b2c信息网

您现在的位置是:首页 > 法制新闻 > 正文

法制新闻

特洛伊木马病毒怎么删不完(特洛伊木马病毒删不掉)

hacker2022-06-26 03:50:26法制新闻159
本文目录一览:1、如何清除xp中的特洛伊木马2、

本文目录一览:

如何清除xp中的特洛伊木马

特洛伊木马一个远程控制的黑客工具,它的隐藏性和危害性不是一般的大。在xp系统中,是一个比较背容易盯上的系统,所以xp系统的用户们就要学会自己来手动清除这个特洛伊木马了。

木马藏身地及通用排查技术

●在Win.ini中启动木马:

在Win.ini的[Windows]小节中有启动命令“load=”和“run=”,在一般的情况下“=”后面是空的,如果后面跟有程序,比如:

run=C:Windows ile.exe

load=C:Windows ile.exe

则这个file.exe很有可能就是木马程序。

●在Windows XP注册表中修改文件关联:

修改注册表中的文件关联是木马常用的手段,如何修改的方法已在本系列的前几文中有过阐述。举个例子,在正常情况下txt文件的打开方式为Notepad.exe(记事本),但一旦感染了文件关联木马,则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”,就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等文件也都是木马程序的目标,要小心。

对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。

●在Windows XP系统中捆绑木马文件:

实现这种触发条件首先要控制端和服务端已通过木马建立连接,控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原有文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装了。如果捆绑在系统文件上,则每次Windows XP启动都会启动木马。

●在System.ini中启动木马:

System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所,木马通常的做法是将该语句变为这样:

Shell=Explorer.exe file.exe

这里的file.exe就是木马服务端程序。

另外,在[386enh]小节,要注意检查在此小节的“driver=path程序名”,因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的,所以也是添加木马的理想场所。

●利用Windows XP注册表加载运行:

注册表中的以下位置是木马偏爱的藏身之所:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

●在Autoexec.bat和Config.sys中加载运行木马:

要建立控制端与服务端的连接,将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽,所以这种方式并不多见,但也不能掉以轻心。

●在Winstart.bat中启动木马:

Winstart.bat也是一个能自动被Windows XP加载运行的文件,多数时由应用程序及Windows自动生成,在执行了Win.com或者Kernel386.exe,并加载了多数驱动程序之后开始执行(这可以通过在启动时按F8选择逐步跟踪启动过程的启动方式得知)。由于Autoexec.bat的功能可以由 Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行。

木马病毒的通用排查技术

现在,我们已经知道了木马的藏身之处,查杀木马自然就容易了。如果您发现计算机已经中了木马,最安全最有效的方法就是马上与网络段开,防止计算机骇客通过网络对您进行攻击,执行如下步骤:

l 编辑Win.ini文件,将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”,“load=”。

l 编辑System.ini文件,将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。

l 在Windows XP注册表中进行修改:先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除,并在整个注册表中查找木马程序,将其删除或替换。但可恶的是,并不是所有的木马程序都只要删除就能万事大吉的,有的木马程序被删除后会立即自动添上,这时,您需要记下木马的位置,即它的路径和文件名,然后退到DOS系统下,找到这个文件并删除。重启计算机,再次回到注册表中,将所有的木马文件的键值项删除。

木马在无形中进入系统,很多用户都是无法察觉的,再加上它神秘的隐身地,更是难上加难,用户们只有花更多的时间和耐心去排查,将这个隐藏在系统内的地雷排扫掉,保障系统的安全性。

电脑中了特洛伊木马病毒,有什么彻底清除的办法

用杀毒软件在安全模式下查杀,如果木马的免杀做的好,那就手工查杀,实在不行就只有重装系统

怎么彻底清除特洛伊木马病毒

删除木马时,首先要将网络断开,再用相应的方法来删除它。

1、通过木马的客户端程序删除

在win.ini或system.ini的文件中找到可疑文件判断木马的名字和版本,然后在网络上找到相应的客户端程序,下载并运行该程序,在客户程序对应位置填入本地算机地址端口号,就可以与木马程序建立连接,再由客户端的删除木马服务器的功能来删除木马。

2、手工删除

用Msconfig打开系统配置实用程序,对Win.ini、system.ini和启动项目进行编辑,屏蔽掉非法启动项。用rededit打开注册表编辑器,对注册表进行编辑,先由上面的方法找到木马的程序名,再在整个注册表中搜索,并删除所有木马项目。

由查找到的木马程序注册项,分析木马文件在硬盘中的位置,然后再进行删除。重新启动以后再用上面各种检测木马的方法对系统进行检查,以确保木马确实被删除。

3、工具删除

上面二种方法对于非专业人员来说操作起来并不容易,但现在已有许多非常好的木马专杀工具,大家可以根据自己需要下载或购买使用。利用工具删除,可以免除烦琐的操作,完全由软件程序自行完成。

扩展资料

特洛伊木马病毒对网络中的计算机系统危害也很大。特洛伊木马病毒是指系统被感染此类病毒后,表现症状较多,能干抗系统工作甚至导致系统损坏。

多数病毒检测程序都能检测和识别出特洛伊木马病毒并加以查杀。特洛伊木马病毒的例子包括:Coke、Ondever、ste-roid Trojan和TeLefoon等。

很多木马病毒主要感染的是Outlook和OutlookExpress的邮件客户端软件。如果选用其他的邮件软件,受木马病毒攻击的可能性就会减小。另外通过Web方式访问邮箱也可以减小感染木马的概率。

参考资料来源:百度百科-特洛伊木马病毒

参考资料来源:百度百科-特洛伊木马

前天中了个特洛伊木马,怎么删都删不掉

使用杀毒软件折叠

首先建议使用最新的专业杀毒软件和木马专杀工具AVG和卡巴斯基等进行处理,如遇杀毒软件被禁用或杀毒失败或一开机就重新出现的情况,再试试以下方法:

1.打开windows任务管理器,察看是否有可疑的进程(可以根据杀毒软件的报告或者在网上搜索相关信息来判定)在运行,如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒,有可能一个dll文件在运行,他才可能是病毒或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径,因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件(主要是你所中止的病毒进程文件,另外先在资源管理器的文件夹选项中,设置显示所有文件和文件夹、显示受保护的文件,再察看如system32文件夹中是否有不明dll或exe文件,C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或病毒程序文件),然后删去,搞清楚是否是系统文件再动手。

2.如果病毒进程终止不了,提示“拒绝访问”,或者出现“屡禁不止”的情况。根据我的经验,有三种办法供尝试:

A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是:查看控制面板〉管理工具〉服务,看有没有与之相关的服务(特别是“描述”为空的)在运行,把它停止。再试着中止病毒进程并删除。

B.你可以尝试安全模式下(开机后按F8选安全模式)用其他杀毒软件处理,,,,

C.(慎用)使用冰刃等工具,察看病毒进程的线程信息和模块信息,尝试结束线程和解除模块,再试着删除病毒进程文件和相应的模块.

3.如果稍微懂得注册表使用的,可以再把相关的注册表键值删除。一般方法:开始〉运行,输入regedit,确定,打开注册表编辑器。编辑〉查找,查找目标为病毒进程名,在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒,还应尝试使用步骤2中方法.

4.某些病毒会劫持IE浏览器,导致乱弹网页的状况.建议用金山毒霸的金山反间谍 2006 360安全卫士等修复工具.看浏览器辅助对象BHO是否有可疑项目.有就修复它.

5.其他提示:为了更好的操作,请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件,一般病毒往往在临时文件夹Temp中,这样做可以帮你更快找到病毒文件。

开始〉运行,输入msconfig,确定,可以打开“系统配置实用程序”。选择“启动”,察看开机时加载的程序,如果在其中发现病毒程序,可以禁止它在开机时加载。不过此法治标不治本,甚至对某些程序来说无效.

特洛伊木马无法清除 怎么才能清除干净呢

1.先要用个有文件粉碎功能的软件,360、瑞星卡卡、金山清理专家都装上最好,一个粉碎不了还有别的;

2.重启,按F8进入安全模式-查杀,还是杀不来直接用文件粉碎机到system32把文件目录删除,要强力删除,保证不再自动生成,通常瑞星是可以清除这个盗号木马病毒的。然后就要重启电脑。

3.清除不了尝试在线杀毒。

4.真的杀不了可以重装系统。

win10系统中了特洛伊木马,杀不掉怎么办

1、在win10系统桌面上,单击开始菜单,右键,运行。

2、接下来需要输入gpedit.msc,确定。

3、在本地组策略编辑器,依次打开本地计算机策略→计算机配置→管理模板→系统→系统还原。在右侧找到“关闭系统还原”。

4、返回本地组策略编辑器,依次打开本地计算机策略→计算机配置→管理模板→Windows组件→Windows Installer。在右侧找到“关闭创建系统还原检查点”。

5、单击已启用。再应用,确定。

6、接下来需要输入CMD,确定。

7、输入 cacls “c:\System Volume Information” /g everyone:f (可以复制到CMD中右键粘贴),并回车。输入Y再回车。即可删除病毒文件。

发表评论

评论列表

  • 舔夺瘾然(2022-06-26 08:50:07)回复取消回复

    ileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。当然,不仅是txt 文件,其

  • 双笙长野(2022-06-26 07:34:18)回复取消回复

    。当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等文件也都是木马程序的目标,要小心。 对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。 ●在Windows XP系统中捆绑木

  • 澄萌南忆(2022-06-26 07:53:16)回复取消回复

    将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.ex