木马病毒的通用解法 “木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。
在Inter上,“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。 由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。
虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,:),“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。
当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成mand.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中,在[BOOT]下面有个“shell=文件名”。
正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。
当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。 知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。
然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell='木马'文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。
至此,我们就大功告成了。
2. 电脑中了感染型木马病毒应该怎么办
有几种方案可以尝试。
方案一:使用一键还原系统。右键点击开始→【所有程序】,点击一键还原精灵装机版,开始一键还原系统。
方案二:注册表杀毒。右击任务栏选择→【任务管理器】,CPU运行达到百分百就是被感染,找到相对应的文件记录下来。点击运行输入regedit,点击确认进入注册表编辑模式,找到对应记录的软件名称并删除。
方案三:手动杀毒。点击IE属性栏,找到删除键,清理IE临时文件;点击开始关闭计算机,点击重启然后进入安全模式;找到HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*并检查不明启动项目并删除。
方案四:使用360或其他杀毒软件进行查杀病毒。
3. 电脑中病毒或木马怎么办
现在虽然有众多的杀毒软件和防火墙供大家作为电脑的保护,但新病毒和木马,加上黑客人工的入侵方式,电脑中毒的情况还是很普遍。尤其是上网的用户,一不留意就会中招。一旦发现电脑中毒了,该如何处理呢?下面就谈谈中毒后的一些紧急处理措施。
一、正在上网的用户,发现异常应首先马上断开连接
如果你发现IE经常询问你是否运行某些ACTIVEX控件,或是生成莫明其妙的文件、询问调试脚本什么的,一定要警惕了,你可能已经中招了。典型的上网被入侵有两种情况:
1.是浏览某些带恶意代码的网页时候被修改了浏览器的默认主页或是标题,这算是轻的;还有就是遇到可以格式化硬盘或是令你的windows不断打开窗口,直到耗尽资源死机,这种情况恶劣得多,你未保存和已经放在硬盘上的数据都可能会受到部分或全部的损失。
2.是黑客的潜在的木马发作,或是蠕虫类病毒发作,让你的机器不断地向外界发送你的隐私、或是利用你的名义和邮件地址发送垃圾,进一步传播病毒;还有就是黑客的手工入侵,窥探你的隐私或是删除破坏你的文件。
处理办法:马上断开连接,这样能将自己的损失降低的同时,也避免了病毒向更多的在线电脑传播。请先不要马上重新启动系统或是关机,进一步的处理措施请参看后文。
二、中毒后,应马上备份转移文档和邮件等
中毒后运行杀毒软件清除是不在话下的了,但为了防止杀毒软件误杀或是删掉你还未处理完的文档和重要的邮件,你应该首先将它们转移备份到其他储存媒体上。有些长文件名的文件和未处理的邮件要求在windows下备份,所以第一点这里笔者建议您先不要退出windows,因为病毒一旦发作,可能就不能进入windows了。
不管这些文件是否带毒了,你都应该备份,用标签纸标记为待查即可。因为有些病毒是专门针对某个杀毒软件设计的,一运行就会破坏其他的文件,所以先备份是以防万一的措施。等你清除完硬盘内的病毒后,再来慢慢分析处理这些额外备份的文件较为妥善。
三、需要在windows下先运行一下杀毒软件(即使是带毒环境)
如果发现病毒后,要赶快杀毒。安全卫士360+nod32或卡巴等等,就看大家平时喜欢哪款杀软了。另外,可以用权限较低的帐户进行日常的使用,管理员只在安装程序或是修改系统时再用,这样的话病毒所造成的影响将会减少到最低限度。
四、如果有GHOST和分区表、引导区的备份,用之来恢复一次最保险
如果你在平时作了windows的GHOST备份,用之来镜像一次,得到的 *** 作系统是最保险的。这样连潜在的未杀光的木马程序也顺便清理了,当然,这要求你的GHOST备份是绝对可靠的。
五、再次恢复系统后,更改你的网络相关密码
包括登录网络的用户名、密码,邮箱的密码和QQ的等等,防止黑客已经在上次入侵过程中知道了你的密码。另外因为很多蠕虫病毒发作会向外随机发送你的信息,所以适当的更改是必要的。
4. 我的电脑中了病毒、木马怎么办
下载个杀毒软件杀毒就行啦,或是手动杀毒 手工查杀木马的通用方法 一、关于木马 木马,其实质只是一个网络客户/服务程序。
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序称为守护进程。
就我们前面所讲的木马来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供服务。 二、发现木马 由于木马是基于远程控制的程序,因此中木马的机器会开有特定的端口。
一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网冲浪会有其他端口,这是本机与网上主机通讯时打开的,IE一般会打开连续的端口:1025,1026,1027……,QQ会打开4000、4001……等端口。
在DOS命令行下用stat -na命令可以看到本机所有打开的端口。如果发现除了以上所说的端口外,还有其他端口被占用(特别是木马常用端口被占用),那可要好好查查了,你很有可能“中彩”了!比方说木马“冰河”所占用的端口是7626,黑洞2001所占用的端口是2001,网络公牛用的是234444端口……如果发现这些端口被占用了,基本上就可以判定: 你中木马了! 三、查找木马 首先要使你的系统能显示隐藏文件,因为一些木马文件属性是隐藏的。
多数木马都会把自身复制到系统目录下并加入启动项(如果不复制到系统目录下则很容易被发现,不加入启动项在重启后木马就不执行了),启动项一般都是加在注册表中的,具 *** 置在: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值; HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 下所有以“run”开头的键值;HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值。 如木马冰河的启动键值是: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]@="C:\\WINDOWS\\SYSTEM\\KERNEL32.EXE" 广外女生1.51版的启动键值是: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "Diagnostic Configuration"="C:\\WINDOWS\\SYSTEM\\DIAGCFG.EXE" 蓝色火焰0.5的启动键值是: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "work Services"="C:\\WINDOWS\\SYSTEM\\tasksvc.exe" 不过,也有一些木马不在这些地方加载,它们躲在下面这些地方: ①在Win.ini中启动 在Win.ini的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子: run=c:\windows\file.exe load=c:\windows\file.exe 要小心了,这个file.exe很可能是木马。
②在System.ini中启动 System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe 是木马喜欢的隐蔽加载之所,木马通常的做法是将该句变为这样:shell=Explorer. exe window.exe,注意这里的window.exe就是木马程序。 另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver= 路径\程序名”,这里也有可能被木马所利用。
再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所。 ③在Autoexec.bat和Config.sys中加载运行 但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,所以这种方法并不多见,但也不能因此而掉以轻心哦。
④在Winstart.bat中启动 Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Win并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。
由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。 ⑤启动组 木马隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。
启动组对应的文件夹为:C: \Windows\Start Menu\Programs\StartUp,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。 ⑥*.INI 即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件,这样就可以达到启动木马的目的了。
⑦修改文件关联 修改文件关联是木马常用手段(主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下txt文件的。
5. 电脑中病毒.木马怎么办
1. 木马克星 2007 0805 始终被模仿,从未被超越!本软件可以查杀14783种国际木马,152种电子邮件木马,保证查杀冰河类文件关联木马,oicq类寄生木马,密码邮寄类木马,网络神偷类9x木马,广外幽灵类 /soft/3252 3. 木马杀客 V5.2 Build 1225 *注意:木马杀客软件已经被风云谷科技(木马清道夫)收购,在此仅提供老版供大家试用 /soft/24158 4. Windows木马清道夫 2007 10.1 Build 0810 上网必备版 《Windows木马清道夫》是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品,是全新一代的木马克星!《Windows木马清道夫》可自动查杀近10万种木马,配合手动分析可 /html_2/1/106/id=10982&pn=0 6. 木马克星 2007.0822 杀木马工具,可以查3万种国际木马,1053种密码偷窃木马,保证查杀传奇密码偷窃木马,灰鸽子API反杀病毒软件类木马,冰河类文件关联木马,密码解霸,魔兽世界杀手木马等游戏密码邮寄木马,内置木马防火墙,任何黑客程序试图发送密码邮件,都需要Iparmor 确认,不仅可以查杀木马,更可以反 dl.pconline/html_2/1/63/id=1025&pn=0 7. Windows木马清道夫 2007 V10.1 B。 《Windows木马清道夫》是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品,是全新一代的木马克星!《Windows木马清道夫》可自动查杀近10万种木马,配合手动分析可 /soft/21565 8. QQ病毒木马专杀工具 QQKav 2007 Build 0802 QQKav2007建军节版更新情况(病毒库版本:2007.8.1)1.新增查杀最新QQ病毒、木马、U盘病毒、恶意程序及其变种550余个;2.新增屏蔽最新QQ短信诈骗消息、骗汇款消息、恶意网站6 /soft/3737 10. 木马杀客 V2007 Build 0530 全新一代的木马杀客,能有效查杀最新流行的QQ木马、网络游戏木马、网页木马等,而且提供快速查杀,一键修复注册表、IE等强大功能,小而精焊,简单易用,是一款不可多得的木 /soft/6901 11. QQ病毒木马专杀工具 QQKav V2007。
QQKav 2007 七夕版 更新情况(病毒库版本:2007.8.19) 1.新增查杀最新QQ病毒、木马、U盘病毒、恶意程序及其变种300余个; 2.新增屏蔽最新QQ短信诈骗消息、骗汇款消息、恶意网 /soft/14305 12. Windows木马防火墙 2007 6.0 Build 0810 上网必备版 据调查,世界上每3台电脑上就有一台感染了木马病毒,而且逐年呈上升趋势。木马已经严重影响到我们的生活。
感染木马后,您的个人隐私,银行帐号,QQ密码,网络游戏密码以及 /soft/21579 14. 木马清除专家2007 0810 木马清除专家2006是专业防杀木马软件,针对目前流行的木马病毒特别有效,彻底查杀各种流行QQ盗号木马,网游盗号木马,冲击波,灰鸽子,黑客后门等上万种木马间谍程序,是您电脑 /soft/13068 16. 木马清除大师 2007 V3.2 Build 0。 国际一流的木马间谍清除软件,2007完全免费查木马,九大实时监控和接近对7万多种木马间谍的查杀,使您的计算机如铁桶一样密不透风,让您高枕无忧,真正的御木马于千里之外: 新的 /soft/15035 17. 木马防线2005+ 4.8.6 木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版本,具备间谍软件/木马查杀、系统安全管理、网络保护等功能。
它采用全新的高速智能检测引擎 /soft/37900 18. QQ木马病毒专杀大师 V9.84 《QQ木马病毒专杀大师》是专门针对各种QQ木马病毒,各种广告间谍程序,黑客盗号程序及各种流氓软件而推出的专杀工具。马上下载,迅速还您一个真正干净的空间。
相信它一定会 。.。
6. 电脑被植入木马怎么办
您好!
首先,建议您安装正版的杀毒软件,建议您安装金山毒霸,并卸载掉试用版的卡巴斯基和360卫士。可以再安装个腾讯电脑管家即可。这样既可以避免电脑再次中毒,并可以用腾讯电脑进行优化,保证电脑运行流畅。
目前,既然您重新格式化了硬盘,说明应该不是木马的问题。因为硬盘格式化后,计算机里面应该是空的,不含任何相应程序的。
建议您格式化后,安装个正式版的系统,就win7专业版就可以了,没有必要安装成什么旗舰版等。
然后安装金山毒霸和腾讯电脑管家即可。其它的安全软件和优化软件就无需安装的。
有问题欢迎追问。
希望可以帮到您!
7. 电脑中了木马怎么办啊
教你三招避免病毒:
1. 打开U盘之前最好养成先杀毒的习惯。
2. 在论坛里看到链接不要随便点开,尤其是用美女及免费吸引你点击欲望的。
3. 最权威的下载站有天空、太平洋、霏凡、华军等。下载后安装的时候一步一步看清楚,费不了几分钟的事。
杀毒软件要根据自己电脑的性能来选择。卡巴,NOD32,AVG并称世界三大最好的杀毒软件。国产的瑞星,金山还是靠边站吧(不是说不爱国什么的,技术确实不行没办法。等以后真磨练得差不多了再出来赚钱,国人还是会支持的)。
电脑性能好的可以选择卡巴斯基,杀毒能力强但占用资源大。性能一般的可以选择NOD32,杀毒快,占用资源小。还可以选择AVG,杀毒能力和效率都适中,是木马的克星,胜在防毒能力上。
最最重要的是,无论哪种杀毒软件,都要定期升级。定期杀毒,如果你不这样做,就算你装世上最强的杀毒软件,还是会中毒。
另外,经常使用360,配合杀毒软件保护电脑安全。360在查杀恶意软件和修补系统漏洞上应该是首屈一指了,说实话比卡卡强多了。但是杀木马能力还要再加强才行,像目前这样才有10W木马库肯定不行。
Ghost备份是必要的,但是一定记得在所有程序装完之后,或者系统状态良好的情况下备份,要不然还不如重装系统。
NOD32, ( 下载地址: )。
AVG7.5 ( 下载地址: )。
如果还有其他问题请加我QQ328678008,最后如果你觉得我的回答好的话请给予采纳!谢谢!!
!!!
rundll32.exe用于在内存中运行DLL文件,它们会在应用程序中被使用。这个程序对系统的正常运行是非常重要的。注意:rundl132.exe和rundll32.exe相似。但是rundl132.exe是W32.Miroot.Worm病毒。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。对该文件的建议是立即删除。
RUNDLL32.EXE经常导致的占用很大CPU原因:
1、被病毒感染。 解决办法:升级最新杀软全盘杀毒。
2、杀软显示无毒、无木马。 解决办法:可能下载了紫光V6.1输入法,v6.1自动升级会占用大量cpu,v6.2已经修改了这个bug,升级下输入法即可
RUNDLL32病毒清除方法
计算机故障现象:
1.所有的应用程序都打不开,提示说找不到关联程序。其实这是木马程序在作怪,当使用木马克星除去木马之后,文件关联已经被木马程序修改,此时可以通过更改注册表来重新更改文件的关联,修改如下:
HKEY_CLASSES_ROOT->EXEFILE->SHELL->OPEN COMMAND 键值改为 "%1" %*
即 [HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
"IsolatedCommand"="\"%1\" %*"
HKEY_CLASSES_ROOT->EXEFILE->SHELL->runas command 键值改为 "%1" %*
即 [HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"
"IsolatedCommand"="\"%1\" %*"
2.系统总是提示找不到RUNDLL32.EXE文件,如果系统不存在该文件了,从别的机器上复制一个就OK了,如果机器上有改文件则说明改文件已被感染木马,使用木马克星杀一下毒就OK了。
楼主你需要安装一个杀毒软件推荐你可以试试腾讯电脑管家,他拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!保证杀毒质量。
安装运行腾讯电脑管家后可以很醒目的看到杀毒选项
你可以根据需要选择闪电查杀、全盘查杀、和自定义位置查杀三种模式进行查杀
如果遇到顽固木马,可以进入安全模式杀毒看看,还可以用腾讯电脑管家工具箱——顽固木马克星(强力查杀功能,),也可以试试文件粉碎哟。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)