救救我呀。电脑中了这样的木马，没见过。帮帮我！

Posted 2023-02-28

文件 包含木马程序并且无法被清除
电脑 文件C:\WINDOWS\SYSTEM32\35AA4.EXE
木马程序Trojan-Downloader.Win32.VB.csz
这是卡巴斯基给出的警告
用安全卫士360的各种工具包括各种专杀仍然无效，都说找不到木马，但是卡巴斯基是叫个不停，只要开机就提示我，删除了再开机还有，我是彻底蒙啦。
C:\WINDOWS\system32\35AA4.exe 木马文件在用文件粉碎机删除时提示 一个红X TProgessBar property out of range
另外在系统进程中，虽然说我不能明确40多项进程具体都是做什么的（SONY笔记本带有的一些特殊进程在内)但是我是看不出哪个进程能与这个木马文件有什么关系，所以停止进程，关闭启动项，似乎就不可行了。再网络上只有在GOOGLE里查找此木马名称有3条记录（Trojan-downloader.Win32.VB.csz)而且都是网友遇到此木马，没有解决的问题。继续请求高人指点。

现在大家经常用u盘交换资源，u盘给我们带来了很大方便，同给我们带来安全隐患. 最近在网络上流行一个叫“rose.exe”的病毒，它最初的表现为在你的电脑里面，右键单击各个盘符的时候，第一项由原来的“打开”变成了“自动播放”，然后在你的系统进程里面会出现若干个“rose”的进程，占用电脑的CPU资源。 传播方式：通过U盘、MP3 、移动硬盘等移动存储设备传播，一般表现为移动存储设备内东西无法剪切、移动存储设备无法移出等，尤其在公用电脑上表现极为明显，目前我已经在校新闻实验中心、校广播台、校外打印店、照相馆等公共电脑场所发现该病毒，且愈演愈烈，另外在很多同学的电脑或者移动存储设备上发现该病毒，传播极为迅速。 病毒危害 1、在系统中占用大量cpu资源。 2、在每个分区下建立rose.exe 和autorun.inf 2个文件，且它们都隐藏系统保护文件之内，无论你怎样搜索都找不到，但是在双击该盘符时病毒就自动运行了。 3、若你继续无视该病毒，可能会引起部分操作系统崩溃，表现在开机自检后直接并反复重启，无法进入系统，简单的说就是你电脑突然死机了，然后就再也开不了机。即便在你重新格式化C盘，重新安装系统之后，你只是清除了C盘的该病毒，但是它在其他盘下仍然存在，且会再次发作。 杀毒方式 我也是中了此毒，被折腾得够呛，也重装了电脑，花了点时间从网上去学习，才有此切身经验，现在根据以往别人提供的方法，再结合自己的经验，希望对各位电脑中毒的同学有所帮助，也希望能引起其他没中毒的同学的重视。 具体方法如下： 1、按Ctrl+Alt+Delete调出任务管理器，在进程页面中结束掉所有名称为Rose.exe的进程（建议在后面的操作中反复此操作，以确保病毒文件不会反复发作）。 2、在开始－－运行中输入“regedit”（XP系统）打开注册表，点“编辑”——“查找”，在弹出的对话框中输入“rose.exe”，找到后将整个shell子键删除，然后继续按F3查找下一个，继续删除查找到有关的键值，直到显示为“注册表搜索完毕”为止。 3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。 4、对每个盘符点右键－打开进入（切记不能双击），删掉所有的rose.exe和autorun.inf文件。如果删除时候提示不能删除，可将这两个文件的属性由“只读”改为“存档。若还不能删除，则重启电脑，在自检时按F8进入到安全模式下去删除。 预防办法 1、当别人将U盘插入自己的电脑，当出现操作提示框时，不要选择任何操作，关掉。 2、进入我的电脑，从地址下拉列表中选择U盘并进入，或者右键单击可移动磁盘，在弹出的菜单中选择“打开”进入。千万不要直接点击U盘的盘符进去，否则会立刻激活病毒！ 3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉，你会看到U盘中出现了“rose.exe”和“autorun.inf”两个文件，直接删除！ 4、在开始－－运行中输入“regedit”（XP系统）打开注册表，点“编辑”——“查找”，在弹出的对话框中输入“rose.exe”，找到后将整个shell子键删除，然后继续按F3查找下一个，继续删除查找到有关的键值，直到显示为“注册表搜索完毕”为止。 手工清除感染U盘的doc.exe病毒 感染U盘文件的病毒DOC.exe,它的表现特征： U盘插入后，即被写入win32.exe、win33.exe以及很多.exe的病毒文件，以相似图标冒充mp3和doc文档；任务管理器打开察看，有名为doc.exe的进程。 此病毒名为：Worm.DocKill.b（移动杀手），可感染Win95以上的操作系统，以及MP3、U盘、软盘等存储媒体 病毒根治： 1.不要插U盘 2.在任务管理器中将 DOC.exe 结束 3.在C盘查找文件doc.exe, doc1.exe ,如果系统是XP还需要在高级选项中选中查找隐藏文件,找到后删除 4.打开资源管理器，找到文件夹 c:\Documents and settings\All Users\[开始]菜单\程序\启动 将其中的 Windows word 这个文件删掉(现在看不到看不到它的扩展名其实是exe) 5.运行regedit，将开机运行项目中的doc.exe清除 在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (另有资料表明：该病毒还创建了 c:\windows\system32\hook.dll , 并将之加入了注册表启动项里，不过我这里没发现这种情况) 后遗症的治疗：经该病毒感染后，系统无法显示隐藏文件和文件扩展名，即使去文件夹选项中去改设置也没用，这时需要手工去注册表改 6.显示所有文件和文件夹在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\SHOWALL] 将CheckedValue的值改为1 7.取消"隐藏已知文件的扩展名" 在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\HiddenFileExt] 将 CheckedValue的值改为0 改完后，去文件夹选项看，在"选显示所有文件和文件夹"已恢复正常了 8.插上U盘，将其中的*.exe文件全部删除 基本上就杀灭完成了 U盘病毒的预防 U盘病毒的感染，一部分是用户去点击运行U盘上的可执行文件感染的，另一部分是由于移动存储设备插入时启用了自动播放而感染的。所以，要防止U盘病毒的再感染，有必要限制移动存储设备的自动播放功能。 9.使用组策略一次性全部关闭自动播放功能： ① 点击“开始”选择“运行”，键入“gpedit.msc”，并运行，打开“组策略”窗口； ② 在左栏的“本地计算机策略”下，打开“计算机配置_管理模板_系统”，然后在右栏的“设置”标题下，双击“关闭自动播放”； ③ 选择“设置”选项卡，勾取“已启用”复选钮，然后在“关闭自动播放”框中选择“所有驱动器”，单击“确定”按钮，退出“组策略”窗口。 在“用户配置”中同样也可以定制这个“关闭自动播放”。但“计算机配置”中的设置比“用户配置”中的设置范围更广。有助于多个用户都使用这样的设置。 手工清除感染U盘的doc.exe病毒 手工删除的过程： 1.调出任务管理器，把进程里的DOC.EXE结束掉。 2.打开注册表，去掉 [HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run] 下的DOC.exe启动项。 3.打开CMD窗口(DOS)，进入 X:\Windows 目录， 键入命令 Attrib Doc.exe -h -s -r ,再键入 Del Doc.exe。重启电脑，再看任务管理器里还有没有Doc.exe ，没有就成功了。 一定要确定DOC.exe被清除了！你的Word文档才能解封，要不下面会怎么样还不知道。 用资源管理器进入Window\wj的目录看看，你电脑上所有的Word文档都在这里，只是被更名成了命令文件(.COM)。 进入命令行模式，cd c:\Window\wj 用命令ren *.com *.doc 这样病毒清除的word文档都在你面前了唯一遗憾的是：你需要从新分类 放到原来的文件夹里面 因为开机运行的ww.bat所产生的ww.txt文件已经删除 里面保存了病毒删除word文件的具体路径 ww.bat文件内容为：dir *.doc/a/b/s >>c:\ww.txt 实际意义就是：将doc文件去掉各种属性 列出 并将其路径保存到ww.txt文件里面 RavMonE.exe病毒专杀最近似乎很多朋友的D E 盘都双击打不开,我朋友的电脑也中过~后来找了很多方法~发现了这款专杀,反正我朋友的电脑是被我救活了~反正中了也试试看啊!记住杀好了直接重启(最好在安全模式下杀)~不要双击D E 盘!还有这个病毒靠U盘传播速度超快~大家以后插了U盘都右键打开!双击有毒盘就中了~切记~!防范才是关键! 关键是在插U盘时候按住shift键以防止病毒随U盘自动运行(大概5秒),等盘符出现后,右键打开.按照如图1,图2做(选择相应选项),一般就会出现一些隐藏的文件,打开autorun.ini文件,将里面涉及到几个dll与exe文件从U盘里面删除,最后关闭autorun.ini文件,并且删除它,退出U盘,OK了.祝好运. 参考技术A DLL注入木马是目前网络上十分流行的木马形式，它就像是一个寄生虫，木马以DLL文件的形式，寄宿在某个重要的系统进程中，通过宿主来调用DLL文件，实现远程控制的功能。这样的木马嵌入到系统进程中可以穿越防火墙，更让人头疼的是，用杀毒软件进行查杀，杀软即使报警提示发现病毒，但是也无法杀掉木马病毒文件，因为木马DLL文件正被宿主调用而无法删除。下面我们把杀软放到一边，通过专用工具及其手工的方法来清除DLL木马。
一、清除思路
1、通过系统工具及其第三方工具找到木马的宿主进程，然后定位到木马DLL文件。
2、结束被木马注入的进程。
3、删除木马文件。
4、注册表相关项的清除。
二、 清除方法
1、普通进程DLL注入木马的清除
有许多DLL木马是注入到“iexplore.exe”和“explorer.exe”这两个进程中的，对于注入这类普通进程的DLL木马是很好清除掉的。
如果DLL文件是注入到“iexplore.exe”进程中，此进程就是IE浏览进程，那么可以关掉所有IE窗口和相关程序，然后直接找到DLL文件进行删除就可以了。如果是注入到“explorer.exe”进程中，那么就略显麻烦一些，因为此进程是用于显示桌面和资源管理器的。当通过任务管理器结束掉“explorer.exe”进程时，桌面无法看破到，此时桌面上所有图标消失掉，“我的电脑”、“网上邻居”等所有图标都不见了，也无法打开资源管理器找到木马文件进行删除了。怎么办呢?
这时候可以在任务管理器中点击菜单“文件”→“新任务运行”，打开创建新任务对话框，点击“浏览”挖通过浏览对话框就可以打开DLL文件所在的路径。然后选择“文件类型”为“所有文件”，即可显示并删除DLL了
提示：如果你熟悉命令行(cmd.exe)的话，可以直接通过命令来清除，如：
taskkill /f /im explorer.exe
del C:\\Windows\\System32\\test.dll
start explorer.exe
第一行是结束explorer.exe，第二回是删除木马文件test.dll，第三行是重启explorer.exe
2、使用IceSword卸载DLL文件调用
如果木马是插入了“svchost.exe”之类的关键进程中，就不能指望进程管理器来结束进程了，可能需要一些附加的工具卸载掉某个DLL文件的调用。
IceSword的功能十分强大，可以利用它卸载掉已经插入到正在运行的系统进程中的DLL文件。在IceSword的进程列表显示窗口中，右键点击DLL木马宿主进程，选择弹出菜单中的“模块信息”命令打开DLL模块列表对话窗口。选择可疑的模块后，点击“卸载”按钮即可将DLL木马进程中删除掉了。
如果提示不能卸载的话，可以点击“强行解除”按钮，从进程中强行删除该DLL调用。这时候就可以从“模块文件名”栏中，得到DLL文件文件的路径，然后到文件夹中将DLL木马彻底删除掉。
3、SSM终结所有DLL木马
许多木马都是注入到系统里关键进程中的，比如“svchost.exe”、“smss.exe”、“winlogon.exe”进程，这些进程使用普通方式无法结束，使用特殊工具结束掉进程或卸载掉进程中的DLL文件后，却又很可能造成系统崩溃无法正常运行等。例如一款著名的木马PCShare是注入“winlogon.exe”进程中的，该进程是掌握Windows登录的，在使用IceSword卸载时系统立刻异常重启，更本来不及清除dll文件，在重启后dll木马再次被加载。
对于这类dll木马，必须在进程运行之前阻止dll文件的加载。阻止dll文件加载要用到一个强大的安全工具“System Safety Monitor”(简称SSM)。SSM是由俄罗斯出品的一款系统监控软件，通过监视系统特定的文件和程序，达到保护系统安全的目的。这款软件功能非常强大，可以很好地配合防火墙和杀毒软件更好地保护系统的安全。
运行SSM，在程序界面中选择“规则”选项卡，右键点击中间规则列表空白处，选择“新增”命令。弹出文件浏览窗口，选择浏览文件类型为“库文件”，在其中选择指定文件路径“C:\\Windows\\system32\\rejoice.dll”。确定后，即可将DLL木马文件添加到规则列表中，然后在界面下方的“规则”下拉列表中选择“阻止(F2)
添加规则设置完毕后，点击“应用设置”按钮，然后重启系统。在重启系统前要检查SSM的设置，保证SSM随系统启动而加载运行。当系统重启时，会自动阻止该进程调用rejoice.dll木马文件。由于木马文件没有任何进程调用，所以就可以直接删除了。
此外，我们还可以利用其它工具来清除DLL木马后门，例如Tiny Personnal Firewall 2005(TPF)防火墙的“balcklist”禁止运行功能等，清除的原理都是一样的，总之是在木马DLL文件被调用之前，阻止其被进程加载，从而达到结束木马进程并删除木马的目的。
4、通过系统权限法来清除DLL木马
在Windows系统中，NTFS分区格式具有强大的文件限制设置功能，可以设置某个文件是否可以被程序调用访问等。通过这个功能，我们一样可以阻止木马调用相应的DLL文件，从而彻底地清除掉DLL木马文件。
双击打开“我的电脑”，点击菜单命令“工具”→“文件夹选项”→“查看”，在高级设置的选项卡下去掉“简单文件共享”的选择。
然后定位到无法删除的DLL文件上，右键点击该文件，在弹出菜单中选择“属性”命令，单击“高级”按钮，在弹出的窗口中去掉“从父项继承那些可以应用的到子对象的权限项目，包括那些在此明确定义的项目”不被选中(如图5)。再在弹出的窗口中单击“删除”，再依次单击“确定”。这样就没有任何用户可以访问和调用这个DLL木马文件了。重新启动系统就可以删除该DLL文件了。
5、恢复系统
将DLL文件删除后，还要到注册表中找到所有与该DLL木马关联的项目，尤其是：
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
等几个与自动启动有关的项目。
另外，DLL木马不仅仅局限存在于Run、Runonce这些众所周知的子键，而有可能存在于更多的地方。例如对于后门类的DLL来说“KnownDLLs”就是再好不过的藏身之处。在注册表的“HEKY_LOCALMACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager\\KnownDLLs”子键下，存放着一些已知DLL的默认路径。假设DLL木马修改或者增加了某些键值，那么DLL木马就可以在系统启动的时候悄无声息地代替正常的DLL文件被加嵌入到相应的进程中。
三、总结
总的来说，DLL木马后门的种类极多，木马选择的注册表选项及其系统进程也不尽相同。清除DLL木马的总体思路是这样的：
在碰到DLL注入类木马时，我们可以首先考虑用procexp之类的工具，查找出DLL类木马的宿主进程。找到宿主进程后，如果是注入到普通可结束的进程中，可以直接将宿主进程结束后直接删除木马文件即可。
如果DLL木马是注入到系统关键进程中的话，可以考虑用IceSword卸载DLL文件;如若失败，那么直接用SSM建立规则或者通过阻止DLL文件的加载就可以了 参考技术B 国内免费的杀毒软件都是试用版，试用期到不交钱就无法升级了。真正免费的杀软都是国外的，我用了好几个，如小红伞《无中文版》，麦咖啡，avast等，效果都可以，小红伞没有中文版，英文不好不要用，麦咖啡设置复杂，初级菜鸟不要用，avast默认设置，世界排名12位，效果不错，一直用着，你也可以用用。在欧洲被称为唯一能与NOD32媲美的杀软。简介：

来自捷克的AVAST，已有19年的历史，但最近才在我们这里兴起，它在国外市场一直处于领先地位。

拥有不同版本及语言，只有家庭版（包括中文版）是免费的，只要在它的网页上填写一下资料，但是邮箱一定要写正确，这样它才能把使用KEY发给你,就可以享用它12个月了，然后再注册再使用。

Avast！的实时监控功能十分强大！它拥有七大防护模块：网络防火墙防护、标准的本地

文件读取防护、网页防护、即时通讯软件防护、邮件收发防护、P2P软件防护。这么完善的防

护系统，定能让你的系统练就一副金刚不坏之身！任意开启各项保护模块能够查杀流氓软件,比如3721。升级很人性化

Avast是捷克一家软件公司(ALWIL Software)的产品。ALWIL 软件公司的研发机构在捷克的首都－布拉格，现在他们和世界上许多国家的安全软件机构都有良好的合作关系。

早在80年代末ALWIL公司的安全软件已经获得良好的市场占有率，但当时仅限于捷克地区。

ALMIL公司是擅长于安全软件方面的研发，开发的Avast Antivirus系列是他们的拳头产品，Avast在许多重要的市场和权威评奖中都取得了骄人的成绩，同样在此后进军国际市场上也赢得了良好的增长率。

主要特点：

（1）高侦测的反病毒表现，多次获得过ICSA和Virus Bulletin 100%认证，启发式强大。

（2）较低的内存占用和直观，简洁的使用界面。

（3）支持SKIN更换，完善的程序内存检测。

（4）对SMTP/POP3/IMAP邮件收发监控的全面保护。

（5）支持MS OUTLOOK外挂，智能型邮件帐号分析。

（6）支持宏病毒文档修复，修复档案后自动产生病毒还原数据库（VRDB功能）。

（7）支持P2P共享下载软件和即时通讯病毒检测，保护全面。

（8）良好有效的侦测并清除病毒，蠕虫，广告和木马程序。

（9）病毒库更新速度快，对新型病毒和木马有迅捷的反应。

功能特性

＊反病毒内核 ＊自动升级

＊简单的使用界面 ＊病毒隔离区

＊实时监控 ＊系统结合

＊P2P和聊天软件监控保护 ＊病毒清除

＊网络防护 ＊64位系统支持

＊网页防护 ＊多国语言支持

＊增强型用户界面

＊恶意脚本屏蔽 ＊DOS下扫描

＊扩展病毒库升级 ＊移除病毒备份

占用内存不到25兆。

优点：

杀毒能力强且处理快，设置全部用默认即可，并且有很好用的DOS扫描。 参考技术C 你用的什么版本的卡巴啊,要7.0
打开任务管理器,手动结束进程,
运行 msconfig 禁用此文件启动项
安全模式手动找到并删除文件,清理注册表相关文件!
去网上查找相关方法,上传到360等待专家解决
然后就OK 参考技术D 找到那个文件 ···文件粉碎~~~
用卡巴全盘扫描 可能在别的盘符有子病毒~~
安装东方微点··主动防御···就算盗取你的资料也叫他传不到网络！~