救救我呀。电脑中了这样的木马,没见过。帮帮我!

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了救救我呀。电脑中了这样的木马,没见过。帮帮我!相关的知识,希望对你有一定的参考价值。

文件 包含木马程序并且无法被清除
电脑 文件C:\WINDOWS\SYSTEM32\35AA4.EXE
木马程序Trojan-Downloader.Win32.VB.csz
这是卡巴斯基给出的警告
用安全卫士360的各种工具包括各种专杀仍然无效,都说找不到木马,但是卡巴斯基是叫个不停,只要开机就提示我,删除了再开机还有,我是彻底蒙啦。
C:\WINDOWS\system32\35AA4.exe 木马文件在用文件粉碎机删除时提示 一个红X TProgessBar property out of range
另外在系统进程中,虽然说我不能明确40多项进程具体都是做什么的(SONY笔记本带有的一些特殊进程在内)但是我是看不出哪个进程能与这个木马文件有什么关系,所以停止进程,关闭启动项,似乎就不可行了。再网络上只有在GOOGLE里查找此木马名称有3条记录(Trojan-downloader.Win32.VB.csz)而且都是网友遇到此木马,没有解决的问题。继续请求高人指点。

现在大家经常用u盘交换资源,u盘给我们带来了很大方便,同给我们带来安全隐患. 最近在网络上流行一个叫“rose.exe”的病毒,它最初的表现为在你的电脑里面,右键单击各个盘符的时候,第一项由原来的“打开”变成了“自动播放”,然后在你的系统进程里面会出现若干个“rose”的进程,占用电脑的CPU资源。 传播方式:通过U盘、MP3 、移动硬盘等移动存储设备传播,一般表现为移动存储设备内东西无法剪切、移动存储设备无法移出等,尤其在公用电脑上表现极为明显,目前我已经在校新闻实验中心、校广播台、校外打印店、照相馆等公共电脑场所发现该病毒,且愈演愈烈,另外在很多同学的电脑或者移动存储设备上发现该病毒,传播极为迅速。 病毒危害 1、在系统中占用大量cpu资源。 2、在每个分区下建立rose.exe 和autorun.inf 2个文件,且它们都隐藏系统保护文件之内,无论你怎样搜索都找不到,但是在双击该盘符时病毒就自动运行了。 3、若你继续无视该病毒,可能会引起部分操作系统崩溃,表现在开机自检后直接并反复重启,无法进入系统,简单的说就是你电脑突然死机了,然后就再也开不了机。即便在你重新格式化C盘,重新安装系统之后,你只是清除了C盘的该病毒,但是它在其他盘下仍然存在,且会再次发作。 杀毒方式 我也是中了此毒,被折腾得够呛,也重装了电脑,花了点时间从网上去学习,才有此切身经验,现在根据以往别人提供的方法,再结合自己的经验,希望对各位电脑中毒的同学有所帮助,也希望能引起其他没中毒的同学的重视。 具体方法如下: 1、按Ctrl+Alt+Delete调出任务管理器,在进程页面中结束掉所有名称为Rose.exe的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。 2、在开始--运行中输入“regedit”(XP系统)打开注册表,点“编辑”——“查找”,在弹出的对话框中输入“rose.exe”,找到后将整个shell子键删除,然后继续按F3查找下一个,继续删除查找到有关的键值,直到显示为“注册表搜索完毕”为止。 3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。 4、对每个盘符点右键-打开进入(切记不能双击),删掉所有的rose.exe和autorun.inf文件。如果删除时候提示不能删除,可将这两个文件的属性由“只读”改为“存档。若还不能删除,则重启电脑,在自检时按F8进入到安全模式下去删除。 预防办法 1、当别人将U盘插入自己的电脑,当出现操作提示框时,不要选择任何操作,关掉。 2、进入我的电脑,从地址下拉列表中选择U盘并进入,或者右键单击可移动磁盘,在弹出的菜单中选择“打开”进入。千万不要直接点击U盘的盘符进去,否则会立刻激活病毒! 3、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,你会看到U盘中出现了“rose.exe”和“autorun.inf”两个文件,直接删除! 4、在开始--运行中输入“regedit”(XP系统)打开注册表,点“编辑”——“查找”,在弹出的对话框中输入“rose.exe”,找到后将整个shell子键删除,然后继续按F3查找下一个,继续删除查找到有关的键值,直到显示为“注册表搜索完毕”为止。 手工清除感染U盘的doc.exe病毒 感染U盘文件的病毒DOC.exe,它的表现特征: U盘插入后,即被写入win32.exe、win33.exe以及很多.exe的病毒文件,以相似图标冒充mp3和doc文档;任务管理器打开察看,有名为doc.exe的进程。 此病毒名为:Worm.DocKill.b(移动杀手),可感染Win95以上的操作系统,以及MP3、U盘、软盘等存储媒体 病毒根治: 1.不要插U盘 2.在任务管理器中将 DOC.exe 结束 3.在C盘查找文件doc.exe, doc1.exe ,如果系统是XP还需要在高级选项中选中查找隐藏文件,找到后删除 4.打开资源管理器,找到文件夹 c:\Documents and settings\All Users\[开始]菜单\程序\启动 将其中的 Windows word 这个文件删掉(现在看不到看不到它的扩展名其实是exe) 5.运行regedit,将开机运行项目中的doc.exe清除 在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (另有资料表明:该病毒还创建了 c:\windows\system32\hook.dll , 并将之加入了注册表启动项里,不过我这里没发现这种情况) 后遗症的治疗:经该病毒感染后,系统无法显示隐藏文件和文件扩展名,即使去文件夹选项中去改设置也没用,这时需要手工去注册表改 6.显示所有文件和文件夹在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\SHOWALL] 将CheckedValue的值改为1 7.取消"隐藏已知文件的扩展名" 在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\HiddenFileExt] 将 CheckedValue的值改为0 改完后,去文件夹选项看,在"选显示所有文件和文件夹"已恢复正常了 8.插上U盘,将其中的*.exe文件全部删除 基本上就杀灭完成了 U盘病毒的预防 U盘病毒的感染,一部分是用户去点击运行U盘上的可执行文件感染的,另一部分是由于移动存储设备插入时启用了自动播放而感染的。所以,要防止U盘病毒的再感染,有必要限制移动存储设备的自动播放功能。 9.使用组策略一次性全部关闭自动播放功能: ① 点击“开始”选择“运行”,键入“gpedit.msc”,并运行,打开“组策略”窗口; ② 在左栏的“本地计算机策略”下,打开“计算机配置_管理模板_系统”,然后在右栏的“设置”标题下,双击“关闭自动播放”; ③ 选择“设置”选项卡,勾取“已启用”复选钮,然后在“关闭自动播放”框中选择“所有驱动器”,单击“确定”按钮,退出“组策略”窗口。 在“用户配置”中同样也可以定制这个“关闭自动播放”。但“计算机配置”中的设置比“用户配置”中的设置范围更广。有助于多个用户都使用这样的设置。 手工清除感染U盘的doc.exe病毒 手工删除的过程: 1.调出任务管理器,把进程里的DOC.EXE结束掉。 2.打开注册表,去掉 [HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run] 下的DOC.exe启动项。 3.打开CMD窗口(DOS),进入 X:\Windows 目录, 键入命令 Attrib Doc.exe -h -s -r ,再键入 Del Doc.exe。重启电脑,再看任务管理器里还有没有Doc.exe ,没有就成功了。 一定要确定DOC.exe被清除了!你的Word文档才能解封,要不下面会怎么样还不知道。 用资源管理器进入Window\wj的目录看看,你电脑上所有的Word文档都在这里,只是被更名成了命令文件(.COM)。 进入命令行模式,cd c:\Window\wj 用命令ren *.com *.doc 这样病毒清除的word文档都在你面前了唯一遗憾的是:你需要从新分类 放到原来的文件夹里面 因为开机运行的ww.bat所产生的ww.txt文件已经删除 里面保存了病毒删除word文件的具体路径 ww.bat文件内容为:dir *.doc/a/b/s >>c:\ww.txt 实际意义就是:将doc文件去掉各种属性 列出 并将其路径保存到ww.txt文件里面 RavMonE.exe病毒专杀最近似乎很多朋友的D E 盘都双击打不开,我朋友的电脑也中过~后来找了很多方法~发现了这款专杀,反正我朋友的电脑是被我救活了~反正中了也试试看啊!记住杀好了直接重启(最好在安全模式下杀)~不要双击D E 盘!还有这个病毒靠U盘传播速度超快~大家以后插了U盘都右键打开!双击有毒盘就中了~切记~!防范才是关键! 关键是在插U盘时候按住shift键以防止病毒随U盘自动运行(大概5秒),等盘符出现后,右键打开.按照如图1,图2做(选择相应选项),一般就会出现一些隐藏的文件,打开autorun.ini文件,将里面涉及到几个dll与exe文件从U盘里面删除,最后关闭autorun.ini文件,并且删除它,退出U盘,OK了.祝好运. 参考技术A DLL注入木马是目前网络上十分流行的木马形式,它就像是一个寄生虫,木马以DLL文件的形式,寄宿在某个重要的系统进程中,通过宿主来调用DLL文件,实现远程控制的功能。这样的木马嵌入到系统进程中可以穿越防火墙,更让人头疼的是,用杀毒软件进行查杀,杀软即使报警提示发现病毒,但是也无法杀掉木马病毒文件,因为木马DLL文件正被宿主调用而无法删除。下面我们把杀软放到一边,通过专用工具及其手工的方法来清除DLL木马。
一、清除思路
1、通过系统工具及其第三方工具找到木马的宿主进程,然后定位到木马DLL文件。
2、结束被木马注入的进程。
3、删除木马文件。
4、注册表相关项的清除。
二、 清除方法
1、普通进程DLL注入木马的清除
有许多DLL木马是注入到“iexplore.exe”和“explorer.exe”这两个进程中的,对于注入这类普通进程的DLL木马是很好清除掉的。
如果DLL文件是注入到“iexplore.exe”进程中,此进程就是IE浏览进程,那么可以关掉所有IE窗口和相关程序,然后直接找到DLL文件进行删除就可以了。如果是注入到“explorer.exe”进程中,那么就略显麻烦一些,因为此进程是用于显示桌面和资源管理器的。当通过任务管理器结束掉“explorer.exe”进程时,桌面无法看破到,此时桌面上所有图标消失掉,“我的电脑”、“网上邻居”等所有图标都不见了,也无法打开资源管理器找到木马文件进行删除了。怎么办呢?
这时候可以在任务管理器中点击菜单“文件”→“新任务运行”,打开创建新任务对话框,点击“浏览”挖通过浏览对话框就可以打开DLL文件所在的路径。然后选择“文件类型”为“所有文件”,即可显示并删除DLL了
提示:如果你熟悉命令行(cmd.exe)的话,可以直接通过命令来清除,如:
taskkill /f /im explorer.exe
del C:\\Windows\\System32\\test.dll
start explorer.exe
第一行是结束explorer.exe,第二回是删除木马文件test.dll,第三行是重启explorer.exe
2、使用IceSword卸载DLL文件调用
如果木马是插入了“svchost.exe”之类的关键进程中,就不能指望进程管理器来结束进程了,可能需要一些附加的工具卸载掉某个DLL文件的调用。
IceSword的功能十分强大,可以利用它卸载掉已经插入到正在运行的系统进程中的DLL文件。在IceSword的进程列表显示窗口中,右键点击DLL木马宿主进程,选择弹出菜单中的“模块信息”命令打开DLL模块列表对话窗口。选择可疑的模块后,点击“卸载”按钮即可将DLL木马进程中删除掉了。
如果提示不能卸载的话,可以点击“强行解除”按钮,从进程中强行删除该DLL调用。这时候就可以从“模块文件名”栏中,得到DLL文件文件的路径,然后到文件夹中将DLL木马彻底删除掉。
3、SSM终结所有DLL木马
许多木马都是注入到系统里关键进程中的,比如“svchost.exe”、“smss.exe”、“winlogon.exe”进程,这些进程使用普通方式无法结束,使用特殊工具结束掉进程或卸载掉进程中的DLL文件后,却又很可能造成系统崩溃无法正常运行等。例如一款著名的木马PCShare是注入“winlogon.exe”进程中的,该进程是掌握Windows登录的,在使用IceSword卸载时系统立刻异常重启,更本来不及清除dll文件,在重启后dll木马再次被加载。
对于这类dll木马,必须在进程运行之前阻止dll文件的加载。阻止dll文件加载要用到一个强大的安全工具“System Safety Monitor”(简称SSM)。SSM是由俄罗斯出品的一款系统监控软件,通过监视系统特定的文件和程序,达到保护系统安全的目的。这款软件功能非常强大,可以很好地配合防火墙和杀毒软件更好地保护系统的安全。
运行SSM,在程序界面中选择“规则”选项卡,右键点击中间规则列表空白处,选择“新增”命令。弹出文件浏览窗口,选择浏览文件类型为“库文件”,在其中选择指定文件路径“C:\\Windows\\system32\\rejoice.dll”。确定后,即可将DLL木马文件添加到规则列表中,然后在界面下方的“规则”下拉列表中选择“阻止(F2)
添加规则设置完毕后,点击“应用设置”按钮,然后重启系统。在重启系统前要检查SSM的设置,保证SSM随系统启动而加载运行。当系统重启时,会自动阻止该进程调用rejoice.dll木马文件。由于木马文件没有任何进程调用,所以就可以直接删除了。
此外,我们还可以利用其它工具来清除DLL木马后门,例如Tiny Personnal Firewall 2005(TPF)防火墙的“balcklist”禁止运行功能等,清除的原理都是一样的,总之是在木马DLL文件被调用之前,阻止其被进程加载,从而达到结束木马进程并删除木马的目的。
4、通过系统权限法来清除DLL木马
在Windows系统中,NTFS分区格式具有强大的文件限制设置功能,可以设置某个文件是否可以被程序调用访问等。通过这个功能,我们一样可以阻止木马调用相应的DLL文件,从而彻底地清除掉DLL木马文件。
双击打开“我的电脑”,点击菜单命令“工具”→“文件夹选项”→“查看”,在高级设置的选项卡下去掉“简单文件共享”的选择。
然后定位到无法删除的DLL文件上,右键点击该文件,在弹出菜单中选择“属性”命令,单击“高级”按钮,在弹出的窗口中去掉“从父项继承那些可以应用的到子对象的权限项目,包括那些在此明确定义的项目”不被选中(如图5)。再在弹出的窗口中单击“删除”,再依次单击“确定”。这样就没有任何用户可以访问和调用这个DLL木马文件了。重新启动系统就可以删除该DLL文件了。
5、恢复系统
将DLL文件删除后,还要到注册表中找到所有与该DLL木马关联的项目,尤其是:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
等几个与自动启动有关的项目。
另外,DLL木马不仅仅局限存在于Run、Runonce这些众所周知的子键,而有可能存在于更多的地方。例如对于后门类的DLL来说“KnownDLLs”就是再好不过的藏身之处。在注册表的“HEKY_LOCALMACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager\\KnownDLLs”子键下,存放着一些已知DLL的默认路径。假设DLL木马修改或者增加了某些键值,那么DLL木马就可以在系统启动的时候悄无声息地代替正常的DLL文件被加嵌入到相应的进程中。
三、总结
总的来说,DLL木马后门的种类极多,木马选择的注册表选项及其系统进程也不尽相同。清除DLL木马的总体思路是这样的:
在碰到DLL注入类木马时,我们可以首先考虑用procexp之类的工具,查找出DLL类木马的宿主进程。找到宿主进程后,如果是注入到普通可结束的进程中,可以直接将宿主进程结束后直接删除木马文件即可。
如果DLL木马是注入到系统关键进程中的话,可以考虑用IceSword卸载DLL文件;如若失败,那么直接用SSM建立规则或者通过阻止DLL文件的加载就可以了
参考技术B 国内免费的杀毒软件都是试用版,试用期到不交钱就无法升级了。真正免费的杀软都是国外的,我用了好几个,如小红伞《无中文版》,麦咖啡,avast等,效果都可以,小红伞没有中文版,英文不好不要用,麦咖啡设置复杂,初级菜鸟不要用,avast默认设置,世界排名12位,效果不错,一直用着,你也可以用用。在欧洲被称为唯一能与NOD32媲美的杀软。简介:

来自捷克的AVAST,已有19年的历史,但最近才在我们这里兴起,它在国外市场一直处于领先地位。

拥有不同版本及语言,只有家庭版(包括中文版)是免费的,只要在它的网页上填写一下资料,但是邮箱一定要写正确,这样它才能把使用KEY发给你,就可以享用它12个月了,然后再注册再使用。

Avast!的实时监控功能十分强大!它拥有七大防护模块:网络防火墙防护、标准的本地

文件读取防护、网页防护、即时通讯软件防护、邮件收发防护、P2P软件防护。这么完善的防

护系统,定能让你的系统练就一副金刚不坏之身!任意开启各项保护模块能够查杀流氓软件,比如3721。升级很人性化

Avast是捷克一家软件公司(ALWIL Software)的产品。ALWIL 软件公司的研发机构在捷克的首都-布拉格,现在他们和世界上许多国家的安全软件机构都有良好的合作关系。

早在80年代末ALWIL公司的安全软件已经获得良好的市场占有率,但当时仅限于捷克地区。

ALMIL公司是擅长于安全软件方面的研发,开发的Avast Antivirus系列是他们的拳头产品,Avast在许多重要的市场和权威评奖中都取得了骄人的成绩,同样在此后进军国际市场上也赢得了良好的增长率。

主要特点:

(1)高侦测的反病毒表现,多次获得过ICSA和Virus Bulletin 100%认证,启发式强大。

(2)较低的内存占用和直观,简洁的使用界面。

(3)支持SKIN更换,完善的程序内存检测。

(4)对SMTP/POP3/IMAP邮件收发监控的全面保护。

(5)支持MS OUTLOOK外挂,智能型邮件帐号分析。

(6)支持宏病毒文档修复,修复档案后自动产生病毒还原数据库(VRDB功能)。

(7)支持P2P共享下载软件和即时通讯病毒检测,保护全面。

(8)良好有效的侦测并清除病毒,蠕虫,广告和木马程序。

(9)病毒库更新速度快,对新型病毒和木马有迅捷的反应。

功能特性

*反病毒内核 *自动升级

*简单的使用界面 *病毒隔离区

*实时监控 *系统结合

*P2P和聊天软件监控保护 *病毒清除

*网络防护 *64位系统支持

*网页防护 *多国语言支持

*增强型用户界面

*恶意脚本屏蔽 *DOS下扫描

*扩展病毒库升级 *移除病毒备份

占用内存不到25兆。

优点:

杀毒能力强且处理快,设置全部用默认即可,并且有很好用的DOS扫描。
参考技术C 你用的什么版本的卡巴啊,要7.0
打开任务管理器,手动结束进程,
运行 msconfig 禁用此文件启动项
安全模式手动找到并删除文件,清理注册表相关文件!
去网上查找相关方法,上传到360等待专家解决
然后就OK
参考技术D 找到那个文件 ···文件粉碎~~~
用卡巴全盘扫描 可能在别的盘符有子病毒~~
安装东方微点··主动防御···就算盗取你的资料也叫他传不到网络!~

以上是关于救救我呀。电脑中了这样的木马,没见过。帮帮我!的主要内容,如果未能解决你的问题,请参考以下文章

一次真实的比特币敲诈木马经历

javqhc木马

电脑中‘落雪’木马病毒如何解决

电脑中毒了,大慨是木马吧!求救...

木马是怎么进入计算机的

mysql 出现这样的提示错误,怎么解决?