如何去除EXE文件中的病毒!
15年经验帮你搞定,绝妙配合:360玩固木马清除(不是360哟!不是360哟)+小红伞
只要你稍微知道一点就行了:没有一个杀毒软件能全部查出病毒,只有杀毒软件的交叉,才能够搞定。
100%搞定方案:
1用顶级玩固木马专杀:http://www.360.cn/killer/360compkill.html
下载的文件会提示你360打不开怎么办,要把下载的文件改下名.下载的玩固木马专杀文件夹,里面的文件有叫你改名,改名后就可以运行了!
打开后,必须勾选强力查杀,查杀完后,再下载小红伞9.0版本中文版,
如果杀后还有,装上小红伞9.0,木马杀完了,基本上全部搞定
2配合用国外的“小红伞”杀毒
记得要配合小红伞
如何删除病毒New folder.exe
1.打开任务管理器,把病毒进程wuauserv.exe关掉(这个进程在安全模式里也能被病毒启动)。
2.打开注册表编辑器(在开始-运行中输入regedit),找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL],
把"CheckedValue"的健值改为1,类型为dword。[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon],把"Userinit"这个键的键值改为"userinit.exe,"(带逗
号的)。
3.然后打开"文件夹选项"-"查看",把"隐藏受保护的操作系统文件"的勾去掉,把"显示所有文件和文件夹"选上,确定。
4.进入c:\windows\system32\目录,按照文件类型排序,找到wuauserv.exe文件(一般为隐藏文件),删除。在目录最底下会发现有两个注册表
文件,分别是boothide.reg和bootrun.reg(一般为隐藏文件),删除它们(不要管弹出的警告)。
5.最后的一步需要删除一个svchost.exe文件。先打开任务管理器,可以看到里面有多个SVCHOST.EXE进程,看这些进程所属的用户名,是SYSTEM,有几个是NETWORK
SERVICE,还有的是LOCAL
SERVICE。只有一个的用户名是你系统的用户名。这就是那个病毒进程。c:\windows\system32\svchost\目录里。先把这个病毒svchost.exe进程停止掉,再把这个目录整个删除掉,就OK了。
6.重启后进入系统,打开任务管理器发现病毒进程没了。文件夹选项也没被改,查看病毒文件也没了。至此终于可以正常随意地显示隐藏文件了。
怎么去除EXE程序中的木马或病毒
感染病毒。很简单,要么是文件头,要么在末尾添加病毒代码!首先具备汇编知识。然后具备感染,混于,黑客方面的知识!
再不行你把上报给杀软官方。
卡巴瑞星对感染木马可以清除的
就是发现病毒时点清除,而不是点删除!
怎么清除***.exe.exe程序中的木马啊?
病毒主体是exe.exe
把那个样本重新测试了一遍,并试着干掉了它
File: exe.exe
Size: 58880 bytes
MD5: CE41DA3B6813DC7D22B0D71072D61020
SHA1: 26034C23E88BB5D23D181A2EEFD7A694102BF6A0
CRC32: 5CF7762F
运行后不断修改svchost.exe的内存
创建服务ICF
服务相关键值
HKLM\SYSTEM\ControlSet001\Services\ICF\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\ControlSet001\Services\ICF\Type: 0x00000110
HKLM\SYSTEM\ControlSet001\Services\ICF\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\ICF\ErrorControl: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\ICF\ImagePath: "C:\WINDOWS\system32\svchost.exe:exe.exe"
HKLM\SYSTEM\ControlSet001\Services\ICF\DisplayName: "ICF"
HKLM\SYSTEM\ControlSet001\Services\ICF\Group: "TDI"
HKLM\SYSTEM\ControlSet001\Services\ICF\ObjectName: "LocalSystem"
将C:\WINDOWS\system32\svchost.exe加入到Windows 防火墙的排除的程序中
修改C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system32\svchost.exe (应该是加入了他的那个exe.exe了吧)
(但windows并未报警说文件被修改,不知为什么)
清除办法想了很久 因为那个服务好删除 但C:\WINDOWS\system32\svchost.exe的那个隐藏的数据流怎么给他删除呀?从其他电脑上拷一个?是个办法,但是比较麻烦呀,还得在 dos 下弄 毕竟svchost.exe是个系统关键进程呀。
最后找到了个叫NTFSDataTest的软件 Made in China的
开始咯
1.删掉他的服务
打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
ICF
2.删除隐藏的数据流
打开那个NTFSDataTest的软件
输入要检测的路径
C:\WINDOWS\system32
可以看到 软件检测到一个NTFS数据流 在C:\WINDOWS\system32\svchost.exe下面 双击检测出来的C:\WINDOWS\system32\svchost.exe
可以看到那个隐藏的exe.exe现形咯
右键 删除流
OK 再用sreng检测一遍 被干掉咯 哈哈
最后在网上找了点关于NTFS数据流病毒的资料 给大家分享一下
什么是NTFS数据流?
在介绍NTFS数据流之前,我们先简单了解一下NTFS文件系统。NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更稳定,更安全,功能也更为强大。如果要让FAT文件系统转换为NTFS文件系统,可以在“命令提示符”中输入“convert 分区盘符: /fs:ntfs”,即可将该分区的文件系统转换为NTFS。
NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息,虽然我们无法看到数据流文件,但是它却是真实存在于我们的系统中的。创建一个数据交换流文件的方法很简单,命令为“宿主文件:准备与宿主文件关联的数据流文件”。
那么为什么我们无法看到系统中的数据流文件呢,是Windows为了防止我们误删数据流文件而故意设置的障碍吗?答案是否定的,我们之所以无法在系统中看到NTFS数据流文件,是因为Windows中的很多工具对数据流文件的支持并不是很好,就像“资源管理器”,我们无法在“资源管理器”中看到有关数据流文件的变化。这种缺陷让木马有机可趁,通过NTFS数据流将自己隐藏起来,从此就从“资源管理器”中消失了。例如Rootkit木马中的文件隐藏功能,就是利用了NTFS数据流。
NTFS数据流的创建实例
相信不少看了上文介绍的读者朋友还是对NTFS数据流一头雾水,没有关系,下面我们通过实例来深入了解一下NTFS数据流。
创建宿主文件
宿主文件在这里指的就是普通文件,是在Windows中可以正常显示、运行、编辑的任何类型文件。我们先来创建一个txt格式的文本文档,把它作为宿主文件。运行“记事本”,随意输入一些内容,例如“测试——宿主文件”,然后将其保存为C:\test\suzhu.txt。接着我们在suzhu.txt上点右键,选择“属性”,可以发现其文件大小为16字节。
关联数据流文件
宿主文件创建完成后,我们再来创建一个数据流文件,将其与宿主文件关联,看看宿主文件会发生什么变化。点击“开始”→“运行”,输入cmd运行“命令提示符”,切换到C:\test\目录中,输入命令“echo "测试——数据流文件" suzhu.txt:shujuliu.txt”。这样我们就创建了一个名为shujuliu.txt,内容为“测试——数据流文件”的数据流文件,并与宿主文件suzhu.txt进行了关联。
小贴士:在“命令提示符”中输入创建数据流命令后,不会有提示,但数据流文件已经成功创建了。
让我们回到C:\test\目录中,可以发现在该文件夹中只有一个suzhu.txt,而没有数据流文件shujuliu.txt,即使在“命令提示符”中使用“dir”命令也找不到shujuliu.txt。既然宿主文件suzhu.txt和数据流文件shujuliu.txt进行了关联,那么是不是shujuliu.txt的内容合并到suzhu.txt中了呢?我们打开suzhu.txt,其中的内容并没有改变,仍然是“测试——宿主文件”,而文件大小仍是16字节。
那么数据流文件shujuliu.txt哪去了呢?还是用“命令提示符”让它现形吧,在“命令提示符”中输入命令“notepad suzhu.txt:shujuliu.txt”,在弹出的记事本程序中就会出现数据流文件shujuliu.txt的内容。而我们在“命令提示符”中使用type、edit等命令对数据流文件进行编辑时,将会出现错误,这是因为“命令提示符”还不能很好地支持数据流文件。记事本虽然能够打开数据流文件,但并不表示它能完全支持NTFS数据流,这一点我们在“另存为”数据流文件的时候就会发现。
创建数据流文件
我们除了能将数据流文件和宿主文件进行绑定外,还能够创建单独的数据流文件。在“命令提示符”中输入“echo "测试——数据流文件" :shujuliu2.txt”,这样就创建了一个名为shujuliu2.txt的数据流文件,而这个文件无论是在“资源管理器”还是在“命令提示符”中使用“dir”命令,都是无法看到的。可以说,这个文件已经在系统中隐身了,我们只能通过输入命令“notepad :shujuliu2.txt”得知它的存在,而即使知道它的存在,我们也无法删除,因为命令提示符中“del”命令已经失去了作用。唯一能将之删除的办法,就是删除其上一级目录,如果单独的数据流文件存在于磁盘根目录,那么删除它将是一件很痛苦的事。
文中的数据流文件我们都是以文本文档举的例子,而数据流文件是不局限于文本文档的,任何文件都可以作为数据流文件,包括可执行程序,图片,声音等等。这就至少造成两个隐患:一是黑客入侵后可能将黑客工具通过数据流隐藏起来,当然也有病毒发作后将病毒文件进行隐藏的;二是通过某些途径,让数据流文件可以自动执行,起到隐藏木马的效果。说了那么多,黑客到底是如何利用NTFS数据流进行攻击的呢?接着往下看。
NTFS数据流木马的查杀
到目前为止,很多杀毒软件仍然不能较好地查杀本机上的NTFS数据流文件和利用数据流制作的木马,可以使用一些专业的NTFS数据流检查工具,找出隐藏在系统中的恶意文件。
专业检测NTFS数据流文件的工具有Sfind.exe、Streams.exe、lads.exe等,这里我们以lads.exe为例进行介绍。lads.exe是一个命令下的工具,需要在“命令提示符”中使用。在“命令提示符”中运行lads.exe,程序会自动检测当前目录中的NTFS数据流文件,如果要检测子目录中的数据流文件,可以在lads.exe运行的同时添加一个参数“/s”,这样就可以检测到子目录中的数据流文件了。对指定文件夹进行检测时,可以使用“lads.exe 文件夹路径”命令。
对于上文中介绍的那种利用NTFS数据流制作的木马自解压文件,也是可以防范的。首先当我们下载到一个自解压文件时,不要双击运行,可以在自解压文件上点击鼠标右键,选择“用Winrar打开”,如果发现其中的文件夹是空的,那么就要留个心眼了,很可能这就是一个数据流木马陷阱。其次,不管杀毒软件是不是能查杀NTFS数据流木马,木马程序运行后,在内存中还是会还原出来的,一般的杀毒软件都带有内存监控功能,可以将木马程序在内存中拦截下来。因此,勤升级杀毒软件也是防范NTFS数据流木马比较有效的办法。
电脑木马病毒怎么清除(电脑已经打不开了)?
还不行就找一个人现场给你分析 针对解决。因为我们看不见 摸不到 不知道你的具体情况 更不知道你中的是什么毒。重装不重装不是你能决定的,如果系统文件大面积破坏就得重装。好比人全面烧伤就要植皮,不能单纯用药。
为了防止此类事情再次发生,今后怎么办?请看~
只要阅读下面的《防毒真经》就可以远离盗号,黑客攻击,系统破坏,木马病毒杀不完之困扰。 【根本解决之道,不信依旧中毒!】
您是不是感觉杀毒软件排名很高,但是实际使用确实一般呢,病毒杀完又出来,杀毒软件被关闭
这是因为阻止病毒加载能力弱,所以出现反复查杀的情况!
【杀毒排名是给人个用户的迷魂汤】
杀毒市场的泡沫,靠提高排名来扩大自己的市场,但是企业不吃这一套。排名前几名没有一个是在企业级能带来巨大影响的
杀毒排名并不会考虑到阻止病毒加载能力这个因素,不会作为排名标准,所以排名就是只是扫描静态病毒测试。
他们都还是在走传统的路,但像McAfee企业版早已有了Generic Buffer Overflow Protection(缓冲区溢位保护)
没有一个杀毒测试是在测这个的。
原创+心得体会 不可删除/杀不完又出来的病毒/免杀病毒 `杀必~~!!!
杀毒--吸取教训--学习知识--永不中毒 这个才是正确的
杀毒--利用别的给你的具体方法照猫画虎-再次中毒-循环 是跳不出的怪圈
想要彻底不中毒并不容易 除非你学习了。 人人都凭几句话就能彻底避免中毒, 那么就不可能有病毒流行,也没有存在的意义。正是因为大部分用户并不是计算机行业或者不是很懂计算机,造成安全意识不强,病毒才得以传播有价值。
【快速成为安全专家3步曲】【第一步学习原理】【第二部找杀毒软件】【第三步McAfee规则杀毒防毒之终极大法】
【第一步学习原理】
《Windows安全原理与技术》[AVI]
http://www.verycd.com/topics/209612/
《病毒防护技巧-东方标准-高显嵩主讲》avi
http://www.verycd.com/topics/193233/
《计算机病毒与维护1-12》[美河原创][西安电子科技大学]
http://www.verycd.com/topics/76357/
《吉大-计算机维护与维修》视频版
http://www.verycd.com/topics/132863/
《计算机病毒与木马程序剖析》
http://www.verycd.com/topics/79116/
《上海交大网络安全》[RMVB]
http://www.verycd.com/topics/139299/
计算机精选技巧5000篇 一套非常值得收藏的精品教程 含多方面电脑知识
http://www.97sky.cn/downinfo/2741.html
【第二部找杀毒软件】
【McAfee爱好者 - 麦粉丝中文社区 - 值得信赖的迈克菲学习交流技术社区】
http://bbs.mcafeefans.com/index.php
//**如果有一定的计算机知识 推荐使用McAfee企业版 利用自定义规则打造百度不侵系统。病毒写入不到磁盘干着急没办法。
McAfee公司已经连续六年占据企业级防病毒市场的第一名,并且占据硬件防毒市场第一名。
//**如果你是新手推荐使用ESET NOD32。 卡巴老是提示有风险,让用户判断。用户能判断要你做什么。所以不适合新手。
【节省你的银两--杀毒软件大全】特集:26种手机杀毒软件 for Symbian系统(9 MB)
包含:①金山,②McAfee(迈克菲/麦咖啡),③Syamtenc(赛门铁克)/Norton(诺顿),④卡巴斯基,⑤Avira(小红伞),⑥ESET/NOD32,⑦avast!,⑧Bitdefender,⑨Trend Micro/PC-cillin(趋势科技),⑩Panda(熊猫),⒒F-Secure,⒓F-Prot,⒔G DATA,⒕CA,⒖AVG,⒗Norman,
【节省你的银两--杀毒软件大全】的信息转移到百度空间:
http://hi.baidu.com/eriko_futami/blog/item/8cfb39d3d55ce7daa9ec9afe.html
【第三步McAfee规则杀毒防毒法】
如果你安装了McAfee 企业版防毒软体 可以很容易搞定 不可删除/杀不完又出来的病毒/免杀病毒终结者
【McAfee规则杀毒防毒法-防止USB一定设备自动运行auto实例】
开启McAfee控制台-打开访问保护-右键属性-用户定义的规则-新建(F)-注册表阻止规则。
填写如下资料: (进程可带路径,可以使用通配符)
规则名称:禁止生成自动播放选项
包含进程:*
排除进程:预留空
要保护的注册表项。HKCU /Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/**
要阻止的注册表操作: 除了删除 读取其他都选上。
然后再确定保存 看McAfee日志 是什么程序产生了那些文件
然后按照同样的方法把根源程序阻止 然后就能轻易删除 杀毒就是这么容易。
日志就是这么一个例子:
2008-7-18 14:12:45 将由访问保护规则 (当前不强制执行规则) 禁止 MSDN-XP\McAfee C:\DOCUME~1\McAfee\LOCALS~1\Temp\Rar$EX00.172\UXTender.exe C:\Documents and Settings\McAfee\Local Settings\Temp\Rar$EX00.172\UXTender.exe 防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件 已阻止的操作: 执行
这个例子表明前面那个文件运行的结果就是产生那个文件。 分析你阻止的那些文件 阻止掉源头程序。(但不总是这样的,要学会分析.)
【注册表访问保护规则】(利用McAfee自定义规则防止病毒篡改首页实例)
规则名称:自己写
要包含的进程:*
要排除的进程:预留空 根据自己实际填写。可带路径
要保护的注册表项或者注册表值:
选择 HKLM 填入 /SOFTWARE/Microsoft/Internet Explorer/Main/**
规则类型:项
要阻止的操作:选中“向项或值中写入”和“创建项或值”
规则名称:自己写
要包含的进程:*
要排除的进程:预留空 根据自己实际填写。可带路径
要保护的注册表项或者注册表值:
选择 HKCU 填入 /Software/Microsoft/Internet Explorer/Main*/**
规则类型:项
要阻止的操作:选中“向项或值中写入”和“创建项或值”
【注册表访问保护规则】(利用McAfee自定义规则保护安全模式不被病毒篡改实例)
规则名称:自己写
要包含的进程:*
要排除的进程:预留空 根据自己实际填写。可带路径
要保护的注册表项或者注册表值:
选择 HKLM 填入 /SYSTEM/ControlSet*/Control/SafeBoot/**
规则类型:项
要阻止的操作:选中“向项或值中写入”和“创建项或值”和“删除项或值”
EXE被捆绑了木马怎么删除
exe文件在封装前捆绑的病毒是无法删除的,只能连exe程序一起删除。
建议使用腾讯电脑管家,卡巴斯基等比较知名的杀毒软件对exe程序进行查杀。
确定程序含有病毒后,建议立即删除。不要运行,一旦电脑被感染后,很难清除。
查杀之前应将安全软件更新到最新版本,并且更新杀毒软件的病毒库
清除EXE文件中的木马
贝壳木马专杀是绿色软件,直接双击运行就可以了
我推荐贝壳专杀而不是360安全卫士
因为这完全是两个概念的安全辅助软件
360虽然不错,但是对于新木马完全没有免疫力
贝壳主要是针对新木马病毒设计的
第一次使用,点击扫描后贝壳会快速扫描,大约1-3分钟
然后列出四种等级的文件,1.信任2.无威胁3.未知4.病毒木马
一般你第一次扫描大多数是信任或者无威胁文件,如果有未知文件的话,你就点击上报(这是重点),然后耐心等待1-5分钟,最后再重新扫描一次,第二次扫描速度比第一次快几倍
第一次扫描显示未知的文件(就是你上报的文件)就能正确识别时木马病毒或者是正常文件了
说到这里明白了吧,贝壳的云安全计算目前是最快的,也就是说无论你在哪里,网吧或者家里,玩游戏或者网银前用贝壳扫一下,无论是多新的病毒,只要上报了,3分钟后就能识别出来了。360对于新病毒可是无能为力。 对于顽固病毒,贝壳也可以替换被感染的的系统文件,保护系统安全希望楼主试用一下贝壳,真的不错! 贝壳官方网站下载地址: http://www.beike.cn/
文件夹变exe病毒怎么彻底清除
电脑有病毒一般需要使用杀毒软件全盘杀毒,如果遇到查杀不掉的病毒需要分什么情况分析:
1、如果杀毒杀出来的病毒删除不掉,安全模式下查杀,还是不行使用强删工具删除文件。
2、局域网环境,计算机在联网的时候文件能杀掉但是总杀总有,断网可以杀干净,属于局域网感染病毒,修复系统漏洞,对局域网计算机进行杀毒,杀干净再看。
3、断网情况下依然总杀总有,病毒可以杀掉但是反复回写,说明病毒主体没有查杀出来,不停的释放其他病毒文件,使用filemon工具,通过进程动作的监控,查出是哪个进程再不停的释放其他病毒文件,把病毒主体删除,如果这个操作无法自行操作,请联系杀毒软件的技术客服解决。