怎么彻底清楚特鲁伊木马?
给你一个手动查杀的方法
在IE的上面找到工具里的“管理加载项”
看看是不是加载什么插件了,
打开任务管理器,终止不明的进程
开始---运行---输入MSCONFIG
终止不明的启动项和服务项
再用恶意软件清理助手删除垃圾软件以及不明文件
有下载
手动删除病毒日志里记录的所指向的病毒
特洛伊木马是如何启动的
您好:
特洛伊木马是采用远控的方式进行启用的,这种木马病毒会按照黑客的远程指令对您的电脑进行系统文件修改、资料盗取等操作,如果您的电脑中了特洛伊木马的话,您可以使用腾讯电脑管家的杀毒功能对您的电脑杀毒,腾讯电脑管家是完全可以彻底查杀干净特洛伊木马病毒的,您可以点击这里下载最新版本的腾讯电脑管家:最新版腾讯电脑管家下载
腾讯电脑管家企业平台:
Trojan/Win32.Agent
特鲁伊木马病毒!
这种病毒怎么清除? 特洛伊木马(Trojan horse)
完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。
木马程序不能算是一种病毒,但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。
特洛伊木马是如何启动的
1. 在Win.ini中启动
在Win.ini的[windows]字段中有启动命令"load="和"run=",在一般情况下 "="后面是空白的,如果有后跟程序,比方说是这个样子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,这个file.exe很可能是木马哦。
2.在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所,木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!
另外,在System.中的[386Enh]字段,要注意检查在此段内的"driver=路径\程序名"这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
3.利用注册表加载运行
如下所示注册表位置都是木马喜好的藏身加载之所,赶快检查一下,有什么程序在其下。
4.在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽。容易被发现,所以在Autoexec.bat和Confings中加载木马程序的并不多见,但也不能因此而掉以轻心。
5.在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Windows自动生成,在执行了Win.com并加截了多数驱动程序之后
开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
6.启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
7.*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。
8.修改文件关联
修改文件关联是木马们常用手段 (主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开,如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值,将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l",这样,一旦你双击一个TXT文件,原本应用Notepad打开该文件,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、ZIP.COM等都是木马的目标,要小心搂。
对付这类木马,只能经常检查HKEY_C\shell\open\command主键,查看其键值是否正常。
9.捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖源文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马义会安装上去。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
10.反弹端口型木马的主动连接方式
反弹端口型木马我们已经在前面说过了,由于它与一般的木马相反,其服务端 (被控制端)主动与客户端 (控制端)建立连接,并且监听端口一般开在80,所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时,最新的天网防火墙(如我们在第三点中所讲的那样),因此只要留意也可在网络神偷服务端进行主动连接时发现它。
WORM_NUGACHE.G(威金)和TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
的解决方案:
WORM_NUGACHE.G(威金)
病毒码发布日期: Dec 8, 2006
做个参考把
Trojan.Win32.KillAV.cdu这是什么病毒?
特鲁伊木马病毒! 这种病毒怎么清除? 特洛伊木马(Trojan horse) 完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。 1、使用安天防线可彻底清除此病毒(收费) 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 停止病毒服务,删除以下病毒文件 %system32%\kk.exe %system32%\kk.dll %System32%\drivers\GanDiao.sys (2)删除病毒添加的服务 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GanDiao 删除Services键值下的GanDiao主键值 你也可以用以下办法和工具,工具都是免费的。强烈建议在安全模式下查杀病毒木马!!! 在安全模式下病毒木马无法运行,杀毒软件可以打开使用!!! 解决办法:推荐杀软件(NOD32 卡巴 江民 金山) 1: 建议你先用杀毒软件在安全模式下查杀,因为安全模式下查杀效果最好!! 一定要在安全模式下查杀!重启电脑时--按F8--安全模式--打开杀毒软件--全盘查杀。!! 2: windows恶意软件清理助手 下载地址: 一款用户拥有完全控制权的软件清理工具:、独有的清理技术,可以彻底清理有驱动保护的恶意软件;引擎和脚本分离,立场中立,清理操作对用户 完全透明;、自定义查杀规则,控制权完全由用户掌握;、开放的用户接口,可以满足您的个性化清理需求,用户自定义脚本文件,实现对一些特殊 软件的清理,并可将其共享给所有用户使用!、即时更新脚本库,使您拥有更强劲的清理能力 !! 3:使用360顽固木马专杀查杀当电脑感染木马,如果不能运行请改名:“我爱酒鬼”呵呵 下载地址: (360 顽固木马专杀一定得联网才能查杀) 4: 用贝壳木马专杀贝壳官方网站 下载地址: 贝壳木马专杀是绿色软件,直接双击运行就可以了 360虽然不错,但是对于新木马完全没有免疫力 贝壳主要是针对新木马病毒设计的 5:冰刃 IceSword 1.22 中文版 下载地址: 这是一斩断黑手的利刃, 它适用于Windows 2000/XP/2003 操作系统, 其内部功能是十分强大, 用于查探系统中的幕后黑手-木马后门, 并作出 处理. 可能您也用过很多类似功能的软件, 比如一些进程工具、端口工具, 但是现在的系统级后门功能越来越强, 一般都可轻而易举地隐藏进 程、端口、注册表、文件信息, 一般的工具根本无法发现这些 "幕后黑手" . IceSword 使用了大量新颖的内核技术, 使得这些后门躲无所躲. 当然使用它需要用户有一些操作系统的知识. 使用前请详细阅读说明. 在对软件做讲解之前, 首先说明第一注意事项: 此程序运行时不要激活内核调试器(如softice), 否则系统可能即刻崩溃. 另外使用前请保存好 您的数据, 以防万一未知的Bug带来损失. 6: 以下两个删除软件供备用。个别病毒杀软也杀不掉的用这两个删除吧 Unlocker是一个免费的右键扩充工具,当用户发现有文件或进程无法删除时,可以通过右键菜单中的“Unlocker”进行解锁,不过它并非强制关闭的程序,而是以解除进程与程序关联性的方式进行,因此不会造成数据丢失。以后当你要删除文件的时候,右键选择Unlocker 即可 下载地址: 超级巡警文件暴力删除工具 采用内核技术删除文件,能删除运行中文件或者被占用文件,可以用来查看文件被哪些程序占用,也可以在病毒分析中对一些顽固病毒木马衍生文件的删除。 下载地址: [/color][/url]
0条大神的评论