本文目录一览:
- 1、(悬赏100分)Trojan-Downloader这个病毒怎么杀??
- 2、电脑病毒downloader
- 3、TrojanDownloader.Adload.NEO这个是什么病毒。
- 4、如何彻底查杀Downloader木马病毒
- 5、我的电脑检查到病毒是:Downloader.是什么来的?
(悬赏100分)Trojan-Downloader这个病毒怎么杀??
trojandownloader.small病毒有很多种变体,可以参照以下方法进行处理:
1、 手工清除方法,可以从任务管理器和资源管理器中删除病毒的进程和程序,以下是其中一种变体的示例:
从任务管理器中关闭以下进程:6432ormshh.exe
从资源管理器中删除以下文件:6432ormshh.exe
2、 清空IE缓存,如果清空后还能查到,设置文件夹属性,显示所有文件和显示系统文件夹内容,按照杀毒软件提示的那个路径删除那个病毒文件即可!
3、 也可以参照以下方法处理:
(1)如果杀毒软件报告此木马是在 %windir%\Downloaded Program Files 目录下的情况。注意其中的 %windir% 代表的是您Windows的安装目录,比如:如果您使用的是Windows98/Me并且安装在C盘则此目录应该是C:\Windows\Downloaded Program Files;如果是Windows2000/XP/20003并且安装在D盘,则目录应该是D:\WINNT\Downloaded Program Files。如果是这种情况请按下面的方法做:
依次打开IE的 工具/Internet选项/“Internet临时文件”处的“设置”/查看对象;
在打开的列表中查找一个“程序文件”是“MultiDist”的项目,如果找不到就不用继续了,请参考其他情况下的处理办法;如果找到它则在它名子上点右键,接着在弹出的菜单中点“删除”;
重新启动计算机;
依次打开 开始/运行 ,输入 cmd 后确定(这是在NT/2000/XP/2003下,9x/Me下请输入 command),进入到命令行模式,然后用DOS命令进入到 %windir%\Downloaded Program Files 目录下,找到 MulDist.ocx 文件后用del命令删除它。这里需要提醒一下,如果在此目录中找不到这个文件请进入到当前目录下的各个子目录中找找,找到后删除。
这样此木马就清除掉了,不过如果杀毒软件报告木马不是在 %windir%\Downloaded Program Files 目录下而是在 “系统目录:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\...” 目录下(如果您的win2000/nt/xp安装在C盘则就是 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5)请使用下面的第2种方法清除它:
(2)操作系统使用的是Windows2000/XP/2003,并且杀毒软件报告此木马是在 系统目录:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XXXX 目录下的情况。注意其中的“系统目录”代表的是您Windows2000/XP/2003安装的盘符,比如:如果您的win2000/nt/xp安装在C盘则就是 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XXXX ,并且Content.IE5后面的XXXX代表的是不确定的子目录,不同的系统下情况都会不同,这可以根据杀毒软件的具体提示来确定,在记下这个目录及文件名后请按下面的方法做:
依次打开 开始/运行 ,输入 cmd 后确定(这是在NT/2000/XP/2003下),进入到命令行模式;
在命令行模式下进入到这个 系统目录:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XXXX 目录中,找到杀毒软件提示的那个文件,找到后直接用del命令删除它就行了。
(3)木马不是在上面任何一种目录中的情况:
这个方法最简单,用资源管理器找到文件后直接删除它就行了,直接删除相应的cab或ocx文件都可以。
电脑病毒downloader
带毒文件在\Temporary Internet Files目录下
由于这个目录下的文件,Windows 会对此有一定的保护作用,所以对这个目录下的带毒文件即使在安全模式下也不能进行清除,对于这种情况,请先关闭其他一些程序软件,然后打开 IE ,选择IE工具栏中的 " 工具"\"Internet 选项 ",选择 " 删除文件 " 删除即可,如果有提示" 删除所有脱机内容 ",也请选上一并删除。
您好不用担心;
既然杀毒软件能查出来就一定能杀,所谓杀不了,是因为病毒在运行;正在运行的程序不能修改或删除的。
重新启动,按住F8,进入安全模式,再从安全模式中启动杀毒软件就可以轻松杀毒了。
另外请问您计算机中病毒的位置是不是在临时文件夹内?
如果是你化,最好清理一下你的临时文件夹
祝您好运。
推荐一个工具
用安天Downloader.Trojan专杀工具
最好在安全模式下杀:
;Forum_ID=108
或者:
Downloader是一种什么病毒呢?
这种病毒是“爱情后门变种AN(Worm.Mail.LovGate.an)”病毒:蠕虫病毒,通过邮件/局域网传播,依赖系统:WIN9X/NT/2000/XP。病毒运行后,会复制自身到每个盘的根目录,文件名为“command.com”,然后修改“autorun.inf”文件,这样会大大增加病毒的运行机会。修改注册表实现随系统启动,结束多种反病毒软件的运行。病毒会把自己大量拷贝到本地硬盘上,产生大量垃圾文件,严重浪费硬盘空间。病毒文件名都是比较有诱惑的名字,如:CloneCD crack,Star Wars Downloader.exe,Adobe Photoshop6.0.zip.exe等等。
杀毒软件推荐:
NVCC Trojan-Downloader.Win32.VB病毒专杀工具 1.0.0.22
TrojanDownloader.Adload.NEO这个是什么病毒。
TrojanDownloader.Adload.NEO这个是木马病毒;
具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。木马病毒其实是计算机黑客用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中,里应外合,对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件等。
扩展资料:
木马程序表面上是无害的,甚至对没有警戒的用户还颇有吸引力,它们经常隐藏在游戏或图形软件中,但它们却隐藏着恶意。这些表面上看似友善的程序运行后,就会进行一些非法的行动,如删除文件或对硬盘格式化。
完整的木马程序一般由两部分组成:一个是服务器端.一个是控制器端。“中了木马”就是指安装了木马的服务器端程序,若你的电脑被安装了服务器端程序,则拥有相应客户端的人就可以通过网络控制你的电脑。为所欲为。这时你电脑上的各种文件、程序,以及在你电脑上使用的账号、密码无安全可言了。
如何彻底查杀Downloader木马病毒
电脑中病毒后要及时处理,可使用杀毒软件,类似腾讯电脑管家等来查杀。
腾讯电脑管家采用给腾讯云查杀技术的,可以强行查杀最新的木马程序的,让电脑远离病毒的威胁,还可以实时保护你的电脑对上网的网页、系统文件、U盘、浏览器等都多的保护的,有的病毒还篡改电脑文件,都是可以保护你的电脑不受威胁还你一个干净的上网环境
具体步骤:
1、普通查杀,打开腾讯电脑管家——病毒查杀
2、安全模式下查杀,可重启计算机按f8,屏幕显示winxp系统启动选项菜单,按下键移动到“带命令提示符的安全模式”,回车;找到电脑里面的杀毒软件杀毒就可以。
我的电脑检查到病毒是:Downloader.是什么来的?
该病毒属木马类。病毒使用Windows图片浏览器的图标,用以迷惑用户点击运行。病毒运行后,复制自身到系统目录%WINDIR%下,释放病毒文件,修改注册表,添加启动项,以达到随机启动的目的,连接网络,开启本地端口,下载病毒文件,修改用户QICQ密码,盗取用户的敏感信息,并使QICQ带有“QQ尾巴”,自动发送含有被挂马的网站信息,终止反病毒软件的进程,阻止杀毒软件的安装。该病毒对用户有较大危害。
行为分析:
1、病毒使用Windows图片浏览器的图标,用以迷惑用户点击运行。
2、病毒运行后,复制自身到系统目录%WINDIR%下,释放病毒文件:
%WINDIR%\niw.exe
%system32%\impai.exe
3、修改注册表,添加启动项,以达到随机启动的目的:
修改的注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile
\shell\open\command
原键值:字串:"默认"="%SystemRoot%\system32
\NOTEPAD.EXE %1."
修改的键值:字串:"默认"="C:\WINDOWS\system32
\impai.exe "%1""
新建注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
键值: 字串: "NIW "="C:\WINDOWS\NIW.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
键值: 字串: "Desktop"="C:\WINDOWS\system32
\rundll32.exe"
"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{08A312BB-5409-49FC-9347-54BB7D069AC6}\
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{08A312BB-5409-49FC-9347
54BB7D069AC6}\InprocServer32\
键值: 字串: "默认"="C:\PROGRA~1\DESKAD~1
\deskipn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\InprocServer32\
键值: 字串: "ThreadingModel "="Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{08A312BB-5409-49FC-9347-54BB7D069AC6}\ProgID
键值: 字串: "默认"="MonitorIE.MonitorURL.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{08A312BB-5409-49FC-9347
54BB7D069AC6}\VersionIndependentProgID
键值: 字串: "默认"="MonitorIE.MonitorURL"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL.1
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL.1\CLSID
键值: 字串: "默认"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.MonitorURL
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL\CLSID
键值: 字串: "默认"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL\CurVer
键值: 字串: "默认"="MonitorIE.MonitorURL.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0\0\win32
键值: 字串: "默认"="C:\Program Files\DeskAdTop\deskipn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0
键值: 字串: "默认"="MonitorIE 1.0 Type Library"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0\
键值: 字串: "HELPDIR"="C:\Program Files\DeskAdTop\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
键值: 字串: "DownloadManager"="C:\WINDOWS\system32
\rundll32.exe"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒体
键值: 字串: " DisplayName "="桌面媒体"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒体
键值: 字串: "SetupPath"="C:\Program Files\DeskAdTop\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒体
键值: 字串: "UninstallString"="C:\Program Files\DeskAdTop\DeskUn.exe"
4、连接网络,开启本地端口,下载病毒文件:
协议:TCP
端口:随机开启本地1024以上端口,如:1124
IP地址:210.51.168.69
下载的病毒文件:
%system32%\tmdown.exe
%system32%\tmdown1.exe
%Program Files%\deskadtop\_uninstall
%Program Files%\deskadtop\allverx.dat
%Program Files%\deskadtop\deskipn.dll
%Program Files%\deskadtop\DeskUn.exe
%Program Files%\deskadtop\Mrup.exe
%Program Files%\deskadtop\Run.dll
%Program Files%\deskadtop\sinfo.ini
5、修改用户QICQ密码,盗取用户的敏感信息,并使QICQ带有“QQ尾巴”,自动发送含有被挂马的网站信息:
QQ尾巴内容为:
咱们老同学的校友录有新留言了,你看看吧!
***.com/img/chianren.htm
6、终止反病毒软件的进程,阻止杀毒软件的安装。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
清除方案 :
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%WINDIR%\niw.exe
%system32%\impai.exe
%system32%\tmdown.exe
%system32%\tmdown1.exe
%Program Files%\deskadtop\_uninstall
%Program Files%\deskadtop\allverx.dat
%Program Files%\deskadtop\deskipn.dll
%Program Files%\deskadtop\DeskUn.exe
%Program Files%\deskadtop\Mrup.exe
%Program Files%\deskadtop\Run.dll
%Program Files%\deskadtop\sinfo.ini
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
修改注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile
\shell\open\command
键值:字串:"默认"="C:\WINDOWS\system32
\impai.exe "%1""
改为:
键值:字串:"默认"="%SystemRoot%\system32
\NOTEPAD.EXE %1."
删除以下注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
键值: 字串: "NIW "="C:\WINDOWS\NIW.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
键值: 字串: "Desktop"="C:\WINDOWS\system32
\rundll32.exe"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\InprocServer32\
键值: 字串: "默认"="C:\PROGRA~1\DESKAD~1\deskipn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\InprocServer32\
键值: 字串: "ThreadingModel "="Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\ProgID
键值: 字串: "默认"="MonitorIE.MonitorURL.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{08A312BB-5409-49FC-9347-54BB7D069AC6}\VersionIndependentProgID
键值: 字串: "默认"="MonitorIE.MonitorURL"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL.1
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL.1\CLSID
键值: 字串: "默认"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.MonitorURL
键值: 字串: "默认"="MonitorURL Class"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE.
MonitorURL\CLSID
键值: 字串: "默认"="{08A312BB-5409-49FC-9347-54BB7D069AC6}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MonitorIE
.MonitorURL\CurVer
键值: 字串: "默认"="MonitorIE.MonitorURL.1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0\0\win32
键值: 字串: "默认"="C:\Program Files\DeskAdTop\deskipn.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
\{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0
键值: 字串: "默认"="MonitorIE 1.0 Type Library"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
{647BB013-E900-473E-BC10-99CF3AC365AD}\1.0\
键值: 字串: "HELPDIR"="C:\Program Files\DeskAdTop\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
键值: 字串: "DownloadManager"="C:\WINDOWS\system32
\rundll32.exe"C:\Program Files\DeskAdTop\Run.dll" ,Rundll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window
s\CurrentVersion\Uninstall\桌面媒体
键值: 字串: " DisplayName "="桌面媒体"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒体
键值: 字串: "SetupPath"="C:\Program Files\DeskAdTop\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\桌面媒体
键值: 字串: "UninstallString"="C:\Program Files
\DeskAdTop\DeskUn.exe
你说的rasmed.exe是:只有英文介绍的具体翻译你可以用金山在线翻译看看:
My XPPro is behind a router with a firewall, and I run E-Trust Vet antivirus
and Ad-aware, but still something infected the PC,but what is it?
I boot from D:\ and about 30 seconds after login I get a Vet warning of
infections as below.
D:\Windows\system32\com\rasmed.exe (Win32/Chisnye!Generic) - deleted
D:\Documents and Settings\LocalService\Local Settings\Temporary Internet
Files\Content.IE5\89ABCDEF\drsmartload(1).exe (Win32/Thoog.FB - deleted
C:\dsmartload1.exe (Win32/Thoog.FB) - deleted
In addition I get a CMD.exe error warning that
"D:\windows\System32\com\rasmed.exe" cannot be found (It was deledted in a
Virus scan prior to reboot.
If I now run a virus scan across the system I get the following:
Infected items
D:\Windows\system32\com\rasmed.exe (Win32/Chisnye!Generic)- deleted
D:\Documents and Settings\LocalService\Local Settings\Temporary Internet
Files\Content.IE5\GHIJKLMN\drsmartload(1).exe (Win32/Thoog.FB)- deleted
C:\drsmartload(1).exe (Win32/Thoog.FB)- deleted
In addition I not a file pro3_install.exe is regularly copied into C:\ at
startup and at times when the PC is not in use.
At similar intervals I get the CMD.exe warning as an attempt is made to run
"D:\windows\System32\com\rasmed.exe"