彻底清除木马_木马程序清理

hacker|
206

如何快速清理木马病毒

随着病毒编写技术的发展,木马程式对使用者的威胁越来越大,尤其是一些木马程式采用了极其狡猾的手段来隐蔽自己,使普通使用者很难在中毒后发觉,我教你一些清理木马病毒的相关知识吧。

一、档案捆绑检测

将木马捆绑在正常程式中,一直是木马伪装攻击的一种常用手段。下面我们就看看如何才能检测出档案中捆绑的木马。

1.MT捆绑克星

档案中只要捆绑了木马,那么其档案头特征码一定会表现出一定的规律,而MT捆绑克星正是通过分析程式的档案头特征码来判断的。程式执行后,我们只要单击“浏览”按钮,选择需要进行检测的档案,然后单击主介面上的“分析”按钮,这样程式就会自动对新增进来的档案进行分析。此时,我们只要检视分析结果中可执行的头部数,如果有两个或更多的可执行档案头部,那么说明此档案一定是被捆绑过的!

2.揪出捆绑在程式中的木马

光检测出了档案中捆绑了木马是远远不够的,还必须请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。

程式执行后会首先要求选择需要检测的程式或档案,然后单击主介面中的“Process”按钮,分析完毕再单击“Clean File”按钮,在弹出警告对话方块中单击“是”按钮确认清除程式中被捆绑的木马。

二、清除DLL类后门

相对档案捆绑执行,DLL插入类的木马显的更加高阶,具有无程序,不开埠等特点,一般人很难发觉。因此清除的步骤也相对复杂一点。

1.结束木马程序

由于该型别的木马是嵌入在其它程序之中的,本身在程序检视器中并不会生成具体的专案,对此我们如果发现自己系统出现异常时,则需要判断是否中了DLL木马。

在这里我们借助的是IceSword工具,执行该程式后会自动检测系统正在执行的程序,右击可疑的程序,在弹出的选单中选择“模组资讯”,在弹出的视窗中即可检视所有DLL模组,这时如果发现有来历不明的专案就可以将其选中,然后单击“解除安装”按钮将其从程序中删除。对于一些比较顽固的程序,我们还将其中,单击“强行解除”按钮,然后再通过“模组档名”栏中的地址,直接到其资料夹中将其删除。

2.查询可疑DLL模组

由于一般使用者对DLL档案的呼叫情况并不熟悉,因此很难判断出哪个DLL模组是不是可疑的。这样ECQ-PS超级程序王即可派上用场。

执行软体后即可在中间的列表中可以看到当前系统中的所有程序,双击其中的某个程序后,可以在下面视窗的“全部模组”标签中,即可显示详细的资讯,包括模组名称、版本和厂商,以及建立的时间等。其中的厂商和建立时间资讯比较重要,如果是一个系统关键程序如“svchost.exe”,结果呼叫的却是一个不知名的厂商的模组,那该模组必定是有问题的。另外如果厂商虽然是微软的,但建立时间却与其它的DLL模组时间不同,那么也可能是DLL木马。

另外我们也可以直接切换到“可疑模组”选项,软体会自动扫描模组中的可疑档案,并在列表中显示出来。双击扫描结果列表中的可疑DLL模组,可看到呼叫此模组的程序。一般每一个DLL档案都有多个程序会呼叫,如果呼叫此DLL档案的仅仅是此一个程序,也可能是DLL木马。点选“强进删除”按钮,即可将DLL木马从程序中删除掉。

三、彻底的Rootkit检测

谁都不可能每时每刻对系统中的埠、登录档、档案、服务进行挨个的检查,看是否隐藏木马。这时候我可以使用一些特殊的工具进行检测。

1.Rootkit Detector清除Rootkit

Rootkit Detector是一个Rootkit检测和清除工具,可以检测出多个Windows下的Rootkit其中包括大名鼎鼎的hxdef.100.

用方法很简单,在命令列下直接执行程式名“rkdetector.exe”即可。程式执行后将会自动完成一系统列隐藏专案检测,查找出系统中正在执行的Rootkit程式及服务,以红色作出标记提醒,并尝试将它清除掉。

2.强大的Knlps

相比之下,Knlps的功能更为强大一些,它可以指定结束正在执行的Rootkit程式。使用时在命令列下输入“knlps.exe-l”命令,将显示系统中所有隐藏的Rootkit程序及相应的程序PID号。找到Rootkit程序后,可以使用“-k”引数进行删除。例如已找到了“svch0st.exe”的程序,及PID号为“3908”,可以输入命令“knlps.exe -k 3908”将程序中止掉。

四、克隆帐号的检测

严格意义上来说,它已经不是后门木马了。但是他同样是在系统中建立了管理员许可权的账号,但是我们检视的却是Guest组的成员,非常容易麻痹管理员。

在这里为大家介绍一款新的帐号克隆检测工具LP_Check,它可以明查秋毫的检查出系统中的克隆使用者!

LP_Check的使用极其简单,程式执行后会对登录档及“帐号管理器”中的使用者帐号和许可权进行对比检测,可以看到程式检测出了刚才Guest帐号有问题,并在列表中以红色三角符号重点标记出来,这时我们就可以开启使用者管理视窗将其删除了。

通过介绍相信已经能够让系统恢复的比较安全了,但是要想彻底避免木马的侵害,还是需要对其基础知识加以了解。

怎么清理常见的木马?

当下是网际网路时代,使用电脑的人越来越多,当然电脑病毒越来越多,很多人的电脑都被病毒侵入过,那你知道吗?下面是我整理的一些关于的相关资料,供你参考。

清理常见的木马1. 冰河v1.1 v2.2

这是国产最好的木马 清除木马v1.1 开启登录档Regedit

点选目录至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

查询以下的两个路径,并删除

" C:\windows\system\ kernel32.exe"

" C:\windows\system\ sy***plr.exe"

关闭Regedit 重新启动到MSDOS方式

删除C:\windows\system\ kernel32.exe和C:\windows\system\ sy***plr.exe木马程式

重新启动。OK

清除木马v2.2

伺服器程式、路径使用者是可以随意定义,写入登录档的键名也可以自己定义。 因此,不能明确说明。

你可以察看登录档,把可疑的档案路径删除。 重新启动到MSDOS方式 删除于登录档相对应的木马程式

重新启动Windows。OK

清理常见的木马2. Acid Battery v1.0

清除木马的步骤:开启登录档Regedit

点选目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Explorer ="C:\WINDOWS\expiorer.exe"

关闭Regedit 重新启动到MSDOS方式

删除c:\windows\expiorer.exe木马程式

注意:不要删除正确的ExpLorer.exe程式,它们之间只有i与L的差别。 重新启动。OK

清理常见的木马3. Acid Shiver v1.0 + 1.0Mod + lmacid

清除木马的步骤:重新启动到MSDOS方式

删除C:\windows\MSGSVR16.EXE

然后回到Windows系统 开启登录档Regedit

点选目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"

关闭Regedit 重新启动。OK

清理常见的木马4. Ambush

清除木马的步骤:开启登录档Regedit

点选目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右边的zka = "z32.exe"

关闭Regedit 重新启动到MSDOS方式

删除C:\Windows\ z32.exe 重新启动。OK

清理常见的木马5. AOL Trojan

清除木马的步骤:启动到MSDOS方式

删除C:\ mand.exe删除前取消档案的隐含属性

注意:不要删除真的mand档案。

删除C:\ americ~1.0\buddyl~1.exe删除前取消档案的隐含属性

删除C:\ windows\system\norton~1\regist~1.exe删除前取消档案的隐含属性

开启WIN.INI档案

在[WINDOWS]下面“run=”和“load=”都载入者特洛伊木马程式的路径,必须清除它们

run=

load=

储存WIN.INI

还要改正登录档Regedit

点选目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的WinProfile = c:\mand.exe

关闭Regedit,重新启动Windows。OK

清理常见的木马6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1

清除木马的步骤:

注意:木马程式预设档名是wincmp32.exe,然而程式可以随意改变档名。

我们可以根据木马修改的system.ini和win.ini两个档案来清除木马。

开启system.ini档案 在[BOOT]下面有个”shell=档名”。正确的档名是explorer.exe

如果不是”explorer.exe”,那么那个档案就是木马程式,把它查找出来,删除。

储存退出system.ini

开启win.ini档案

在[WINDOWS]下面有个run=

如果你看到=后面有路径档名,必须把它删除。

正确的应该是run=后面什么也没有。

=后面的路径档名就是木马,把它查找出来,删除。 储存退出win.ini。

清理常见的木马7. AttackFTP

清除木马的步骤:开启win.ini档案

在[WINDOWS]下面有load=wscan.exe 删除wscan.exe ,正确是load=

储存退出win.ini。

开启登录档Regedit

点选目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Reminder="wscan.exe /s" 关闭Regedit,重新启动到MSDOS系统中

删除C:\windows\system\ wscan.exe

清理常见的木马8. Back Construction 1.0 - 2.5

清除木马的步骤:开启登录档Regedit

点选目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的"C:\WINDOWS\Cmctl32.exe"

关闭Regedit,重新启动到MSDOS系统中 删除C:\WINDOWS\Cmctl32.exe

清理常见的木马9. BackDoor v2.00 - v2.03

清除木马的步骤:开启登录档Regedit

点选目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的c:\windows\notpa.exe /o=yes 关闭Regedit,重新启动到MSDOS系统中

删除c:\windows\notpa.exe

注意:不要删除真正的notepad.exe笔记本程式

清理常见的木马10. BF Evolution v5.3.12

清除木马的步骤:开启登录档Regedit

点选目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Default=" " 关闭Regedit,再次重新启动计算机。

将C:\windows\system\ .exe空格exe档案

清理常见的木马11. BioNet v0.84 - 0.92 + 2.21

0.8X版本是执行在Win95/98 0.9X以上版本有执行在Win95/98 和WinNT上两个软体

客户-伺服器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑,NT被感染的系统完全一样。

清除木马的步骤:

首先准备一张98的启动盘,用它启动后,进入c:\windows目录下,用attrib libupd~1.exe -h

命令让木马程式可见,然后删除它。

抽出软盘后重新启动,进入98下,在登录档里找到:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run的子键WinLibU

pdate = "c:\windows\libupdate.exe -hide" 将此子键删除。

清理常见的木马12. Bla v1.0 - 5.03

清除木马的步骤:开启登录档Regedit

点选目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的Systemdoor = "C:\WINDOWS\System\mprdll.exe"

关闭Regedit,重新启动计算机。 查询到C:\WINDOWS\System\mprdll.exe和

C:\WINDOWS\system\rundll.exe

注意:不要删除C:\WINDOWS\RUNDLL.EXE正确档案。 并删除两个档案。

清理常见的木马13. BladeRunner

清除木马的步骤:开启登录档Regedit

点选目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

可以找到System-Tray = "c:\something\something.exe"

右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马档案并删除掉。重新启动计算机,然后重复第一步,在登录档中找到木马档案并删除此键。

清理常见的木马14. Bobo v1.0 - 2.0

清除木马v1.0 开启登录档Regedit

点选目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边的DirrectLibrarySupport ="C:\WINDOWS\SYSTEM\Dllclient.exe" 关闭Regedit,重新启动计算机。

DEL C:\Windows\System\Dllclient.exe

清除木马v2.0

开启登录档Regedit 点选目录至:

HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/

ICQ Accel是一个“假象“的主键,选中ICQ Accel主键并把它删除。 重新启动计算机。

清理常见的木马15. BrainSpy vBeta

清除木马的步骤:开启登录档Regedit

点选目录至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

右边有 ??? = "C:\WINDOWS\system\BRAINSPY .exe" ???标签选是随意改变的。

关闭Regedit,重新启动计算机 查询删除C:\WINDOWS\system\BRAINSPY .exe

 

 

看过文章“

1.如何快速清理木马病毒

2.电脑中了木马后应该怎么做以及解决方法

3.php网页病毒清除的方法

4.怎么样正确处理被病毒侵入的电脑

5.Windows7系统中毒了怎么解决

6.恶意网页病毒基础认识

7.电脑病毒引起经常宕机怎么办

8.WIN7关闭360高危漏洞提示的方法

9.企业网路安全漏洞分析评估

10.防护电脑不被病毒攻击的方法

如何清除木马

推荐以下两个清理木马等恶意程序的软件:

建议电脑两个软件都装上。

1.Spybot

-

Search

Destroy

软件(免费的不用注册就能用的)

官方地址:

下载地址:在页面的中部右边有个红色底的漏白download,按它开始下载.

下载过来,安装,更新,检测出来后再修复.

2.windows

defender

软件(这是徽软出的软件,但操作系统要通过正版认证才能用)

官方下载地址:

它会自动更新查杀的.

使用文件监控可以清除木马程序吗

使用文件监控清除木马程序的方法如下。

1、监控文件创建、删除、修改、移动,实时监控文件动态。

2、新建文件、修改文件的同事对新建的文件、修改的文件进行木马查杀,把木马扼杀在萌芽中。

3、备份修改过的文件,可快速恢复到正常文件内容。

4、告警通知,可以实现邮箱、钉钉、企业微信实现监控文件动态异常及时通知到负责人。

木马病毒怎么清除

木马病毒清除的方法如下:

1、打开360杀毒软件,点击“全盘扫描”,对整个电脑进行全盘杀毒。

2、杀毒完毕以后,关掉杀毒软件即可。

木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。

0条大神的评论

发表评论