木马程序如何删除_木马程序如何解除

hacker|
187

QQ中木马怎么样解除

使用专业的QQ清理软件

QQ医生来清理

如果QQ医生被屏蔽乐

那么请进入QQ\QQDoctor把QQDoctor.exe改成别的名字再运行

如果改了名字还不能运行

请下载个windows清理助手清理

QQ木马采用了两种技术

一种是线程注射..截取密码..这个就让QQ医生无法运行了

解决方法看上面

另外一种是用木马伪装成QQ登陆客户端

所以也会伪装成QQ医生的

即使用那个假QQ医生扫描

也是会显示无毒的

解决方法也如上

怎样解除木马

解决,不如防预,首先有上网时要注意一些不该去的网站,机器上要有随时更新防火墙和杀软的监控.系统要及时打补丁.这样至少可以相对安全很多.

如果还是不幸中马的话,那可以先用最新版本的杀软件杀.如果杀不了,或查不出.那可以到网上下载hijackthis或SERng(都是免费的小工具)扫描出日志贴到网上来寻求帮助

如何清除木马程序

建议你最好在安全模式下杀毒,重启电脑时,按住F8就进入电脑的安全模式了,下面的是免费版的,注意及时升级杀毒软件的病毒库。

杀马(Defendio)

V4.22.0.900

添加了对大量新威胁的查杀,可快速杀除木马软件,简体中文绿色免费版。

木马克星2008

build

0801

木马克星乃反黑客-杀木马工具,可以查杀8122种国际木马,1053种密码偷窃木马,保证查杀传奇密码偷窃木马,oicq类寄生木马,冰河类文件关联木马,密码解霸,奇迹射手等游戏密码邮寄木马,内置木马防火墙,任何黑客程序试图发送密码邮件,都需要Iparmor

确认,不仅可以查杀木马,更可以反查黑客密码。

下载地址:

╃安全软件区╃

如何清除注册表中的木马病毒?

木马病毒的通用解法 由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。 “木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。 知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了

木马程序Trojan-Click.Win32.VB.ahp如何删除?快被折磨疯了

DLL注入木马是目前网络上十分流行的木马形式,它就像是一个寄生虫,木马以DLL文件的形式,寄宿在某个重要的系统进程中,通过宿主来调用DLL文件,实现远程控制的功能。这样的木马嵌入到系统进程中可以穿越防火墙,更让人头疼的是,用杀毒软件进行查杀,杀软即使报警提示发现病毒,但是也无法杀掉木马病毒文件,因为木马DLL文件正被宿主调用而无法删除。下面我们把杀软放到一边,通过专用工具及其手工的方法来清除DLL木马。

一、清除思路

1、通过系统工具及其第三方工具找到木马的宿主进程,然后定位到木马DLL文件。

2、结束被木马注入的进程。

3、删除木马文件。

4、注册表相关项的清除。

二、 清除方法

1、普通进程DLL注入木马的清除

有许多DLL木马是注入到“iexplore.exe”和“explorer.exe”这两个进程中的,对于注入这类普通进程的DLL木马是很好清除掉的。

如果DLL文件是注入到“iexplore.exe”进程中,此进程就是IE浏览进程,那么可以关掉所有IE窗口和相关程序,然后直接找到DLL文件进行删除就可以了。如果是注入到“explorer.exe”进程中,那么就略显麻烦一些,因为此进程是用于显示桌面和资源管理器的。当通过任务管理器结束掉“explorer.exe”进程时,桌面无法看破到,此时桌面上所有图标消失掉,“我的电脑”、“网上邻居”等所有图标都不见了,也无法打开资源管理器找到木马文件进行删除了。怎么办呢?

这时候可以在任务管理器中点击菜单“文件”→“新任务运行”,打开创建新任务对话框,点击“浏览”挖通过浏览对话框就可以打开DLL文件所在的路径。然后选择“文件类型”为“所有文件”,即可显示并删除DLL了

提示:如果你熟悉命令行(cmd.exe)的话,可以直接通过命令来清除,如:

taskkill /f /im explorer.exe

del C:\\Windows\\System32\\test.dll

start explorer.exe

第一行是结束explorer.exe,第二回是删除木马文件test.dll,第三行是重启explorer.exe

2、使用IceSword卸载DLL文件调用

如果木马是插入了“svchost.exe”之类的关键进程中,就不能指望进程管理器来结束进程了,可能需要一些附加的工具卸载掉某个DLL文件的调用。

IceSword的功能十分强大,可以利用它卸载掉已经插入到正在运行的系统进程中的DLL文件。在IceSword的进程列表显示窗口中,右键点击DLL木马宿主进程,选择弹出菜单中的“模块信息”命令打开DLL模块列表对话窗口。选择可疑的模块后,点击“卸载”按钮即可将DLL木马进程中删除掉了。

如果提示不能卸载的话,可以点击“强行解除”按钮,从进程中强行删除该DLL调用。这时候就可以从“模块文件名”栏中,得到DLL文件文件的路径,然后到文件夹中将DLL木马彻底删除掉。

3、SSM终结所有DLL木马

许多木马都是注入到系统里关键进程中的,比如“svchost.exe”、“smss.exe”、“winlogon.exe”进程,这些进程使用普通方式无法结束,使用特殊工具结束掉进程或卸载掉进程中的DLL文件后,却又很可能造成系统崩溃无法正常运行等。例如一款著名的木马PCShare是注入“winlogon.exe”进程中的,该进程是掌握Windows登录的,在使用IceSword卸载时系统立刻异常重启,更本来不及清除dll文件,在重启后dll木马再次被加载。

对于这类dll木马,必须在进程运行之前阻止dll文件的加载。阻止dll文件加载要用到一个强大的安全工具“System Safety Monitor”(简称SSM)。SSM是由俄罗斯出品的一款系统监控软件,通过监视系统特定的文件和程序,达到保护系统安全的目的。这款软件功能非常强大,可以很好地配合防火墙和杀毒软件更好地保护系统的安全。

运行SSM,在程序界面中选择“规则”选项卡,右键点击中间规则列表空白处,选择“新增”命令。弹出文件浏览窗口,选择浏览文件类型为“库文件”,在其中选择指定文件路径“C:\\Windows\\system32\\rejoice.dll”。确定后,即可将DLL木马文件添加到规则列表中,然后在界面下方的“规则”下拉列表中选择“阻止(F2)

添加规则设置完毕后,点击“应用设置”按钮,然后重启系统。在重启系统前要检查SSM的设置,保证SSM随系统启动而加载运行。当系统重启时,会自动阻止该进程调用rejoice.dll木马文件。由于木马文件没有任何进程调用,所以就可以直接删除了。

此外,我们还可以利用其它工具来清除DLL木马后门,例如Tiny Personnal Firewall 2005(TPF)防火墙的“balcklist”禁止运行功能等,清除的原理都是一样的,总之是在木马DLL文件被调用之前,阻止其被进程加载,从而达到结束木马进程并删除木马的目的。

4、通过系统权限法来清除DLL木马

在Windows系统中,NTFS分区格式具有强大的文件限制设置功能,可以设置某个文件是否可以被程序调用访问等。通过这个功能,我们一样可以阻止木马调用相应的DLL文件,从而彻底地清除掉DLL木马文件。

双击打开“我的电脑”,点击菜单命令“工具”→“文件夹选项”→“查看”,在高级设置的选项卡下去掉“简单文件共享”的选择。

然后定位到无法删除的DLL文件上,右键点击该文件,在弹出菜单中选择“属性”命令,单击“高级”按钮,在弹出的窗口中去掉“从父项继承那些可以应用的到子对象的权限项目,包括那些在此明确定义的项目”不被选中(如图5)。再在弹出的窗口中单击“删除”,再依次单击“确定”。这样就没有任何用户可以访问和调用这个DLL木马文件了。重新启动系统就可以删除该DLL文件了。

5、恢复系统

将DLL文件删除后,还要到注册表中找到所有与该DLL木马关联的项目,尤其是:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices

等几个与自动启动有关的项目。

另外,DLL木马不仅仅局限存在于Run、Runonce这些众所周知的子键,而有可能存在于更多的地方。例如对于后门类的DLL来说“KnownDLLs”就是再好不过的藏身之处。在注册表的“HEKY_LOCALMACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager\\KnownDLLs”子键下,存放着一些已知DLL的默认路径。假设DLL木马修改或者增加了某些键值,那么DLL木马就可以在系统启动的时候悄无声息地代替正常的DLL文件被加嵌入到相应的进程中。

三、总结

总的来说,DLL木马后门的种类极多,木马选择的注册表选项及其系统进程也不尽相同。清除DLL木马的总体思路是这样的:

在碰到DLL注入类木马时,我们可以首先考虑用procexp之类的工具,查找出DLL类木马的宿主进程。找到宿主进程后,如果是注入到普通可结束的进程中,可以直接将宿主进程结束后直接删除木马文件即可。

如果DLL木马是注入到系统关键进程中的话,可以考虑用IceSword卸载DLL文件;如若失败,那么直接用SSM建立规则或者通过阻止DLL文件的加载就可以了

卡巴检测到的木马程序Trojan.Win32.Agent.ssp 究竟怎么清除啊?

卡巴杀不了木马,只能杀病毒。

教你5分钟杀Trojan-Downloader和Trojan.Win32病毒

这个病毒困饶了我很多天,我也是刚刚才找到解决办法。特此拿来和大家分享。方法如下:

下载一个叫unlocker的软件,很小的,然后安装。 C:\WINDOWS\system32 下找到病毒文件(文件应该是一个DLL文件,由字母和数字组成的,卡巴应该是能查到这个病毒但是删不了,可以在卡巴里找到这个病毒文件名),右击选择unlocker进行解锁(安装完那个软件后会在右键菜单上生成一个unlocker的菜单项)。然后就可以把病毒文件删除了。再进入C:\WINDOWS\system32\drivers 里找到×.sys文件(×跟之前那个文件同名,只是扩展名不一样)用同样的方法先解锁后删除。然后在运行里输入REGEDIT打开注册表编辑器,分别在

HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services

HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册)

0条大神的评论

发表评论