KeySpy.dll我恨死它了
此为“黑洞”病毒变种
wdfmgr32.exe 是病毒主程序文件
keyspy.dll 是病毒钩子模块
keylog.txt 是键盘输入记录文件
其他的还应该有一个w*32.cfg 是配置文件
该病毒具有较大的破坏力,若感染该病毒,用户密码很有可能会被窃取,包括BIOS密码、屏幕保护密码、基于NT核心的登陆密码、FOXMAIL密码、OUTLOOK密码和IE自动完成密码等,直接威胁用户的隐私安全。病毒会记录用户电脑的一切键盘输入,包括中英文输入,甚至还可以远程开启用户USB摄像头,并将其偷拍数据转换为Mpeg文件传给黑客观看,比去年截获的专门开启摄像头偷窥用户卧室隐私的“蜜蜂大盗”病毒功能更为强大。同时,该病毒还具备远程监控的功能,类似于国产冰河、灰鸽子等黑客控制软件。此项功能可以使黑客监控感染病毒的计算机,在不经任何授权的情况下,非法观看远程桌面、远程重启关机以及所有资源/文件,并可以控制上传下载。此外,该木马具有远程查看用户所有进程和窗体的功能,并可以结束用户开启的任意程序,更让人头痛的是,该病毒可以按反弹端口方式进行反向连接,这样它就可以穿透一般防火墙,渗透到内部网络,给许多公司的内部信息带来了极大的安全隐患。
1
你运行msconfig,把启动项里全去掉勾,把服务里的非微软服务全关(选中隐藏微软服务)
重启,再杀
2
1) 更新您防毒软体病毒定档至最新。
2) 做系统扫描,然后删除被判定为此虫的档案。
3) 删除registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"中, "winlogon %windir%\services.exe"的值。
使用HijackThis(版本1.99.1)这个工具,运行选择“Do a system scan and save a log”,然后把扫描出来的这个Log中的内容看看
修复
O2 - BH (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: svchost - Unknown owner - C:\WINDOWS\svchost.exe
在HijackThis扫描的结果中,选中需要修复的项目,然后按下“Fix checked”按钮进行修复。修复前尽量关闭所有程序。
然后重启杀毒
你试试
木马病毒
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了。
小知识:
“木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪
解决办法:现在下载个360安全卫士,为什么推荐它呢?由于它跟卡吧斯基联手,下一个安全卫士能免费试用三个月卡吧斯基,这样你的问题就能解决。
下载安全卫士后它再把卡吧斯基装上,这在安全卫士杀马程序就能操作的,无须到网站上下,方便简洁。下完后它会提示你把现有的杀毒软件谢载掉,把它谢完重启后再装卡吧斯基,最后装完升级,重启进入安全模式。这样差不多能百分百把木马干掉,我还没试过这方法不爽的。你试试吧
几个木马,恨之入骨,怎么杀?高手来!
我想这些病毒应该都是内存常驻病毒.一般的杀毒方式是很难清除,我看了一下好像全部都是盗取有关游戏密码的木马.如传奇,魔兽世界,QQ游戏什么的.首先你这样,调出任务管理器,看一下里面是不是有什么你不熟悉的进程,把它先关掉,然后进入到安全模式里面再进行一下杀毒,直接删除掉病毒本体文件.最后就是清除注册表里面的啦,输入"regedit",调出注册表,在里面的编辑菜单里面查找一下这些病毒是否有其它文件,或启动文件.比如在编辑菜单查找"lmir",找到后直接删除.不过在这之前,你可要看清楚才删除,否则把一些正常系统所需的删除啦,你只能重装系统啦.另外卡巴和很多第三方杀毒软件有一定的冲突性,你首先要退出卡巴的保护,然后再试着安装木马克星,但两者很难同时工作.但是有一款我想是可以同时运行的.但那个只能做辅助用,就是反间谍专家.我一直在用,很不错.但对于很多病毒,它不能查杀.但它也有不少好处,你可以试试看.
求!删除木马病毒啊!大虾们一定要帮小妹啊,电脑真烦心哪!
对付一些木马和流氓软件,包括一些病毒,关键是找到病毒文件,现在有一些复合病毒和木马,一个母病毒文件,就是最先感染我们电脑的文件,它发作后可以生成N个子病毒,由子病毒去干坏事。他们还相互监视并检测注册表,一旦有对他们的删除操作,他们其他的文件就马上修复,给彻底删除带来难度。
要彻底删除,有以下几项要注意:
1、最好能知道感染病毒的时间,这样我们就可以通过搜索硬盘,查找在当时创建的文件和修改过的文件,都是怀疑对象。搜索时要注意的问题:
要显示隐藏文件和系统文件,并显示文件扩展名;
要搜索创建的文件和修改过的文件,这两个搜索的结果是不一样的;
病毒一般在创建的文件里,而在资源管理器里显示的都是文件的修改时间而不是创建时间,看它的创建时间要看它的属性,对于一切新拷入系统的文件,它的创建时间比修改时间要晚;
子病毒的创建时间和修改时间都是系统感染病毒的时间。
2、在修复系统时,我们可以先尝试修复注册表,如果修复成功,刷新注册表后没有再生成,重起后也没有再生成,那就是你烧过香拜过佛了,可以删病毒文件了。在修复注册表时一定要先把修复的项备份出来,一是万一修改错了,可以再导回去,二是这里纪录了文件的名字,还要靠它去找病毒文件,万一你删了而且忘了,就麻烦一点了。
3、好多流氓木马在删除病毒文件前,修复注册表是无效的。这就需要先删除病毒文件了。
删除前要记下文件的创建和修改时间,以便查找其他的病毒文件。
删除时可能遇到几种情况:
A、系统正在使用,禁止删除;这种情况比较多,就先尝试在安全模式下删除了。如果安全模式也不能删除,就只有进DOS删除了。进DOS时要记下文件的路径,哈哈啊。还有ATTRIB命令一定要会,要去掉文件的系统、隐藏、只读属性,ATTRIB *.* -H -S -R,不会用的可以在百度搜索一下ATTRIB。
attrib 设置文件属性
〔适用场合〕 想对文件做较特殊的处理时
〔用 法〕 attrib 显示所有文件的属性
attrib +r或-r [文件名] 设置文件属性是否为只读
attrib +h或-h [文件名] 设置文件属性是否隐含
attrib +s或-s [文件名] 设置文件属性是否为系统文件
attrib +a或-a [文件名] 设置文件属性是否为归档文件
attrib /s 设置包括子目录的文件在内的文件属性
删除文件后,我们要利用电脑文件系统的一个规则,不允许同名的文件和文件夹在一个路径下生成,呵呵,记住,建立一个和刚删除的文件同名的文件夹,记得带扩展名,就OK了,这办法比建立一个同名文件并设为只读还强。
B、删除时没有问题,可是删除后刷新又有了,这就说明可能还有其他文件或进程监视。只要它允许删除,就好办多了。这就不用进DOS了。这时我们用上面建立同名文件夹的办法行不通,因为删除后它建的比你建的快,只有先在其他地方建一个同名的文件,(右键-新建-文本文档-再改为病毒文件名),先设为只读,再COPY回来覆盖掉原来的文件即可。这一招对付现在流行的autorun.inf/SXS.EXE/desktop.ini橙色八月病毒维金病毒就有效。
C、病毒文件要尽量杀尽。如果感到没什么可杀的了,就尝试恢复注册表了,在注册表里查找一下你刚才删除的文件名,把相干的删掉。恢复成功,就没有大问题了。再用杀毒软件或卫士啊助手啊克星啊之类的东东检查检查。
我们杀掉的文件一般是很难全面的,留一些无关紧要的渣子在所难免,只要它老老实实地呆着不动,也就不必再追究了,咔吧司机的查毒能力是最好的,但杀毒能力一般,但只要能查到,就不怕杀不掉。咔吧司机可以查到压缩28层的病毒代码,就是一个病毒文件,用压缩文件压缩28次,它都能查出来,牛吧?其他的杀毒软件好的也只能解压到十几层。我们最好能通过搜索创建时间的办法找到母病毒杀掉它,因为母病毒有各种办法逃过杀毒软件的监视,比如压缩29层以上啦,加壳啦,等等,它本身可能查不到病毒代码,它本身也不对系统造成破坏或影响,但它制造病毒,等杀毒软件报警时,已挡不住了,这可能是杀毒软件对一些病毒能查不能杀的原因——这是我的理解,不一定对啊,有高手欢迎指点一二,不胜感激。
我们创建的同名文件和文件夹已挡住了病毒文件的产生,系统的控制权已掌握在我们手里,是我们说了算的时候了。
我不是专业搞电脑的,欢迎高手和专家指点。
附:
以下文章截选自网络安全日志,还我蓝色天空(http://www.nslog.cn)
作者:网络安全日志( www.nslog.cn )
日期:2006/10/01 ( 转载请保留此申明)
unlocker
下载地址: http://umipku.googlepages.com/Unlocker.rar 44K
安 装: 解开到一个目录,然后运行一下里面那个install.bat便可。
介 绍: 这是一个非常优秀、小巧,功能强大的文件删除工具。大部分正常情况下都可以把.dll, exe等文件删除掉。它可以关掉使用文件的句柄(正常文件),杀掉进程(.dll),Unload DLL,.还有一点,它是免费的。
使 用: 安装完了之后,以后要使用的时候,在需要删除的文件或者目录上点右键,在菜单中选择“Unlocker”。这时如果它检测到文件/目录被其它进程锁了,就会有一个列表的窗口出来,显示当前锁定或使用这个文件/目录的进程。那个Action动作选择“删除”,再点一下那个“Unlock All”就可以了。是不是很简单?
如果这个文件被一些核心进程占用或者保护,它会提示要等下一次启动的时候再删除,这时点确定就可以了。大多数情况下,是不需要重启的。
Trojan/Win32.Generic.11EF51D5是什么木马,我玩网游,就被他盗号了!!恨死盗号贼!!
文件大小:32768字节
病毒类型:木马
危害等级:★★★★★
影响的平台:WIN9X/ME/NT/2000/XP/2003
病毒表现(X代表任意数字与字母的组合):
此木马使用upx加壳,病毒运行后会立即搜索系统中安全类软件进程,它有一个相当全面的安全类软件进程列表,用这个列表和系统中的进程进行对比,找到后利用kill命令结束他们,同时在注册表中将各杀毒软件的启动项禁用。一旦得手,下一步将会从指定的地址下载盗号木马,伺机盗取用户的各种账号信息。
目前,卡巴斯基已可以成功查杀该病毒,我们建议您尽快更新病毒库进行查杀以避免不必要的损失。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。