Downloader病毒怎么清除?
解决这个病毒的关键是要了解downloader病毒具体的病毒名称,然后再找相应的解决方法,网上一搜索就知道怎么办了,病毒用杀毒软件需要升级,然而网上的手工删除法就是比较好的选择,不过也有一定的危险性。
似乎这个downloader版本的病毒很多。
我发现的是phel那个版本的,被病毒防火墙拦住然后清空了浏览器缓存这个病毒就没有了。
有的时候病毒经常被报警的原因部分是一些网站本身带有病毒,然而浏览器的原理是服务器和客户端的模式和木马是一样的,在未感染的情况下对系统是没有威胁的,这时候不用慌张,找到合适的方法就可以在未感染的情况下删除这个木马程序。
至于如果你已经感染的那个版本也许也是这个,那么删除那几个文件也许可以解决问题:
trojan-downloader.ts.phel.k是什么病毒啊?
悬赏分:0 - 解决时间:2006-4-25 10:09
提问者: 走在左边 - 助理 二级
最佳答案
该病毒是特洛伊木马,可以窃取你人密码以及达到其他不可告人的目的.
目前尚无法用木马克星杀掉,可以手工删除.
删除方法如下
1、找到其在dllcache库中的关联文件,共有8个,
分别是a3d.dll
drmk.sys ks.sys ksproxy.ax ksuser.dll mstunint.dll mstunmsr.dll mstuntsk.dll portcls.sys portcls.sys
并删除,(dllcache库位于system32目录下,正常情况下是隐藏的,需要打开文件夹选项--查看--去掉隐藏受保护文件的前的对号,打开显示所有文件)
2、删除system32cba ask.exe
system32appmgmtmsser.exe
C:windows empInstallsetup.exe
system32icon目录
system32inetsrvinet.exe
3、最后从注册表中删除msser.exe其相关启动项.
再次启动后这些东东就都没有了,另外最好大家都安装防火墙,这样有什么可疑程序想进入就难多了.
请问各位大师,我手机桌面有个downloader程序,不知是不是木马病毒程序?要不要删掉它?
这个是手机里面的一个下载器之类的东西,是属于病毒类型的。
应该是携带了手机的病毒的,你可以用腾讯手机管家查杀掉就可以了。
要是不能完全的查杀,你可以用电脑获得手机的最高权限优化在删除就可以了。
如何彻底查杀Downloader木马病毒
电脑中病毒后要及时处理,可使用杀毒软件,类似腾讯电脑管家等来查杀。
腾讯电脑管家采用给腾讯云查杀技术的,可以强行查杀最新的木马程序的,让电脑远离病毒的威胁,还可以实时保护你的电脑对上网的网页、系统文件、U盘、浏览器等都多的保护的,有的病毒还篡改电脑文件,都是可以保护你的电脑不受威胁还你一个干净的上网环境
具体步骤:
1、普通查杀,打开腾讯电脑管家——病毒查杀
2、安全模式下查杀,可重启计算机按f8,屏幕显示winxp系统启动选项菜单,按下键移动到“带命令提示符的安全模式”,回车;找到电脑里面的杀毒软件杀毒就可以。
TrojanDownloader.Adload.NEO这个是什么病毒。
现在总算删了双把NOD32打开来扫描下。就没有了。具体是这样操作的。。。打开我的电脑,点下工具,在点开文件夹选项,点下查看,把里面的稳藏受保护的操作系统文件的前面那个勾去了。就可以了。
我的电脑检查到病毒是:Downloader.是什么来的?
该病毒属木马类。病毒使用Windows图片浏览器的图标,用以迷惑用户点击运行。病毒运行后,复制自身到系统目录%WINDIR%下,释放病毒文件,修改注册表,添加启动项,以达到随机启动的目的,连接网络,开启本地端口,下载病毒文件,修改用户QICQ密码,盗取用户的敏感信息,并使QICQ带有“QQ尾巴”,自动发送含有被挂马的网站信息,终止反病毒软件的进程,阻止杀毒软件的安装。该病毒对用户有较大危害。
行为分析:
1、病毒使用Windows图片浏览器的图标,用以迷惑用户点击运行。
2、病毒运行后,复制自身到系统目录%WINDIR%下,释放病毒文件:
%WINDIR%\niw.exe
%system32%\impai.exe
3、修改注册表,添加启动项,以达到随机启动的目的:
修改的注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile
\shell\open\command
原键值:字串:"默认"="%SystemRoot%\system32
\NOTEPAD.EXE %1."
修改的键值:字串:"默认"="C:\WINDOWS\system32
\impai.exe "%1""
新建注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
键值: 字串: "NIW "="C:\WINDOWS\NIW.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
键值: 字串: "Desktop"="C:\WINDOWS\system32
\rundll32.exe"
"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{08A312BB-5409-49FC-9347-54BB7D069AC6}\
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{08A312BB-5409-49FC-9347
54BB7D069AC6}\InprocServer32\
键值: 字串: "默认"="C:\PROGRA~1\DESKAD~1
\deskipn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\InprocServer32\
键值: 字串: "ThreadingModel "="Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{08A312BB-5409-49FC-9347-54BB7D069AC6}\ProgID
键值: 字串: "默认"="MonitorIE.MonitorURL.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{08A312BB-5409-49FC-9347
54BB7D069AC6}\VersionIndependentProgID
键值: 字串: "默认"="MonitorIE.MonitorURL"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL.1
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL.1\CLSID
键值: 字串: "默认"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.MonitorURL
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL\CLSID
键值: 字串: "默认"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL\CurVer
键值: 字串: "默认"="MonitorIE.MonitorURL.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0\0\win32
键值: 字串: "默认"="C:\Program Files\DeskAdTop\deskipn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0
键值: 字串: "默认"="MonitorIE 1.0 Type Library"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0\
键值: 字串: "HELPDIR"="C:\Program Files\DeskAdTop\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
键值: 字串: "DownloadManager"="C:\WINDOWS\system32
\rundll32.exe"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒体
键值: 字串: " DisplayName "="桌面媒体"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒体
键值: 字串: "SetupPath"="C:\Program Files\DeskAdTop\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒体
键值: 字串: "UninstallString"="C:\Program Files\DeskAdTop\DeskUn.exe"
4、连接网络,开启本地端口,下载病毒文件:
协议:TCP
端口:随机开启本地1024以上端口,如:1124
IP地址:210.51.168.69
下载的病毒文件:
%system32%\tmdown.exe
%system32%\tmdown1.exe
%Program Files%\deskadtop\_uninstall
%Program Files%\deskadtop\allverx.dat
%Program Files%\deskadtop\deskipn.dll
%Program Files%\deskadtop\DeskUn.exe
%Program Files%\deskadtop\Mrup.exe
%Program Files%\deskadtop\Run.dll
%Program Files%\deskadtop\sinfo.ini
5、修改用户QICQ密码,盗取用户的敏感信息,并使QICQ带有“QQ尾巴”,自动发送含有被挂马的网站信息:
QQ尾巴内容为:
咱们老同学的校友录有新留言了,你看看吧!
http://www.0451m***.com/img/chianren.htm
6、终止反病毒软件的进程,阻止杀毒软件的安装。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
清除方案 :
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%WINDIR%\niw.exe
%system32%\impai.exe
%system32%\tmdown.exe
%system32%\tmdown1.exe
%Program Files%\deskadtop\_uninstall
%Program Files%\deskadtop\allverx.dat
%Program Files%\deskadtop\deskipn.dll
%Program Files%\deskadtop\DeskUn.exe
%Program Files%\deskadtop\Mrup.exe
%Program Files%\deskadtop\Run.dll
%Program Files%\deskadtop\sinfo.ini
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
修改注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile
\shell\open\command
键值:字串:"默认"="C:\WINDOWS\system32
\impai.exe "%1""
改为:
键值:字串:"默认"="%SystemRoot%\system32
\NOTEPAD.EXE %1."
删除以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
键值: 字串: "NIW "="C:\WINDOWS\NIW.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
键值: 字串: "Desktop"="C:\WINDOWS\system32
\rundll32.exe"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\InprocServer32\
键值: 字串: "默认"="C:\PROGRA~1\DESKAD~1\deskipn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\InprocServer32\
键值: 字串: "ThreadingModel "="Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\ProgID
键值: 字串: "默认"="MonitorIE.MonitorURL.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\VersionIndependentProgID
键值: 字串: "默认"="MonitorIE.MonitorURL"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL.1
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL.1\CLSID
键值: 字串: "默认"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.MonitorURL
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL\CLSID
键值: 字串: "默认"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE
.MonitorURL\CurVer
键值: 字串: "默认"="MonitorIE.MonitorURL.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0\0\win32
键值: 字串: "默认"="C:\Program Files\DeskAdTop\deskipn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
\{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0
键值: 字串: "默认"="MonitorIE 1.0 Type Library"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0\
键值: 字串: "HELPDIR"="C:\Program Files\DeskAdTop\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
键值: 字串: "DownloadManager"="C:\WINDOWS\system32
\rundll32.exe"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window
s\CurrentVersion\Uninstall\桌面媒体
键值: 字串: " DisplayName "="桌面媒体"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒体
键值: 字串: "SetupPath"="C:\Program Files\DeskAdTop\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒体
键值: 字串: "UninstallString"="C:\Program Files
\DeskAdTop\DeskUn.exe
你说的rasmed.exe是:只有英文介绍的具体翻译你可以用金山在线翻译看看:
My XPPro is behind a router with a firewall, and I run E-Trust Vet antivirus
and Ad-aware, but still something infected the PC,but what is it?
I boot from D:\ and about 30 seconds after login I get a Vet warning of
infections as below.
D:\Windows\system32\com\rasmed.exe (Win32/Chisnye!Generic) - deleted
D:\Documents and Settings\LocalService\Local Settings\Temporary Internet
Files\Content.IE5\89ABCDEF\drsmartload(1).exe (Win32/Thoog.FB - deleted
C:\dsmartload1.exe (Win32/Thoog.FB) - deleted
In addition I get a CMD.exe error warning that
"D:\windows\System32\com\rasmed.exe" cannot be found (It was deledted in a
Virus scan prior to reboot.
If I now run a virus scan across the system I get the following:
Infected items
D:\Windows\system32\com\rasmed.exe (Win32/Chisnye!Generic)- deleted
D:\Documents and Settings\LocalService\Local Settings\Temporary Internet
Files\Content.IE5\GHIJKLMN\drsmartload(1).exe (Win32/Thoog.FB)- deleted
C:\drsmartload(1).exe (Win32/Thoog.FB)- deleted
In addition I not a file pro3_install.exe is regularly copied into C:\ at
startup and at times when the PC is not in use.
At similar intervals I get the CMD.exe warning as an attempt is made to run
"D:\windows\System32\com\rasmed.exe"
(悬赏100分)Trojan-Downloader这个病毒怎么杀??
trojandownloader.small病毒有很多种变体,可以参照以下方法进行处理:
1、 手工清除方法,可以从任务管理器和资源管理器中删除病毒的进程和程序,以下是其中一种变体的示例:
从任务管理器中关闭以下进程:6432ormshh.exe
从资源管理器中删除以下文件:6432ormshh.exe
2、 清空IE缓存,如果清空后还能查到,设置文件夹属性,显示所有文件和显示系统文件夹内容,按照杀毒软件提示的那个路径删除那个病毒文件即可!
3、 也可以参照以下方法处理:
(1)如果杀毒软件报告此木马是在 %windir%\Downloaded Program Files 目录下的情况。注意其中的 %windir% 代表的是您Windows的安装目录,比如:如果您使用的是Windows98/Me并且安装在C盘则此目录应该是C:\Windows\Downloaded Program Files;如果是Windows2000/XP/20003并且安装在D盘,则目录应该是D:\WINNT\Downloaded Program Files。如果是这种情况请按下面的方法做:
依次打开IE的 工具/Internet选项/“Internet临时文件”处的“设置”/查看对象;
在打开的列表中查找一个“程序文件”是“MultiDist”的项目,如果找不到就不用继续了,请参考其他情况下的处理办法;如果找到它则在它名子上点右键,接着在弹出的菜单中点“删除”;
重新启动计算机;
依次打开 开始/运行 ,输入 cmd 后确定(这是在NT/2000/XP/2003下,9x/Me下请输入 command),进入到命令行模式,然后用DOS命令进入到 %windir%\Downloaded Program Files 目录下,找到 MulDist.ocx 文件后用del命令删除它。这里需要提醒一下,如果在此目录中找不到这个文件请进入到当前目录下的各个子目录中找找,找到后删除。
这样此木马就清除掉了,不过如果杀毒软件报告木马不是在 %windir%\Downloaded Program Files 目录下而是在 “系统目录:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\...” 目录下(如果您的win2000/nt/xp安装在C盘则就是 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5)请使用下面的第2种方法清除它:
(2)操作系统使用的是Windows2000/XP/2003,并且杀毒软件报告此木马是在 系统目录:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XXXX 目录下的情况。注意其中的“系统目录”代表的是您Windows2000/XP/2003安装的盘符,比如:如果您的win2000/nt/xp安装在C盘则就是 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XXXX ,并且Content.IE5后面的XXXX代表的是不确定的子目录,不同的系统下情况都会不同,这可以根据杀毒软件的具体提示来确定,在记下这个目录及文件名后请按下面的方法做:
依次打开 开始/运行 ,输入 cmd 后确定(这是在NT/2000/XP/2003下),进入到命令行模式;
在命令行模式下进入到这个 系统目录:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XXXX 目录中,找到杀毒软件提示的那个文件,找到后直接用del命令删除它就行了。
(3)木马不是在上面任何一种目录中的情况:
这个方法最简单,用资源管理器找到文件后直接删除它就行了,直接删除相应的cab或ocx文件都可以。