尽量从大型的专业网站下载软件
一些BBS或者公共新闻组常常是病毒制造者发布新病毒的地方,尽量不要从这些地方下载软件,要下载软件的话,到大家都比较熟悉的专业网站进行下载,有效保证下载软件的安全。
八、设置始终显示文件的扩展名
在资源管理器中,选择“工具”|“文件夹选项”|“查看”,去掉“隐藏已知文件类型的扩展名”前的对号,这样就可以使那些想伪装成正常文件的病毒文件原形毕露,发现有什么异常扩展名的文件,应该禁止使用或者直接删除。
九、及时升级邮件程序和操作系统
大多数的蠕虫类病毒是通过Microsoft Outlook或Outlook Express进行传播的,如果你用的正是Outlook,建议更好到微软站点下载最新的安全补丁,以便有效地提升系统的安全性。必要时可以使用第三方邮件程序取代Outlook Express,如Foxmail、The Bat!等,由于它们的地址薄与Outlook Express不同,所以被病毒利用的可能性比较小。
十、启用 *** 防火墙
我的电脑内存中了木马怎么办.
进入安全模式,在安全模式下进行病毒查杀,然后在安全模式下试用优化大师对你的IE缓存和流氓软件进行清理。如果在安全模式下还无法清除内存病毒的话只能从新做系统了。
虐杀原形下载解压后提示安装启动程序有木马,请问这个有毒吗,能不能安装啊
其实有许多游戏都是误报的,但不排除真有木马的情况,建议楼主还是小心为好,不知道楼主是否是对正规的网站或下载的,也有可能是一些流氓软件,更好用正版杀毒软件试试
建议您可以到腾讯电脑管家官网下载电脑管家。然后使用电脑管家——杀毒——全盘查杀,检测一下。电脑管家是通过VB100测试的杀毒软件,检测木马病毒非常精准,如果检测您的软件为无毒,就说明是安全的。
希望我的回答可以帮到你,如未帮上请见谅。
如何清除FakeAlert木马
随着黑客技术的日益发展,各种“装备先进”的木马在网上大面积传播。如果大家遇到杀毒软件能够查出来,但却无法清除的病毒,那么多半就是现在网上非常流行的DLL动态嵌入式木马,相对普通木马来说,DLL木马的查杀不易。难道我们就拿它们没有办法了吗?如何清除木马呢?下面我们就一步一步来删掉这个如蛆附骨的DLL木马。
小知识:什么是动态嵌入式DLL木马?
这种木马是将DLL木马文件嵌入到正在运行的系统进程中如“explorer.exe”、“svchost.exe”、“ *** ss.exe”或系统常见的进程如“iexplore.exe”、“notepad.exe”,而在任务管理器里出现的就只是DLL的载体EXE文件,由于这些进程就是系统本身的进程,因此DLL木马具有极强的隐蔽性。
惊现病毒——杀毒软件束手无策
近日,笔者的Norton报警发现病毒“E:\windows\sagent\mssasu.com”(注:笔者系统安装在E盘)如图1。从病毒名称可以判断是一个黑客后门程序,看来是有人在电脑上安装了后门。
发现病毒自然是杀毒,将病毒库升级,启动Norton进行全面查杀,Norton又提示发现其他两个病毒,不过Norton既无法隔离也无法将病毒删除,如图2所示。
寻根究底——木马现原形
Norton无法删除病毒,原因显然是由于病毒进程正在运行导致的。由于Norton总是弹出发现病毒窗口而无法查杀,笔者便将Norton的自动防护暂时关闭。打开任务管理器,奇怪的是并没有发现有什么陌生的进程,不过其中的“iexplore.exe”引起笔者的警觉,因为此时笔者并没有运行IE浏览器,进程列表里怎么会出现这个进程?
右击进程选择“打开所在目录”,通过查看“iexplore.exe”属性,发现这的确是系统自带的IE浏览器,难道是IE染毒了?然后我又发现在关闭Norton自动防护情况下,每次终止“iexplore.exe”后,不到2秒它就会立刻复活,而启动Norton的防护后,则会发现“E:\WINDOWS\msagent\msdwix.com”病毒的提示。显然“msdwix.com”就是“iexplore.exe”的守护进程,当它发现监视的进程被终止后会立刻使它复活。
结合Norton发现的“Dxdgns.dll”这个病毒,笔者初步判断这应该是一个动态嵌入式DLL木马,它把“Dxdgns.dll”木马文件插入“iexplore.exe”进程里了。为了便于比较,笔者又启动一个“iexplore.exe”进程。进程调用的DLL文件,通过“Windows优化大师”组件“Windows进程管理”来查看。启动程序后选中“iexplore.exe”,单击“模块信息”,通过和正常IE进程详细对比,可以看到“e:\windows\dxdgn.dll”的确被IE调用,这就是病毒真身了,如图3所示。
先治标——清除病毒文件
对于此类病毒,笔者使用了“系统权限法”来阻止进程运行(注意:使用该法前提是系统采用NTFS格式)。打开“我的电脑”,单击“工具→文件夹选项→查看”,然后在“高级设置”选项下去除“简单文件共享(推荐)”前的小钩。
现在打开“E:\WINDOWS\msagent”,找到“msdwix.com”右击选择“属性”,然后单击“安全”标签,接着在属性窗口单击“高级”,在弹出的窗口清除“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框,在弹出窗口单击“删除”,去除所有继承的权限,依次单击“确定”后退出,这样电脑上就没有任何用户可以运行“msdwix.com”了。
提示:对于采用FAT32格式的用户,可以将电脑重启到纯DOS下,手工删除“msdwix.com”文件。此外,对于通过系统的“rundll32.exe”命令调用DLL文件作恶的木马,也可以利用上述 *** 去除DLL文件的运行和读取权限。
现在使用任务管理器终止“iexplore.exe”,由于“msdwix.com”无法运行,自然它也不能重新加载“Dxdgns.dll”木马了。将电脑注销一下进入“e:\windows”,顺利删除了“Dxdgns.dll”。现在进入“E:\WINDOWS\msagent”,找到“msdwix.com”右击选择“属性”,重复前面的操作,勾选“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框。最后按照Norton查毒的提示,删除其它病毒文件。
再治本——清除木马启动程序
因为每次启动这个木马病毒会运行,显然它在注册表添加了自启动项目,查看自启动项目软件有很多,笔者这里向大家推荐一款软件Autoruns 7.01 汉化版(下载地址http://www.d66.net/soft/6942.htm),它可以详细列出电脑上所有的自启动项目,运行程序后单击“查看”,依次勾选所要显示的项目(如服务、DLL文件、浏览器加载项、空位置),单击“刷新”后就可以看到检测结果了,它会列出所有启动位置。
从Autoruns检测可以看到,这个木马的启动键值是[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]和[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]下的COM服务,原来木马还通过注册为系统服务的方式启动。右击查找到的启动项目选择“跳转到具 *** 置”。这样可以直接打开注册表并定位到相应启动键值,按提示删除COM服务键值即可修复注册表。至此顺利将这个难缠的DLL木马扫地出门!
木马病毒wuauserv.exe如何删除
我同学也曾感染过这个病毒:wuauserv,这个病毒还有一个病毒进程svchost(一般位于system32\scvhost文件夹下并且隐藏自身)
与病毒奋战多年,这是最难杀的病毒之一了,安全模式也会自己启动。
解决 *** :看看我的解决 *** :
首先必须下载可以察看进程映像路径的任务管理器,因为要找出有问题的svchost进程(推荐longhorn任务管理器,上www.crsky.com搜索下载安装)。
重新启动进安全模式,打开新任务管理器,点“进程”--菜单栏“查看”-“选择列”,勾选“映像路径”,然后回到进程列表就可以看到路径了。
结束位于system32目录以外的SVCHOST进程(先记下它的路径,假设是system32\scvhost)和那个病毒进程,然后进到病毒的所在文件夹system32\scvhost,可能是隐藏的,在文件夹选项里勾选“现实所有文件”,去掉“隐藏受保护文件”的勾,确定后病毒程序原形毕露,彻底删除之。
善后:清理注册表项
点“开始”--运行--regedit,打开“编辑”--查找,输入刚才的路径(如scvhost),找到后删除之,按F3继续,删除所有病毒项。
修复:将
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 右侧的
Userinit的值"userinit.exe,C:\WINDOWS\system32\scvhost\svchost.exe,wuauserv.exe"编辑为
"C:\WINDOWS\system32\userinit.exe,"(逗号不要省略,无引号)
重新启动即可。
虐杀原形声音问题,我在游民星空上下载了声音补丁,解压说有特洛伊木马病毒!!怎么办
去别的地方下载啊,有病毒,如果清除得了,那就清除了就可以用了,但是如果是绑定的,就只能删除了,那样的话只能去别的地方下载了。如果你实在不怕可能中毒的话,把杀软关了,安全卫士那些也关了就可以用了。