如何清除木马病毒?
目前网络上最猖獗的病毒估计非木马程序莫数了,特别是在过去的2004年木马程序的攻击性也有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等,这些木马也是目前最难对付的。本期就教你查找和清除线程插入式木马。
操作步骤:
1.通过自动运行机制查木马
一说到查找木马,许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”,具体的地方一般有以下几处:
1)注册表启动项:
在“开始/运行”中输入“regedit.exe”打开注册表编辑器,依次展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\],查看下面所有以"Run"开头的项,其下是否有新增的和可疑的键值,也可以通过键值所指向的文件路径来判断,是新安装的软件还是木马程序。
另外[HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\]键值也可能用来加载木马,比如把键值修改为“X:\windows\system\ABC.exe "%1"%”。
2)系统服务
有些木马是通过添加服务项来实现自启动的,大家可以打开注册表编辑器,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑键值,并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑主键。
然后禁用或删除木马添加的服务项:在“运行”中输入“Services.msc”打开服务设置窗口,里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找到木马所启动的服务,双击打开它,把启动类型改为“已禁用”,确定后退出。也可以通过注册表进行修改,依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服务显示名称”键,在右边窗格中找到二进制值“Start”,修改它的数值数,“2”表示自动,“3”表示手动,而“4”表示已禁用。当然最好直接删除整个主键,平时可以通过注册表导出功能,备份这些键值以便随时对照。
3)开始菜单启动组
现在的木马大多不再通过启动菜单进行随机启动,但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项,可以右击它选择“查找目标”到文件的目录下查看一下,如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看,它的位置为[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders],键名为Startup。
4)系统INI文件Win.ini和System.ini
系统INI文件Win.ini和System.ini里也是木马喜欢隐蔽的场所。选择“开始/运行”,输入“msconfig”调出系统配置实用程序,检查Win.ini的[Windows]小节下的load和run字段后面有没有什么可疑程序,一般情况下“=”后面是空白的;还有在System.ini的[boot]小节中的Shell=Explorer.exe后面也要进行检查。
5)批处理文件
如果你使用的是WIN 9X系统,C盘根目录下“AUTOEXEC.BAT”和WINDOWS目录下的“WinStart.bat”两个批处理文件也要看一下,里面的命令一般由安装的软件自动生成,在系统默认会将它们自动加载。在批处理文件语句前加上“echo off”,启动时就只显示命令的执行结果,而不显示命令的本身;如果再在前面加一个“@”字符就不会出现任何提示,以前的很多木马都通过此方法运行。
2.通过文件对比查木马
最近新出现的一种木马。它的主程序成功加载后,会将自身做为线程插入到系统进程SPOOLSV.EXE中,然后删除系统目录中的病毒文件和病毒在注册表中的启动项,以使反病毒软件和用户难以查觉,然后它会监视用户是否在进行关机和重启等操作,如果有,它就在系统关闭之前重新创建病毒文件和注册表启动项。下面的几招可以让它现出原形(下面均以Win XP系统为例):
1)对照备份的常用进程
大家平时可以先备份一份进程列表,以便随时进行对比查找可疑进程。方法如下:开机后在进行其他操作之前即开始备份,这样可以防止其他程序加载进程。在运行中输入“cmd”,然后输入“tasklist /svc X:\processlist.txt”(提示:不包括引号,参数前要留空格,后面为文件保存路径)回车。这个命令可以显示应用程序和本地或远程系统上运行的相关任务/进程的列表。输入“tasklist /?”可以显示该命令的其它参数。
2)对照备份的系统DLL文件列表
对于没有独立进程的DLL木马怎么办吗?既然木马打的是DLL文件的主意,我们可以从这些文件下手,一般系统DLL文件都保存在system32文件夹下,我们可以对该目录下的DLL文件名等信息作一个列表,打开命令行窗口,利用CD命令进入system32目录,然后输入“dir *.dllX:\listdll.txt”敲回车,这样所有的DLL文件名都被记录到listdll.txt文件中。日后如果怀疑有木马侵入,可以再利用上面的方法备份一份文件列表“listdll2.txt”,然后利用“UltraEdit”等文本编辑工具进行对比;或者在命令行窗口进入文件保存目录,输入“fc listdll.txt listdll2.txt”,这样就可以轻松发现那些发生更改和新增的DLL文件,进而判断是否为木马文件。
3)对照已加载模块
频繁安装软件会使system32目录中的文件发生较大变化,这时可以利用对照已加载模块的方法来缩小查找范围。在“开始/运行”中输入“msinfo32.exe”打开 “系统信息”,展开“软件环境/加载的模块”,然后选择“文件/导出”把它备份成文本文件,需要时再备份一个进行对比即可。
4)查看可疑端口
所有的木马只要进行连接,接收/发送数据则必然会打开端口,DLL木马也不例外,这里我们使用netstat命令查看开启的端口。我们在命令行窗口中输入“netstat -an”显示出显示所有的连接和侦听端口。Proto是指连接使用的协议名称,Local Address是本地计算机的IP地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的IP地址和端口号,State则是表明TCP连接的状态。Windows XP所带的netstat命令比以前的版本多了一个-O参数,使用这个参数就可以把端口与进程对应起来。输入“netstat /?”可以显示该命令的其它参数。
接着我们可以通过分析所打开的端口,将范围缩小到具体的进程上,然后使用进程分析软件,例如《WINDOWS优化大师》目录下的WinProcess.exe程序,来查找嵌入其中的木马程序。有些木马会通过端口劫持或者端口重用的方法来进行通信的,一般它们会选择139、80等常用端口,所以大家分析时要多加注意。也可以利用网络嗅探软件(如:Commview)来了解打开的端口到底在传输些什么数据.
如何清除FakeAlert木马
随着黑客技术的日益发展,各种“装备先进”的木马在网上大面积传播。如果大家遇到杀毒软件能够查出来,但却无法清除的病毒,那么多半就是现在网上非常流行的DLL动态嵌入式木马,相对普通木马来说,DLL木马的查杀不易。难道我们就拿它们没有办法了吗?如何清除木马呢?下面我们就一步一步来删掉这个如蛆附骨的DLL木马。
小知识:什么是动态嵌入式DLL木马?
这种木马是将DLL木马文件嵌入到正在运行的系统进程中如“explorer.exe”、“svchost.exe”、“smss.exe”或系统常见的进程如“iexplore.exe”、“notepad.exe”,而在任务管理器里出现的就只是DLL的载体EXE文件,由于这些进程就是系统本身的进程,因此DLL木马具有极强的隐蔽性。
惊现病毒——杀毒软件束手无策
近日,笔者的Norton报警发现病毒“E:\windows\sagent\mssasu.com”(注:笔者系统安装在E盘)如图1。从病毒名称可以判断是一个黑客后门程序,看来是有人在电脑上安装了后门。
发现病毒自然是杀毒,将病毒库升级,启动Norton进行全面查杀,Norton又提示发现其他两个病毒,不过Norton既无法隔离也无法将病毒删除,如图2所示。
寻根究底——木马现原形
Norton无法删除病毒,原因显然是由于病毒进程正在运行导致的。由于Norton总是弹出发现病毒窗口而无法查杀,笔者便将Norton的自动防护暂时关闭。打开任务管理器,奇怪的是并没有发现有什么陌生的进程,不过其中的“iexplore.exe”引起笔者的警觉,因为此时笔者并没有运行IE浏览器,进程列表里怎么会出现这个进程?
右击进程选择“打开所在目录”,通过查看“iexplore.exe”属性,发现这的确是系统自带的IE浏览器,难道是IE染毒了?然后我又发现在关闭Norton自动防护情况下,每次终止“iexplore.exe”后,不到2秒它就会立刻复活,而启动Norton的防护后,则会发现“E:\WINDOWS\msagent\msdwix.com”病毒的提示。显然“msdwix.com”就是“iexplore.exe”的守护进程,当它发现监视的进程被终止后会立刻使它复活。
结合Norton发现的“Dxdgns.dll”这个病毒,笔者初步判断这应该是一个动态嵌入式DLL木马,它把“Dxdgns.dll”木马文件插入“iexplore.exe”进程里了。为了便于比较,笔者又启动一个“iexplore.exe”进程。进程调用的DLL文件,通过“Windows优化大师”组件“Windows进程管理”来查看。启动程序后选中“iexplore.exe”,单击“模块信息”,通过和正常IE进程详细对比,可以看到“e:\windows\dxdgn.dll”的确被IE调用,这就是病毒真身了,如图3所示。
先治标——清除病毒文件
对于此类病毒,笔者使用了“系统权限法”来阻止进程运行(注意:使用该法前提是系统采用NTFS格式)。打开“我的电脑”,单击“工具→文件夹选项→查看”,然后在“高级设置”选项下去除“简单文件共享(推荐)”前的小钩。
现在打开“E:\WINDOWS\msagent”,找到“msdwix.com”右击选择“属性”,然后单击“安全”标签,接着在属性窗口单击“高级”,在弹出的窗口清除“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框,在弹出窗口单击“删除”,去除所有继承的权限,依次单击“确定”后退出,这样电脑上就没有任何用户可以运行“msdwix.com”了。
提示:对于采用FAT32格式的用户,可以将电脑重启到纯DOS下,手工删除“msdwix.com”文件。此外,对于通过系统的“rundll32.exe”命令调用DLL文件作恶的木马,也可以利用上述方法去除DLL文件的运行和读取权限。
现在使用任务管理器终止“iexplore.exe”,由于“msdwix.com”无法运行,自然它也不能重新加载“Dxdgns.dll”木马了。将电脑注销一下进入“e:\windows”,顺利删除了“Dxdgns.dll”。现在进入“E:\WINDOWS\msagent”,找到“msdwix.com”右击选择“属性”,重复前面的操作,勾选“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框。最后按照Norton查毒的提示,删除其它病毒文件。
再治本——清除木马启动程序
因为每次启动这个木马病毒会运行,显然它在注册表添加了自启动项目,查看自启动项目软件有很多,笔者这里向大家推荐一款软件Autoruns 7.01 汉化版(下载地址http://www.d66.net/soft/6942.htm),它可以详细列出电脑上所有的自启动项目,运行程序后单击“查看”,依次勾选所要显示的项目(如服务、DLL文件、浏览器加载项、空位置),单击“刷新”后就可以看到检测结果了,它会列出所有启动位置。
从Autoruns检测可以看到,这个木马的启动键值是[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]和[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]下的COM服务,原来木马还通过注册为系统服务的方式启动。右击查找到的启动项目选择“跳转到具体位置”。这样可以直接打开注册表并定位到相应启动键值,按提示删除COM服务键值即可修复注册表。至此顺利将这个难缠的DLL木马扫地出门!
木马病毒wuauserv.exe如何删除
我同学也曾感染过这个病毒:wuauserv,这个病毒还有一个病毒进程svchost(一般位于system32\scvhost文件夹下并且隐藏自身)
与病毒奋战多年,这是最难杀的病毒之一了,安全模式也会自己启动。
解决方法:看看我的解决方法:
首先必须下载可以察看进程映像路径的任务管理器,因为要找出有问题的svchost进程(推荐longhorn任务管理器,上www.crsky.com搜索下载安装)。
重新启动进安全模式,打开新任务管理器,点“进程”--菜单栏“查看”-“选择列”,勾选“映像路径”,然后回到进程列表就可以看到路径了。
结束位于system32目录以外的SVCHOST进程(先记下它的路径,假设是system32\scvhost)和那个病毒进程,然后进到病毒的所在文件夹system32\scvhost,可能是隐藏的,在文件夹选项里勾选“现实所有文件”,去掉“隐藏受保护文件”的勾,确定后病毒程序原形毕露,彻底删除之。
善后:清理注册表项
点“开始”--运行--regedit,打开“编辑”--查找,输入刚才的路径(如scvhost),找到后删除之,按F3继续,删除所有病毒项。
修复:将
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 右侧的
Userinit的值"userinit.exe,C:\WINDOWS\system32\scvhost\svchost.exe,wuauserv.exe"编辑为
"C:\WINDOWS\system32\userinit.exe,"(逗号不要省略,无引号)
重新启动即可。
我的电脑内存中了木马怎么办.
进入安全模式,在安全模式下进行病毒查杀,然后在安全模式下试用优化大师对你的IE缓存和流氓软件进行清理。如果在安全模式下还无法清除内存病毒的话只能从新做系统了。
我在游迅网下载了个虐杀原形,下载好了不能玩,不能玩还好竟然还有木马病毒。请问在那下载能玩呀?
游侠没有么?去哪里查查试试。
另外一定要小心木马病毒,做好病毒防护工作。
建议你使用腾讯电脑管家,它集合木马、杀毒于一身,更有全国最大最全的安全库。另外,在国际权威的安全软件评测机构AV-Comparatives官网正式发布的2013年3月《恶意软件检测率测试》评测结果中,腾讯电脑管家与金山毒霸并列全球第二位,99.6%的超高检出率仅次于GDATA2013,低误报率更是全国最优。
你使用后,请全盘进行木马以及病毒扫描,然后找到工具箱里的顽固木马克星,再次查杀。然后使用电脑加速功能,关闭不需要的启动项,以及开启所有防护。
OK,搞定。
虐杀原形声音问题,我在游民星空上下载了声音补丁,解压说有特洛伊木马病毒!!怎么办
去别的地方下载啊,有病毒,如果清除得了,那就清除了就可以用了,但是如果是绑定的,就只能删除了,那样的话只能去别的地方下载了。如果你实在不怕可能中毒的话,把杀软关了,安全卫士那些也关了就可以用了。