本文目录一览:
如何清除xp中的特洛伊木马
特洛伊木马一个远程控制的黑客工具,它的隐藏性和危害性不是一般的大。在xp系统中,是一个比较背容易盯上的系统,所以xp系统的用户们就要学会自己来手动清除这个特洛伊木马了。
木马藏身地及通用排查技术
●在Win.ini中启动木马:
在Win.ini的[Windows]小节中有启动命令“load=”和“run=”,在一般的情况下“=”后面是空的,如果后面跟有程序,比如:
run=C:Windows ile.exe
load=C:Windows ile.exe
则这个file.exe很有可能就是木马程序。
●在Windows XP注册表中修改文件关联:
修改注册表中的文件关联是木马常用的手段,如何修改的方法已在本系列的前几文中有过阐述。举个例子,在正常情况下txt文件的打开方式为Notepad.exe(记事本),但一旦感染了文件关联木马,则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”,就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等文件也都是木马程序的目标,要小心。
对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。
●在Windows XP系统中捆绑木马文件:
实现这种触发条件首先要控制端和服务端已通过木马建立连接,控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原有文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装了。如果捆绑在系统文件上,则每次Windows XP启动都会启动木马。
●在System.ini中启动木马:
System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所,木马通常的做法是将该语句变为这样:
Shell=Explorer.exe file.exe
这里的file.exe就是木马服务端程序。
另外,在[386enh]小节,要注意检查在此小节的“driver=path程序名”,因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的,所以也是添加木马的理想场所。
●利用Windows XP注册表加载运行:
注册表中的以下位置是木马偏爱的藏身之所:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。
●在Autoexec.bat和Config.sys中加载运行木马:
要建立控制端与服务端的连接,将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽,所以这种方式并不多见,但也不能掉以轻心。
●在Winstart.bat中启动木马:
Winstart.bat也是一个能自动被Windows XP加载运行的文件,多数时由应用程序及Windows自动生成,在执行了Win.com或者Kernel386.exe,并加载了多数驱动程序之后开始执行(这可以通过在启动时按F8选择逐步跟踪启动过程的启动方式得知)。由于Autoexec.bat的功能可以由 Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行。
木马病毒的通用排查技术
现在,我们已经知道了木马的藏身之处,查杀木马自然就容易了。如果您发现计算机已经中了木马,最安全最有效的方法就是马上与网络段开,防止计算机骇客通过网络对您进行攻击,执行如下步骤:
l 编辑Win.ini文件,将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”,“load=”。
l 编辑System.ini文件,将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。
l 在Windows XP注册表中进行修改:先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除,并在整个注册表中查找木马程序,将其删除或替换。但可恶的是,并不是所有的木马程序都只要删除就能万事大吉的,有的木马程序被删除后会立即自动添上,这时,您需要记下木马的位置,即它的路径和文件名,然后退到DOS系统下,找到这个文件并删除。重启计算机,再次回到注册表中,将所有的木马文件的键值项删除。
木马在无形中进入系统,很多用户都是无法察觉的,再加上它神秘的隐身地,更是难上加难,用户们只有花更多的时间和耐心去排查,将这个隐藏在系统内的地雷排扫掉,保障系统的安全性。
怎样清除特洛伊木马病毒?
建议重启电脑按住F8,进入安全模式杀毒,使用360急救箱。360系统急救箱(原顽固木马专杀大全)包括各种流行木马的查杀工具,可以快速、准确地查杀各类流行木马,如:犇牛、机器狗、灰鸽子、扫荡波、磁碟机等。新版系统急救箱搭载了最新一代的云查杀引擎,拥有最强力的木马查杀能力。
电脑感染了特洛伊木马,怎样才能把它全部删除?
你好,
你好:
你可以访问腾讯电脑管家官网,下载安装一个电脑管家
使用电脑管家的杀毒功能来查杀一下,就可以全部删除了
管家的杀毒部分采用的是4+1引擎,包含自主研发的第二代反病毒引擎鹰眼,采用了新的机器学习技术,CPU虚拟机执行技术,所以可以准确的识别和清除各种顽固的木马病毒
如果以后有什么问题,欢迎再来电脑管家企业平台询问,我们会尽心为您解答
如有其它问题请继续追问或到腾讯电脑管家企业平台提问:
特洛伊木马这个病毒删不掉,怎么删掉
怎么删除特洛伊木马病毒一、请先去把系统设置为“显示隐藏文件”,因为病毒以隐藏属性伪装,不做此设置将无法看到它,设置的方法如下(如果系统已经做了此设置可以跳过这一步): 打开“我的电脑”; 依次打开菜单“工具/文件夹选项”; 然后在弹出的“文件夹选项”对话框中切换到“查看”页; 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态; 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项; 去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态; 最后点击“确定”。 二、按“Ctrl+Alt+Del”键弹出任务管理器,找到EXPL0RER.EXE进程(注意第5个字母是数字0不是字母O),找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步,只所以要迅速是因为如果动作慢的话,木马可能会自动恢复而再次运行起来,这样就无法删除掉其他木马文件了(如果EXPL0RER.EXE进程再次运行起来需要重做这一步); 在这里注意可疑的木马程序有以下几类:(如果有下面的一种或几种,应注意在注册表里删除对应的项) C:\WINDOWS\system32\expiorer.exe C:\WINDOWS\system32\iexp1ore.exe C:\WINDOWS\system32\iexpl0re.exe C:\WINDOWS\system32\wsvbs.dll C:\DOCUME~1\HP\LOCALS~1\Temp\LgSym.dll C:\DOCUME~1\HP\LOCALS~1\Temp\LgSyzr.dll C:\WINDOWS\system32\windhcp.ocx C:\WINDOWS\system32\userspi.dll C:\WINDOWS\system32\xpdhcp.dll C:\DOCUME~1\HP\LOCALS~1\Temp\LgSyz.dll 三、打开资源管理器进入到 “系统目录\\Winnt\\System32”下(如果您的win2000/nt/xp安装在C盘则就是 C:\\Winnt\\System32)。找到EXPL0RER.EXE文件(注意第5个字母是数字0不是字母O)、SysModule32.dll文件,然后直接删除它们。如果这时报告“文件正在使用无法删除”的类似提示则说明木马已经再次恢复了,需要从第二步开始重复做,并且从第二步到第三步一定要迅速,这里建议可以先打开资源管理器选中这几个待删除的文件,在做第二步即刚结束掉EXPL0RER.EXE进程后马上转过来删除这2个文件,这样一般就可以成功了; 四、同样在 “系统目录\\Winnt\\System32”目录下找到 SysModule64.dll 文件,尝试删除它,不过如果这时报告“此文件正在使用中无法删除”等类似提示也没有关系,稍后在第七步将介绍如何删除此文件; 五、打开资源管理器进入到 “系统目录\\Winnt”下,找到一个 MFCD3O.DLL 文件,手工删除它; 六、打开“开始/运行”,输入“regedit”后“确定”以打开注册表编辑器,找到“HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}”键,把整个“{081FE200-A103-11D7-A46D-C770E4459F2F}”键全部删除。 七、注销当前用户或重新登录或重启电脑。之后再按第四步的方法删除掉 SysModule64.dll 文件