本文目录一览:
- 1、木马病毒
- 2、这些木马用什么软件能杀掉?
- 3、计算机木马
- 4、这些病毒是什么听病毒
木马病毒
按卡巴报的位置找到病毒文件,看病毒名是什么,并关闭同名的进程。之后再删除病毒文件。在运行中输入msconfig,查看是否有病毒的启动项,如果有,删除。
注意:
1、查找文件时请打开文件隐藏。
2、关闭进程无效时请作用第三方工具,如冰刃。
3、文件删除不掉可以去安全模式下删除,或使用冰刃删除。
4、如果删除后再启机还是有,那么就在安全模式下进入注册表,搜索一下病毒名,有的全部删除。
这些木马用什么软件能杀掉?
如何识别木马
识别木马有新招,希望这篇文章对你有所帮助。
一、经常看到有玩家说,在输入自己的帐号的时候通故意输错帐号和码。其实这种木马是最早期的木马程序。现在已经很少有编木马程序的程序员,还按照这种监听键盘记录的思路去编写木马程序。现在的木马程序已经发展到通过内存提取数据来获得用户的帐号和密码。大家都知道,不管是传奇还是任何一款程序。它都是有他所特有的数据的(包括玩家的帐号、密码,等级装备资料等等)。这些数据都是会通过本机与游戏服务器取得了验证以后,玩家的角色资料才会出现在玩家的面前。而这些数据在运行的时候都是存放在计算机的内存里面的。木马作者只需要在自己的程序里面加入条件语句就可以取得玩家真实的游戏帐号、密码、角色等级~~~~~,以我自己的计算机知识,这种语句的大概意思应该是:当游戏进程进入到让玩家选择角色的时候再从内存中提取最后一次的帐号、密码、角色等级等资料。也就是说,其实玩家之前所做的故意输错帐号或密码完全是浪费自己的表情、浪费自己的时间。
下边先来说一下木马是如何通过网页进入你的电脑的,相信大家都知道,现在有很多图片木马,EML和EXE木马,其中的图片木马其实很简单,就是把木马exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVASCRIPT小程序调用DEBUG把临时文件里的bmp文件还原成木马exe文件并拷贝到启动项里,接下来的事情很简单,你下次启动电脑的时候就是你噩梦的开始了,EML木马更是传播方便,把木马文件伪装成audio/x-wav声音文件,这样你接收到这封邮件的时候只要浏览一下,不需要你点任何连接,windows就会为你代劳自动播放这个他认为是wav的音乐文件,木马就这样轻松的进入你的电脑,这种木马还可以frame到网页里,只要打开网页,木马就会自动运行,另外还有一种方法,就是把木马exe编译到.JS文件里,然后在网页里调用,同样也可以无声无息的入侵你的电脑,这只是些简单的办法,还有远程控制和共享等等漏洞可以钻,知道这些,相信你已经对网页木马已经有了大概了解,
简单防治的方法:
开始-设置-控制面版-添加删除程序-windows安装程序-把附件里的windows scripting host去掉,然后打开Internet Explorer浏览器,点工具-Internet选项-安全-自定义级别,把里面的脚本的3个选项全部禁用,然后把“在中加载程序和文件”禁用,当然这只是简单的防治方法,不过可能影响一些网页的动态java效果,不过为了安全就牺牲一点啦,这样还可以预防一些恶意的网页炸弹和病毒,如果条件允许的话可以加装防火墙,再到微软的网站打些补丁,反正我所知道的网吧用的都是原始安装的windows,很不安全哦,还有尽量少在一些小网站下载一些程序,尤其是一些号称黑客工具的软件,小心盗不着别人自己先被盗了,当然,如果你执意要用的话,号被盗了也应该付出这个代价吧。还有,不要以为装了还原精灵就很安全,据我所知,一般网吧的还原精灵都只还原c:盘即系统区,所以只要木马直接感染你安装在别的盘里的游戏执行文件,你照样逃不掉的。
下边介绍一下木马和如何简单的检查一下是否中了木马。
木马程序一般分为服务器端程序和客户端程序两个部分,当服务器端程序安装在某台连接到网络的电脑后,就能使用客户端程序对其进行登陆。这和PcAnywhere以及NetMeeting的远程控制功能相似。但不同的是,木马是非法取得对对方电脑的控制权,一旦登陆成功,就可以取得管理员级的权利,对方电脑上的资料、密码等是一览无余。不过这种木马一般的“伪黑客”很少使用,因为一不小心就会引火上身,被对方反查过来就会偷鸡不成蚀把米了,一般他们都会采用只有服务器端的小木马,这类木马通常会把截取的密码发到一个免费邮箱里,不需要人为操作,有空去收趟邮件就可以了,这种木马遍布互连网的各个角落,的确防不胜防,由于木马程序众多,加之不断有新版本、新品种产生,使得软件无法完全应付,所以手动检查清除是十分必要的。
木马会想尽一切办法隐藏自己,别指望在任务管理器里看到他们的踪影,有些木马更是会和一些系统进程寄生在一起的,如著名的广外幽灵就是寄生在MsgSrv32.exe里;当然它也会悄无声息地启动,木马会在每次用户启动windows时自动装载服务端,Windows系统启动时自动加载应用程序的方法木马都会用上,如启动组、win.ini、system.ini、注册表等等都是木马藏身之地;下边简单说一下如何检查,点开始-运行,输入:
msconfig回车 就会打开系统配置实用程序,先点system.ini,看看shell=文件名,正确的文件名应该是“explorer.exe”,如果explorer.exe后边还跟有别的程序的话,就要好好检查这个程序了,然后点win.ini,“run=”和“load=”是可能加载“木马”程序的途径,一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了,当然你也得看清楚,因为如“AOL木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件;最后点“启动”,检查里面的启动项是不是有不熟悉的,如果你实在不清楚的话可以把他们全部取消,然后重新运行msconfig,看一下有没有取消的启动项重新被选中的,一般木马都会存在于内存中,(就是线程插入,然后隐藏进程的木马,DLL无进程木马就不会驻留在内存里面,我们在下一次中会讲到)所以发现你取消他的启动项就会自动添加上的,然后你就可以逐步添上你的输入法,音量控制,防火墙等软件的启动项了;还有一类木马,他是关联注册表的文件打开方式的,一般木马经常关联.exe,点开始-运行,输入:regedit回车,打开注册表编辑器,点第一条,也就是HKEY_CLASSES_ROOT,找到exefile,看一下\\exefile\\shell\\open\\command里面的默认键值是不是"%1" %* ,如果是一个程序路径的话就一定是中木马了,另外配合两种以上的杀毒软件也是必要的,另外在windows下木马一般很难清除,最后重新启动到dos环境下再进行查杀。
防木马程序、防火墙、及杀毒软件介绍:
1、木马克星: 专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!
2、绿鹰PC万能精灵2.91 :专业的个人版木马查杀工具;近100%查杀各种类型木马!玩家推荐反木马品牌~!
3、Symantec AntiVirus:这个我就不用再介绍了吧,全球最大的杀毒软件!强力推荐8.1企业版。
4、天网防火墙2.51个人版:天网防火墙个人版在网络效率与系统安全上完全采用天网防火墙的设计思想,采用最底层的网络驱动隔绝,其作用层在网络硬件与Windows网络驱动之间,在黑客攻击数据接触Windows网络驱动之前将所有的攻击数据拦截,保护脆弱的Windows网络驱动不会崩溃 。
计算机木马
建议用Ewido。许多的反木马程序中,Ewido 是最好的。国内的木马x星等和它比简直是小儿科了。最近在上的测试里表明,它可以有效地检测出多形态和进程注入式木马,这些甚至完全不能被像诺顿和AVG等杀毒软件所查杀。不过它没有TDS-3 或Trojan Hunter有效.但TDS-3目前还没推出支持中文操作系统的版本,Trojan Hunter是英文的没汉化版。但对于个人而言Ewido足够强大了,和kaspersky结合使用加上ZoneAlarm防火墙,可以使得系统坚若磐石。推荐所有没有安装反木马扫描器的个人计算机用户下载这个软件,并每周定期扫描。我猜你可能在你会为所得到的结果感到惊讶。
去安全模式中杀毒。再不行,就手动杀吧:
木马的自运行方法
前两天在一个E文站点看到一篇关于TROJAN的简单介绍,虽然是属于比较浅显的知识,但是感觉写得还不错,所以翻译其中一小部分给大家共享。
Trojan,这里简称为木马。
多数木马分为两个部分,客户端和服务端,但是很多木马不提供客户端,它们使用通用的telnet作为客户端,或者是它们完全是自动地在做它们要做的事情(比如键盘记录、嗅谈监听等等),完全不需要入侵者更多地干预。可是,那种客户/服务器式的木马则需要入侵者进行交互式xx作。一旦肉鸡在不知情的情况下运行了木马的服务端,入侵者就可以通过某个端口连接到肉鸡,开始使用木马。TCP是最常使用的协议,但是也有一些木马使用ICMP和UDP协议。当木马的服务端在肉鸡上执行以后,它通常是把自己隐藏在计算机上的某个地方,并且在入侵者设定的端口开始监听,等待连接。
为了能够连接肉鸡,必须知道肉鸡的IP,有些肉鸡的IP是动态变化的,比如电话拨号用户或者ADSL虚拟拨号用户。很多木马具有自动发送肉鸡IP到入侵者邮箱的功能,或者是通过ICQ或者IRC来发送。
当肉鸡重新启动的时候,绝大多数木马都有自启动的方法,这些方法包括:使用注册表、使用windows系统文件、使用第三方程序。
1、使用系统文件启动木马
*Autostart Folder
C:\Windows\Start Menu\Programs\startup
这个文件夹是windows启动之后自动运行的文件夹,放在这个下面的任何程序都将自动运行,当机器重新启动的时候。
*Win.ini
如果win.ini中包含下面的,则trojan将自动执行
load=Trojan.exe
run=Trojan.exe
*System.ini
Shell=Explorer.exe trojan.exe
系统启动的时候将自动执行跟在explorer后面的程序
*Wininit.ini
放在该文件下的程序将自动执行,执行完毕后就删除自己,特别适合木马自运行使用
*Winstart.bat
机器启动时的自运行批处理文件
@trojan.exe
使用上面这个语句,木马就自动运行了
*Autoexec.bat
这个是DOS命令行自运行批处理文件,使用
@trojan.exe
*Config.sys
这里也可以自动加载木马
*Explorer Startup
如果存在c:\explorer.exe,则windows将首先执行该程序,而不是通常要执行的c:\Windows\Explorer.exe,这样木马可以把自己改名为explorer.exe,存放在c:\下,这样就执行了它。
2、使用注册表
下面都是木马的藏身之地
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"Info="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"
另外木马也可以在这里运行
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
正常的情况下,这个键值应该是"%1 %*",如果是这样trojan.exe "%1 %*",那么就可以自动启动木马了
3、使用第三方程序
*ICQ 网络探测自动执行程序
[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]
当ICQ探测到机器存在INTERNET连接的时候,防在该键下的所有程序都将自动执行,木马可以放在这里运行。
*ActiveX组件
[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\InstalledComponents\KeyName]
StubPath=C:\directory\Trojan.exe
自己动手删除时常来袭的木马、病毒
我中了一个小破木马,开了个鬼端口。于是我开始自己手动删除,我一般不用杀毒软件,那些软件都是哄人的,比如一个简简单单的happy time都不能很好的清除!最后还是要靠我自己来~
我建议有能力的话,时刻注意系统的变化,奇怪端口、可疑进程等等。
现在的病毒都不象以前那样对系统数据破坏很严重,也好发现的多, 所以尽量自己杀毒,杀毒(较简单的病毒、木马)大致要分几步:
1. 检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址,再将可疑的删除。
2. 删除上述可疑键在硬盘中的执行文件。
3. 一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
4. 检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main和中的几项(如Local Page),如果被修改了,改回来就可以。
5. 检查HKEY_CLASSES_ROOT\exefile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt,.exe等的默认打开程序进行病毒“长生不老,永杀不尽”的。
6. 如果有可能,对病毒的母文件进行反汇编,比如我上次中的那个病毒,通过用IDA反汇编,发现它还偷窃系统密码并建立%systemroot%\system\mapis32a.dll文件把密码送到一个邮箱中,由于我用的是W2K,所以它当然没有得手。
至此,病毒完全删除!
这些病毒是什么听病毒
病毒名称:Trojan.win32.
中 文 名:冲击波
病毒长度:可变
病毒类型:木马
危害等级:★
影响平台:Win 9X/NT/WIN95/XP/WIN98
Trojan.win32.DWSchanger.iy 修改注册表,实现开机自启。在每个文件夹下生成desktop_.ini文件,文件里标记着病毒发作日期。删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,因此“木马”可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行。搜索硬盘中的*.EXE可执行文件并感染,感染后的文件图标会死机。
Backdoor.Gpigeon.gen
这个是个 灰鸽子 木马,
灰鸽子是个远程控制类软件。
会偷看你的隐私,盗取你的密码等等。
还可以非法上传一些其他的木马或病毒进入你的电脑。
现在杀灰鸽子的软件很多,下面是各大杀毒软件公司出的一些专杀软件,;classid=0page=classid=0key=
你有360安全卫士的话也可以用它试试,都比较管用。
dropper
开放分类: 病毒、计算机
病毒特征和建议:如果计算机同时按CTRL+ALT+Del 打开【Windows任务管理器】,点击进程,若发现以下进程:hmisvc32.exe、email.exe、oi.exe、ctsvccd.exe、adservice.exe、 msmonk32.exe、gesfm32.exe,你的计算机可能已经感染了W32.randex2、W32.spybot脚本间谍蠕虫病毒、Trojan.dropper点滴木马等病毒。 若计算机已安装了最新版本的防病毒软件,它可以自动把这些病毒删除或隔离。
最后再提醒要注意对病毒的防范和维护好网络的安全,平时收取电子邮件对于不熟悉的邮件和邮件附件不要轻易打开,可以直接删除的就删除!对于一些非法的网页也要注意,要求安装插件的尽量不装,同时对于操作系统也要经常打补丁(特别是安全补丁)。
解决方法1:
1 关闭系统还原的功能(windows Me/xp)
2 连上网络更新你的病毒库
3 更新完后重新开机[按F8],并且关机到安全模式或者VGA模式
4 执行全盘扫描,并且删除侦测到有感染病毒的所有档案,不要手软!!
5 删除被病毒自行增加到启动项的注册表值