xptl是什么木马病毒（图片木马病毒）

本文目录一览：

• 1、请问怎么知道哪个是病毒？木马？然后它们通常在出没在哪里？
• 2、xptl是什么木马
• 3、这是什么病毒？为什么中啦几天都没事？
• 4、木马病毒
• 5、ntldr.exe是个什么文件？感觉好象是一个病毒，每个盘里都有，删了一会儿又出现，

请问怎么知道哪个是病毒？木马？然后它们通常在出没在哪里？

可以在任务管理器的进程中找到

一般的正常进程有

进程名描述

* 　smss.exe　Session　Manager

* 　csrss.exe 子系统服务器进程

* 　winlogon.exe　管理用户登录

* 　services.exe　包含很多系统服务

*　 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。

* 　svchost.exe　 Windows 2000/XP 的文件保护系统 (2000一般是2个,XP默认是4个)

SPOOLSV.EXE 　将文件加载到内存中以便迟后打印。)

* 　explorer.exe　资源管理器

internat.exe　托盘区的拼音图标)

mstask.exe允许程序在指定时间运行。

regsvc.exe允许远程注册表操作。(系统服务)-remoteregister

* 　winmgmt.exe 　提供系统管理信息(系统服务)。

inetinfo.exe　msftpsvc,w3svc,iisadmn

tlntsvr.exe 　tlnrsvr

tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。

termsrv.exe 　termservice

dns.exe 　应答对域名系统(DNS)名称的查询和更新请求。

tcpsvcs.exe 　提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。

ismserv.exe 　允许在 Windows Advanced Server 站点间发送和接收消息。

ups.exe 　管理连接到计算机的不间断电源(UPS)。

wins.exe　为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。

llssrv.exe证书记录服务

ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。

RsSub.exe 控制用来远程储存数据的媒体。

locator.exe 　管理 RPC 名称服务数据库。

lserver.exe 　注册客户端许可证。

dfssvc.exe管理分布于局域网或广域网的逻辑卷。

clipsrv.exe 　支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。

msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统或其它事务保护护资源管理器。

faxsvc.exe帮助您发送和接收传真。

cisvc.exe 索引服务

dmadmin.exe 　磁盘管理请求的系统管理服务。

mnmsrvc.exe 　允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。

netdde.exe提供动态数据交换 (DDE) 的网络传输和安全特性。

smlogsvc.exe　配置性能日志和警报。

rsvp.exe　为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。

RsEng.exe 协调用来储存不常用数据的服务和管理工具。

RsFsa.exe 管理远程储存的文件的操作。

grovel.exe扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间（只对 NTFS 文件系统有用）。

SCardSvr.ex 　对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。

snmp.exe　包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。

snmptrap.exe　接收由本地或远程 SNMP 代理程序产生的陷阱（trap）消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序。

UtilMan.exe 　从一个窗口中启动和配置辅助工具。

msiexec.exe　依据 .MSI 文件中包含的命令来安装、修复以及删除软件。

* SYSTEM IDLE PROCESS 显示的是系统空闲的资源！当然是数值越高越好

* SYSTEM WINDOWS 页面内存管理进程，拥有0级优先权。没有它系统无法启动。

总结：以上打“*”的进程是2000和XP启动是必须的进程，我现在的2000系统开机登陆后就只有12个进程。发现可疑进程的秘诀就是要多看任务管理器中的进程列表，看多了以后，一眼就可以发现可可疑进程，就象找一群熟悉人中的陌生人一样。

如果还有另外的一些进程，就可能是病毒了

xptl是什么木马

使用腾讯电脑管家杀毒软件，全面的查杀木马程序，总计四大反病毒引擎：腾讯电脑管家云引擎、金山云查杀、小红伞本地查杀引擎、趋势本地引擎，也就是说腾讯电脑管家电脑管家除了自家的云查杀引擎，还应用了国外两大品牌的本地查杀引擎，有力的保障了对木马的精准查杀！！可以彻底的清理干净病毒木马程序！！

这是什么病毒？为什么中啦几天都没事？

可能有以下原因:

1、日积月累的临时文件

2、恶评插件导致

3、有些人不知道，总把下载软件放到系统盘c盘

4、运行环境热

5、开机启动项过多

6、内存过小

以上的可能最大

试试自己动手解决下：

1.垃圾文件太多，可用360等软件清理，可以清除垃圾插件，清楚垃圾文件等，以及网页缓存也可以清理，工具--internet选项--删除文件cookies与删除文件。

2.杀毒，电脑中毒也会使电脑运行速度减缓！不行的话重做系统。

3.驱动不匹配，尤其是显卡驱动，可根据你电脑的型号上官网自己下载。

4。cpu温度过高，可以降低室内温度或者换个好点的cpu风扇！

希望我的回答能够帮助到你，望采纳！谢谢.

木马病毒

其实楼主就是中了一个木马下载者以后，通过下载者下载了其他各类木马的。

处理办法：

1.断网。

2.结束病毒进程，可以用冰刃查可疑进程。冰刃下载地址如下：

3.卡巴全盘杀毒，碰到提示要重新启动才可以清理的病毒，别点击启动清理。最简单的方法是用一个叫unlocker的软件，下载安装完后分别解锁卡巴提示要重新启动的那个文件（安装完那个软件后会在右键菜单上自动生成一个unlocker的菜单项），然后就可以把病毒文件删除了.

去华军网下载unlocker1.85

地址：

4.删除临时文件:

C:\temp

C:\windows\prefetch

C:\document and setting\各个用户\local setting\ Temporary Internet Files

C:\document and setting\各个用户\ Templates

C:\Program Files\Internet Explorer\ PLUGINS(这个位置也会有病毒)

5.最后打开注册表编辑器（在运行里输入regedit打开），分别在

HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services

HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

下找到以病毒文件名命名的项并删除。

6.到控制面板的服务里面停止病毒的服务项。

到此该病毒清理完毕。

但是为了系统的长久安全，推荐还进行下列操作：

一：首先禁用或者删除guest帐号，防止黑客帐号克隆。将系统内建的administrator帐号改名改的越复杂越好，最好改成中文的，而且要设置一个密码，最好是8位以上字母数字符号组合。

打开管理工具.本地安全设置.密码策略

1.密码必须符合复杂要求性.启用

2.密码最小值.我设置的是8

3.密码最长使用期限.我是默认设置42天

4.密码最短使用期限0天

5.强制密码历史 记住0个密码

6.用可还原的加密来存储密码 禁用

本地策略:

这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。

(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的)

打开管理工具

找到本地安全设置.本地策略.审核策略

1.审核策略更改 成功失败

2.审核登陆事件 成功失败

3.审核对象访问 失败

4.审核跟踪过程 无审核

5.审核目录服务访问 失败

6.审核特权使用 失败

7.审核系统事件 成功失败

8.审核帐户登陆时间 成功失败

9.审核帐户管理 成功失败

本地安全策略:

打开管理工具

找到本地安全设置.本地策略.安全选项

1.交互式登陆：不显示上次登陆的用户名

2.网络访问.不允许SAM帐户的匿名枚举 启用

3.网络访问.可匿名的共享 将后面的值删除

4.网络访问.可匿名的命名管道 将后面的值删除

5.网络访问.可远程访问的注册表路径 将后面的值删除

6.网络访问.可远程访问的注册表的子路径 将后面的值删除

7.网络访问.限制匿名访问命名管道和共享

8.帐户.（前面已经详细讲过）

用户权限分配策略:

打开管理工具

找到本地安全设置.本地策略.用户权限分配

1.从网络访问计算机 里面一般默认有5个用户，除Admin外我们删除4个，当然，等下我们还得建一个属于自己的ID

2.从远程系统强制关机，Admin帐户也删除，一个都不留

3.拒绝从网络访问这台计算机 将ID删除

4.从网络访问此计算机，Admin也可删除，如果你不使用类似3389服务

二：

删除默认共享(每次输入一个）

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e，f，……可以继续删除）

关闭135端口；

135端口被用做查询服务外，它还可能引起直接的攻击，关闭方法是：开始－运行－输入dcomcnfg，在弹出的组件服务窗口里选择默认属性标签，取消“在此计算机上启用分布式COM”即可。

关闭自己的139端口(netbios协议)，ipc和RPC漏洞存在于此。

关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

445端口的关闭

修改注册表，添加一个键值

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了

3389的关闭

XP：我的电脑上点右键选属性-- 远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

修改3389的默认端口

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

来到这里，找到PortNumber ，十进制是3389的，你随意把它改成其它4个数字吧，我改成1314了

这样入侵者就不能3389入侵你的电脑了。

三：关闭垃圾服务：

关掉大部分没用的服务，不但可以使系统安全得到提升，而且系统的资源占用率有了大幅度的下降，开机速度明显加快。

Alerter -错误警报器。

Automatic updates -windows自动更新。

COmputer browser - 用来浏览局域网电脑的服务，但关了也不影响浏览！

Distributed link tracking client-用于局域网更新连接信息，比如在电脑A有个文件，在B做了个连接，如果文件移动了，这个服务将会更新信息。占用4兆内存。

ntldr.exe是个什么文件？感觉好象是一个病毒，每个盘里都有，删了一会儿又出现，

老病毒新变种的分析之一

一.logogo最新变种soundmno.exe,ntldr.exe的分析

技术细节：

1.病毒运行后，衍生如下副本：

C:\WINDOWS\system\soundmno.exe

在每个磁盘分区根目录下释放ntldr.exe和autorun.inf达到通过移动存储传播的目的

2.创建注册表启动项目

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TBMonEx: "C:\WINDOWS\system\soundmno.exe"

达到开机启动的目的

在HKLM\SOFTWARE下面创建logogo子键，用以记录病毒安装成功的信息。

3.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面创建映像劫持项目，指向病毒本身。

（与之前病毒变种相同）

4.感染exe文件 并跳过部分exe文件

CA.exe

NMCOSrv.exe

CONFIG.exe

Updater.exe

WE8.exe

settings.exe

PES5.exe

PES6.exe...

（与之前病毒变种相同）

和某些文件夹中的文件

windows

winnt

recycler

system volume information

Common Files

Internet Explorer

Windows NT

并跳过感染有exe文件中有ani区段的文件

被感染文件尾部被加入一个名为.ani的节。

5.连接网络下载木马

读取http://*:1433/xin.jpg的下载列表

然后下载http://*:1433/mylm.exe

http://*:1433/mhlm.exe

http://*:1433/00011.exe~http://*:1433/00014.exe

到%systemroot%\system下面

并以SYSTEM128.tmp作为下载文件过程中的临时文件

6.病毒同时会获得当前机器名，操作系统版本，MAC地址等信息 并把信息发送给指定地址

病毒木马植入完毕后的sreng日志如下：

启动项目

注册表

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

{TBMonEx}{C:\WINDOWS\system\soundmno.exe} []

{inudhya}{C:\WINDOWS\system\soundma.exe} []

{WinForm}{C:\WINDOWS\WinForm.exE} []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

{AppInit_DLLs}{kvdxsjma.dll} []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

{{59502416-6436-4CE9-BC06-3C1156FC3542}}{\\?\C:\WINDOWS\system32\myad.nls} []

{{AD561258-45F3-A451-F908-A258458226DA}}{C:\WINDOWS\system32\kvdxsjma.dll} []

{{9E32FA58-3453-FA2D-BC49-F340348ACCE9}}{C:\WINDOWS\system32\rsmyipm.dll} []

{{792FADFA-BCDE-ACDF-CDEF-21054865CBA7}}{C:\WINDOWS\system32\wsmsezx.dll} []

{{F2CEA371-1442-4F42-900F-97C479F406DB}}{C:\WINDOWS\system32\hursax.dll} []

{{9963387B-212E-4643-B207-82DAEA0E713D}}{C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys} []

{{5598FF45-DA60-F48A-BC43-10AC47853D55}}{C:\WINDOWS\system32\rarjepi.dll} []

{{8A1247C1-53DA-FF43-ABD3-345F323A48D8}}{C:\WINDOWS\system32\avwghmn.dll} []

{{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}}{C:\WINDOWS\system32\kvdxjma.dll} []

{{D34345F1-DACF-3452-CB7D-4620F34A153D}}{C:\WINDOWS\system32\rsztmpm.dll} []

{{64783410-4F90-34A0-7820-3230ACD05F46}}{C:\WINDOWS\system32\raqjfpi.dll} []

{{A859245F-345D-BC13-AC4F-145D47DA34FA}}{C:\WINDOWS\system32\avzxjmn.dll} []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]

{IFEO[360rpt.exe]}{C:\WINDOWS\system\soundmno.exe} []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]

{IFEO[360Safe.exe]}{C:\WINDOWS\system\soundmno.exe} [] ...

==================================

浏览器加载项

[]

{9963387B-212E-4643-B207-82DAEA0E713D} {C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys, N/A}

==================================

正在运行的进程

[PID: 1500][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

[C:\WINDOWS\system\inudhya.dll] [N/A, ]

[C:\WINDOWS\system32\WinForm.dll] [N/A, ]

[\\?\C:\WINDOWS\system32\myad.nls] [N/A, ]

[C:\WINDOWS\system32\kvdxsjma.dll] [N/A, ]

[C:\WINDOWS\system32\rsmyipm.dll] [N/A, ]

[C:\WINDOWS\system32\wsmsezx.dll] [N/A, ]

[C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys] [N/A, ]

[C:\WINDOWS\system32\rarjepi.dll] [N/A, ]

[C:\WINDOWS\system32\hursax.dll] [N/A, ]

[C:\WINDOWS\system32\avwghmn.dll] [N/A, ]

[C:\WINDOWS\system32\kvdxjma.dll] [N/A, ]

[C:\WINDOWS\system32\rsztmpm.dll] [N/A, ]

[C:\WINDOWS\system32\avzxjmn.dll] [N/A, ]

[C:\WINDOWS\system32\raqjfpi.dll] [N/A, ]

==================================

Autorun.inf

[C:\]

[AutoRun]

OPEN=ntldr.exe

shellexecute=ntldr.exe

shell\打开(O)\command=ntldr.exe...

解决办法：

下载sreng:

Xdelbox:里面的原创软件文件夹下

首先重启计算机进入安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

分别解压Xdelbox和sreng

(注意：如果winrar也被感染，请重装winrar后再解压文件,推荐重装winrar)

1.打开sreng

启动项目 注册表 删除如下项目

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

{TBMonEx}{C:\WINDOWS\system\soundmno.exe} []

并删除所有红色的IFEO项目

2.解压Xdelbox所有文件到一个文件夹

在 添加旁边的框中 分别输入（实际情况不一定与此相同，因为木马随时会变化）

C:\Program Files\Internet Explorer\PLUGINS\Sy_Win7k.Jmp

C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys

C:\WINDOWS\system\inudhya.dll

C:\WINDOWS\system\mhlm.exe

C:\WINDOWS\system\mylm.exe

C:\WINDOWS\system\soundma.exe

C:\WINDOWS\system\soundmno.exe

C:\WINDOWS\system32\avwghin.dll

C:\WINDOWS\system32\avwghmn.dll

C:\WINDOWS\system32\avwghst.exe

C:\WINDOWS\system32\avzxjmn.dll

C:\WINDOWS\system32\avzxjst.exe

C:\WINDOWS\system32\hursax.dll

C:\WINDOWS\system32\kvdxjis.exe

C:\WINDOWS\system32\kvdxjma.dll

C:\WINDOWS\system32\kvdxsjis.exe

C:\WINDOWS\system32\kvdxsjma.dll

C:\WINDOWS\system32\raqjfpi.dll

C:\WINDOWS\system32\raqjftl.exe

C:\WINDOWS\system32\rarjepi.dll

C:\WINDOWS\system32\rarjetl.exe

C:\WINDOWS\system32\rsmyifg.dll

C:\WINDOWS\system32\rsmyipm.dll

C:\WINDOWS\system32\rsmyisp.exe

C:\WINDOWS\system32\rsztmpm.dll

C:\WINDOWS\system32\rsztmsp.exe

C:\WINDOWS\system32\WinForm.dll

C:\WINDOWS\system32\wsmseax.exe

C:\WINDOWS\system32\wsmsezx.dll

C:\WINDOWS\WinForm.exE

（第一步为处理病毒下载的木马的步骤，实际操作中不一定与其完全相同）

输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中

然后一次性选中 （按住ctrl)下面大框中所有的文件

右键 单击 点击 重启立即删除

3.重启计算机后

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定

点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）

在左边的资源管理器中单击打开每个盘

删除各个盘根目录下的ntldr.exe和autorun.inf

4.打开sreng

删除上述对应的启动项目 浏览器加载项目

5.使用杀毒软件全盘杀毒以修复被感染的exe文件