本文目录一览:
- 1、关于重启后删除的病毒
- 2、windows server2008系统下的 C:\Windows\system32\wininit.exe是木马么?是的话如何杀掉?
- 3、2008年电脑病毒、木马之王?
- 4、联想win8中木马病毒
关于重启后删除的病毒
大家有谁中了“落雪”病毒,不要着急,在做下面这些步骤以前我们要先下载木马杀客;和升级包我们可以到;里来下载.还有点击下载Regfix.rar;将里边的 Regfix.exe改名为Regfix.com.这个时候我们的EXE文件怎么改成COM呢!我们要先打开工具----文件夹选象------隐藏以知文件的扩展名,把前面的对勾去掉,然后点Regfix.exe的属性,我们将EXE改成COM这样就可以了!
正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。 而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。 进程查看方式 ctrl+alt+del ,然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。
这个木马非常厉害,能破坏掉木马XX和常用的杀毒软件,使其不能正常运行。目前我使用江民杀毒软件未能查出,连瑞星在线杀毒对它都没有查出来,并且使防火墙处于无法启动状态,在清除病毒之后也不能启动,我不得不重新再安装一次防火墙。
在WINDOWS下的WINLOGON.EXE确实是病毒。但是,它不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件(有的版本病毒还有autorun.inf文件),我机器里的pagefile不是隐藏的,而是光明正大的存在D盘里,删这个文件是没用的,因为它关联了很多东西,甚至在安全模式都存在,只要运行任何程序,或者双击打开D盘,它会重新出现在D盘。网上有的网友说叫这个病毒为 ”落雪“ 是专门盗传奇、传奇世界的木马,至于会不会盗其他帐号如 *** ,网银就不得而知了(我不会玩传奇,但是也有这个病毒!!我晕~~~~~)。同时它还将将杀毒软件里的设置进行了改变,不能启动防火墙,强制手工启动时,会出现一个窗口说防火墙某个文件失效,被windows 关闭。真的好可恨!!
我解决“落雪”病毒的 ***
症状:D盘打开,里面有pagefile.com文件 ,它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示所有隐藏文件。 D盘里就一个,C盘里的就多了!
D:\pagefile.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe
C:\WINDOWS\Debug\DebugProgramme.exe
C:\Windows\system32\command.com
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\WINLOGON.EXE
winlogon这个在进程里可以看得到,有两个,一个是真的,一个是假的。 真的是小写winlogon.exe,用户名是SYSTEM,
而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。这个文件在进程里是中止不了的,说是关键进程无法中止,
搞得跟真的一样!就连在安全模式下它都会呆在你的进程里!
然后打开开始菜单的运行,输入命令 regedit,进注册表,
到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 里面,有一个Torjan programme,
这个明摆着“我是木马”,证明你的电脑里已经有WINLOGON.EXE病毒。
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,
并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件夹,取消隐藏受保护操作系统文件。
随后我使用了木马杀客软件,进行硬盘扫描,这么作的好处是知道木马病毒所在的位置,
同时木马杀客软件将这些木马病毒进行删除操作,如果不能删除就将那些病毒进行隔离。扫描结果是:
2006年2月16日
系统事件:启动项目中发现木马!
木马名称:Troj.LMir2.ky.2605
木马启动项:torjan program
木马从启动项目中清除成功!
c:\windows\winlogon.exe
木马在硬盘清除成功!
c:\windows\winlogon.exe
系统事件:启动项目中发现木马!
木马名称:系统用户登录管理.3
木马启动项:torjan program
木马从启动项目中清除成功!
c:\windows\winlogon.exe
核心启动中发现木马! 已经清除 1
2006年1月16日
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2607
木马路径:C:\WINDOWS\1.com
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2610
木马路径:C:\WINDOWS\ExERoute.exe
处理方式:隔离 成功
系统事件:已发现木马!
木马名称:W32.Gokar.A@mm.2062
木马路径:C:\WINDOWS\iexplore.com
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2609
木马路径:C:\WINDOWS\finder.com
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2615
木马路径:C:\WINDOWS\system32\command.pif
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2614
木马路径: C:\Windows\system32\command.com
处理方式:删除 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2614
木马路径:C:\WINDOWS\system32\dxdiag.com
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2609
木马路径:C:\WINDOWS\system32\finder.com
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2616
木马路径:C:\WINDOWS\system32\MSCONFIG.COM
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2617
木马路径:C:\WINDOWS\system32\regedit.com
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2618
木马路径:C:\WINDOWS\system32\rundll32.com
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2618
木马路径:C:\Windows\WINLOGON.EXE
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2618
木马路径:C:\WINDOWS\Debug\DebugProgramme.exe
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2618
木马路径:C:\Program Files\Common Files\iexplore.com
处理方式:隔离 成功
然后到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把pagefile.com删掉,
然后再到C盘把木马杀客上面所列出来的文件都删掉(C盘里上述的病毒经过木马杀客的扫描已经被其屏蔽了,
并且在病毒的名字里有屏蔽的字样,很容易找到)!中途注意不要双击到其中任何一个文件,
否则所有步骤都要重新来过!其中WINLOGON.EXE文件虽然被屏蔽了但是我们还是删不了它,我们可以
先注销然后在删,这样就可以了!
删完之后注销,但是在注销之前千万别忘了将垃圾桶清空
删掉那些文件后,所有的exe文件全都打不开了.
这个时候我们运行Regfix.COM,修复exe关联.
这样exe文件就可以运行了。打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]中把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe" ,完成!!
WINLOGON.EXE病毒就杀了!
我中过 按这个 *** 杀的 ,相信我,祝你成功
windows server2008系统下的 C:\Windows\system32\wininit.exe是木马么?是的话如何杀掉?
仅仅从文件名,使无法判断文件所是否包含病毒或者木马的。
文件名本身,几乎不包含什么实际意义的内容。文件扩展名为exe,属于可执行文件类别,但是文件名和扩展名都是可以随意更改的,所以说明不了问题。
如果你怀疑文件包含病毒,最可靠的 *** 还是使用杀毒软件对文件进行病毒扫描,甚至可以尝试在线杀毒扫描,可以确定是否包含最新的病毒。
2008年电脑病毒、木马之王?
木马:
一、最活跃的"马贼"
木马名称:HB系列网游盗号者
木马类型:盗号木马
呈堂证供:这是一类盗取网游账号密码或装备的木马,是2008年流 毒最广、波及用户最多的恶意程序。它们具有高度的代码相似性,并且变种繁多,在运行后通常会释放一个名称为随机8位字母组合的exe和名称为随机八位字母 组合的dll文件,将自身属性设为隐藏的系统文件,并悄悄改写注册表项,从而随系统实现自启动。网游盗号者一旦运行,便把动态库注入到 Explorer.exe进程中,自动查找是否存在游戏进程,进而注入到游戏进程中,记录受害者输入的账号密码并发送到指定的信箱。运行完毕之后,它们还 会自我毁灭,逃避安全软件的查杀。
360全年累计查杀:1.62亿次,受害网民超过3000万
二、最蛮横的"马贼"
木马名称:AV终结者
木马类型:木马下载器
呈堂证供:AV终结者集各种更先进的病毒技术于一体,用户一旦中招,不仅所有杀毒软件和安全工具会被强行破坏,连各安全厂商的主页、安全类论坛都无法访 问,只要在网页中输入"病毒"等相关字样,浏览器随即被无情关闭,用户甚至根本无法进去操作系统的安全模式,能够彻底摧毁电脑的安全防御体系,再自动下载 数百种盗号木马、广告木马及风险程序。它的另一点蛮横之处在于,会在除系统盘的其它磁盘根目录创建可自动运行的exe程序和autorun.inf文件, 即便受害用户格式化后重装系统,只要双击其它盘符,它将死灰复燃。
360全年累计查杀:5300余万次,受害网民超过1000万
三、最狡猾的"马贼"
木马名称:磁碟机
木马类型:木马下载器
呈堂证供:这是一类十分低调隐蔽的木马,它千方百计隐藏自身的行踪,普通用户从表面看很难发现有中招的痕迹,除了感觉系统似乎变慢外无其它明显异常症 状。但它一点也不简单,通过十余种方式实现自我保护,比如利用关机回写技术,当用户关闭电脑时它把主程序体保存到[启动]文件夹中,实现开机自启动。系统 启动后再将[启动]文件夹中程序删除掉,既可隐蔽启动,又很难被用户发现。它还会感染系统盘外所有分区的EXE文件、RAR或ZIP压缩包中的文件等,并 在所有盘符生成autorun.inf和病毒程序文件体,在线更新和升级的速度飞快,并利用ARP欺骗去攻击局域网其它电脑。磁碟机同样会下载大量木马病 毒,用以窃取电脑中有价值的信息。
360全年累计查杀:2700余万次,受害网民超过500万
四、最善于协作的"马贼"
木马名称:蝗虫军团
木马类型:木马下载器
呈堂证供:这是一种首次采用群殴战术甚至是兵团作战的恶性木马下载器。它一旦执行,会在瞬间下载上百个木马,就象蝗灾来袭时那样铺天盖地,其中有的负责 强制关闭杀毒软件,有的负责阻拦用户登陆安全厂商的网站,还有的负责在用户电脑上恶意弹出广告,以"集群作战"的方式,从各个途径彻底破坏用户电脑安防体 系。最为可怕的是,该木马群具有"集体复活"的本领,在上百个子木马中,只要有一个被杀毒软件漏杀,就能使其他已经被清除的木马快速"复活",因此普通杀 软很难将其一次性斩草除根,堪称"马贼"中的"连环马"。
360全年累计查杀:2100余万次,受害网民约为400万
五、最反客为主的"马贼"
木马名称:木马点击器
木马类型:Click木马
呈堂证供:它是随着 *** 广告的出现而出现的,在侵入用户电脑后,会根据木马编写者预先设定的网址,去点击网上的广告,如百度竞价排名、 GoogleAdSense等,让广告主支付更多的广告费,而木马犯罪团伙及其合作伙伴则会分享这些额外的"利润",把用户的电脑演变为自己谋财的工具, 在近一年时间内,这类木马的数量呈现几何级数的增长,360安全中心共截获各类木马点击器达到200多万个。据统计,互联网广告"欺诈点击"占总点击率的 35%。
360全年累计查杀:1.33亿次,受害网民高达2000余万
六、最顽强的"马贼"
木马名称:机器狗
木马类型:木马下载器
呈堂证供:机器狗因最初的版本采用电子狗的照片做图标而被网民命名为"机器狗",该木马变种繁多,通过多种手段破坏流行安全软件,然后疯狂下载各种盗号 木马或黑客工具。它最顽强之处在于,能够通过底层技术穿透冰点、影子等还原系统软件,网吧等用户重启电脑后仍无法保护系统安全,使游戏账号面临失窃的巨大 风险。
360全年累计查杀:1.51亿次,受害网民达到3000万
七、最诡异的"马贼"
木马名称:留声机
木马类型:盗号木马
呈堂证供:如果您发现电脑音箱突然自动播放声音:"大家好,欢迎回到……今天我们来聊聊关于健康的话题……",千万不要认为这是错觉,您已经被"马贼 "缠上了。这时如果打开任务管理器,您会发现iexplore.exe正在运行,即便根本就没有用IE浏览器上网。如果手动关掉这个进程,一分钟之内它又 可以自动启动,而且每隔一两分钟就会重复播放声音。
360全年累计查杀:270万次,受害网民超过50万
八、最互动的"马贼"
木马名称:契约答题机
木马类型:BAT类木马
呈堂证供:这类木马通过BAT类恶意脚本实现,是一些涉世不深或童心未泯的木马 *** 者出于恶搞目的所作。它们通常在中招用户开机后显示了一个dos界面,示例内容如下:
你好,如果你现在关闭你的计算机那么他将永远无法启动!!!
请回答一下几个问题答的好那么恭喜你你的计算机平安了
如果答的不好对不起我要毁灭你的计算机
你擅长A动画还是G游戏请选择
c:/(用户填写)
然后是dos下新的界面,罗列五个问题
一旦答错,屏幕自动显示:"对不起按照契约我将毁灭你的电脑",紧接着删除系统文件,操作系统无法重新启动。
360全年累计查杀:167万次,受害网民超过30万
病毒:
近日,一些主流安全厂商纷纷公布了2008年主要病毒的发作情况,有趣的是,记者发现其中一些病毒具有“与众不同的创意”。事实上,即便是主流的反病毒公司,也对这些有趣和不同寻常的恶意软件深感兴趣。为此,记者在春节前专门策划了本期盘点,以飨读者。
之一位:P2PShared.U,汉堡包蠕虫病毒。这种恶意代码在电子邮件中的主题为:“麦当劳祝你圣诞快乐!”。在邮件中,声称提供免费的麦当劳优惠券。然而,优惠券是真正的蠕虫病毒。如果没有一个良好的安全解决方案。用户从此邮件中唯一免费获得将是“消化不良”。
第二位:Agent.JEN,虚假信使。想象一下,一个信使在你的门前声称有一个包裹给你,但当你打开大门,大批犯罪分子入侵你的房子。那么这就是Agent.JEN对用户计算机所做之事。它在电子邮件中声称已通过UPS发送。任何人都可能下载和打开附件,打开的木马程序将立即下载其它恶意软件,并安装在计算机上。
第三位:Banbra.FXT,法院传令。病毒伪装成从巴西法院传来的一条信息,Banbra.FXT通知收件人他们正在进行调查,并提供了一份报告,已经作出详细说明的指控。然而这份报告仅仅是一个是该木马的副本。一旦安装在计算机上,它会窃取用户银行账号、密码的详细资料。
第四位:Banker.LGC,眼见为实。F1车手阿隆索出了一宗交通意外?不!这仅仅是一个木马发明的故事,以吸引用户观看视频。下载并打开视频的计算机将被感染系统,并且另一木马旨在窃取用户银行资料。
第五位:Sinowal.VTJ,恶人告状。这也许是2008年下半年出现的最古怪恶意代码。电子邮件出自一个匿名者,声称收件人曾经发送病毒,并且威胁要通知警方。它试图欺骗用户打开和打印附件,声称该附件证明其已发送了邮件。然而附件仅仅包含一个木马Sinowal VTJ的副本。
第六位:BatGen.D,西班牙厨师。这种恶意代码专门用于编写各种类型的恶意软件。它以一个名为“personalcake.bat”的文件到达用户计算机。而实际上是一种用于创建恶意软件的工具,当问用户想给创造如何命名时,它要求:“selecciona el nombre del pastel”(为蛋糕选择名称)。
第七位:Aidreden.A,可怕的预言家。如果一个恶意代码预测用户的未来并不奇怪,奇怪的是它告诉用户即将死亡。当然,恶意软件并非仅此而已,在受感染的计算机上将显示信息: “你将在下个月死亡”,该对话框还包括 “确定” 选项 .当然很难想象用户会同意这一点。
第八位:Banker.LLN,总统选举。该木马以一个名为“barackobama.exe”的文件以及一个美国国旗的图标进入用户电脑。不出所料,这一恶意代码无关总统选举。只是另一种专为窃取银行资料的邪恶木马。
第九位:Banbra.GDB,巴西警察。当警察来敲门时更好是开门,除非它真的是一个入侵者。 Banbra.GDB以一封电子邮件到达用户计算机,其声称来自于巴西警察。这个电子邮件告诉用户,他们的电脑正被用于非法活动,并邀请它们下载包含证据的报告。然而,运行附件的用户会发现他们的电脑感染了盗取银行信息的木马。
第十位:Spammer.AKE,危险朋友。该蠕虫经由电子邮件传播,其中包含有关友谊和爱情的各种信息。但是,不要被愚弄。这是没有朋友,因为它会感染您的计算机,并用它来发送垃圾邮件。
联想win8中木马病毒
你好,建议你先全盘查杀木马和病毒
1.升级你的杀毒软件,把病毒库更新至最新
2.关机,断网,选择进入模式(开机按F8键,选择之一项就可以进入了,这个模式只启动基本的驱动不会加载其它的软件,然后把你的病毒软件打开进行清理)
试试腾讯电脑管家,杀查能力全面升级,云杀查和可疑智能检测技术二合一,强力杀查流行木马。
可选择闪电杀毒、全盘杀毒和指定位置杀毒3种模式,杀毒过程中会滚动进程说明并显示进度条。其传统界面中,则以图标形式显示杀毒引擎的开启状态,并显示可疑行为鉴定次数、安全扫描的文件个数等信息。