本文目录一览:
木马病毒是什么?
什么是木马
特洛伊木马(以下简称木马),英文叫做“Trojan
house”,其名称取自希腊神话的特洛伊木马记。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
请问下这两个哪个是木马病毒?
正常的smss.exe用户名是SYSTEM,属于系统进程,是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。
但是注意:smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
而木马进程的用户名一般是正在登陆的计算机用户名,请尽快禁止并删除该进程,否则你的游戏账号和密码可能被窃取。
杀得不彻底有几个原因,一个是程序在运行,需要把改进程关掉,在进行杀毒
另一个原因是,病毒不止依靠一个进程保证自己不被禁止,可能还会在其他程序种下木马,比如:在某些常用的程序种下。关掉以后再次运行该程序(尽管不是病毒但仍然再次启动病毒)
所以建议下一个新的杀毒软件后升级至最新病毒库(愿有可能已被传染,我就见过一例瑞星被种木马后废掉无法启动杀毒,但是一运行瑞星就等于启动木马),断网杀毒,当然在安全模式下杀毒更好
我找了些关于这个木马的手动删除资料
结束假的SMSS.EXE进程,注意用些工具如Procexp察看该进程路径
我不知道你的EXE文件会不会也打不开,也有问题,用Upiea之类工具恢复EXE文件关联
做完以上步骤,可以删除文件和启动项了……
删除的启动项:
Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改为:
"Shell"="Explorer.exe"
删除的文件就是一开始说的那些,别删错就行
5. 最后打开注册表编辑器,恢复被修改的信息:
查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”;
查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”;
查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”;
查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如“C:\Program Files\Internet Explorer\iexplore.exe”。
比较麻烦,如果还不行,你发信息给我,我向你要这个病毒来亲身试下,看看怎么彻底清除
按趋势科技的病毒命名规则,以下哪个病毒是木马病毒
亲,安全厂商虽然对病毒名称可能不一样,但大体上还是相同的,比如木马 很多安全厂商报毒名称是Trojan……
谁能告诉我以下这些分别是什么电脑病毒??
一、ExeRoute.exe是木马病毒 用于窃密,
木马病毒第一次运行会创建以下病毒文件:
\smss.exe
\finder.com
\explorer.com
\exeroute.exe
\1.com
\msconfig.com
\rundll32.com
\command.pif
\dxdiag.com
\regedit.com
\finder.com
Debug\DebugProgram.exe
\Internet Explorer\iexplor.com
\Common Files\iexplore.pif
并在注册表修改winfiles的关联并创建iexplore.pif关联,实现自启动。
二、Winlogn.exe 是病毒程序本身,创建文件后来窃取资料信息。同时,病毒在注册表中增加自启动项,以使自己随Windows同时启动运行。
三、explorer.exe 是Hack.FallingDoor.b 堕落之门木马病毒 用于窃密
堕落之门木马病毒,或密码7005。该病毒运用键盘和鼠标挂钩技术窃取传奇游戏或其他帐号、密码等信息,通过电子邮件发送给病毒作者。同时还会终止多种其他传奇游戏木马的进程,关闭系统恢复功能,大量占用系统资源。该病毒变种采用动态生成文件名的方法,如在注册表创建Run/LoadEWXD=C:\WINDOWS\System32\msxml4r.exe实现自启动。
四、Rxpass.exe是W32.NETSKY.D@MM蠕虫病毒 窃取密码和个人数据
该病毒修改注册表创建Run/Microsoft项实现自启动,该病毒是W32.Netsky.D@mm的一部分,病毒通过Email邮件传播,当打开病毒发送的附件时,即会被感染。该病毒会创建SMTP引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。
五、NTDhcp.exe是QQ大盗(Trojan-PSW.Win32.QQRob.e)木马病毒 用于窃密
记录键盘和屏幕动作,发送信息到指定的邮箱,利用IE浏览器mht漏洞编写的恶意网页代码。该木马有多个变种,命名为:清风QQ大盗、阿拉QQ大盗、Win32.Troj.QQtran.f、Trojan.QQTail.Shejele.a、 QQ尾巴、QQ小盗、QQ大盗变种m等等。
以下是什么木马病毒?该怎样查杀?
不是木马
木马是
1.生成很多8位数字或字母随机命名的病DU程序文件,并在电脑开机时自动运行。
2.绑架安全软件,中DU后会发现几乎所有杀DU软件,系统管理工具,反间谍软件不能正常启动。
3.不能正常显示隐藏文件,其目的是更好地隐藏自身不被发现。
4.禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。
5.破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复。
6.当前活动窗口中有杀DU、安全、社区相关的关键字时,病DU会关闭这些窗口。假如你想通过浏览器搜索有关病DU的关键字,浏览器窗口会自动关闭。
7.在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病DU程序文件,通过自动播放功能进行传播。很多用户格式化系统分区后重装,访问其他磁盘,立即再次中DU。
8.最终目的是下载更多木马、后门程序。用户最后受损失的情况正是取决于此。
■防范措施
对于病DU而言,良好的防范措施,好过中DU之后再绞尽脑汁去寻找查杀方法,而且一旦感染该病DU,清除过程相当复杂,因此,在采访中,金山、江民、瑞星等几家公司的反病DU专家们向记者提供了针对该病DU防范措施:
1.保管好自己的U盘,MP3、移动硬盘等移动储存的使用,当外来U盘接入电脑时,请先不要急于双击打开,一定要先经过杀DU处理,建议采用具有U盘病DU免疫功能的杀DU软件,如KV2007独有的U盘盾技术,可以免疫所有U盘病DU通过双击U盘时运行。
2. 给系统打好补丁程序,尤其是MS06-014和MS07-17这两个补丁,目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。
3. 即时更新杀DU软件病DU库,做到定时升级,定时杀DU。
4.安装软件要到正规网站下载,避免软件安装包被捆绑进木马病DU。
5.关闭windows的自动播放功能。
■传播方式
1.通过U盘、移动硬盘的自动播放功能传播。
2.A V终结者最初的来源是通过大量劫持网络会话,利用网站漏洞下载传播。和前一段时间ARP攻击的病DU泛滥有关。
你中的这个病DU是“A V终结者”,也就是帕虫病DU,或者8位随机数字字母病DU
“A V终结者”中DU后5步解决方案-以及最新4.2版本专杀工具下载[屏蔽DU字]