为您找到与怎样删除顽固木马相关的共200个结果:
木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来控制另一台计算机。那么电脑木马病毒如何删除呢?下面由读文网小编给你详细介绍检查删除木马病毒的方法,希望对你有帮助!。下面由读文网小编给你做出详细的检查木马病毒介绍!希望对你有帮助!
好了,用上面的一些方法发现自己的计算机中了木马,那怎么办?当然要将木马删除了,难道还要保留它!首先要将网络断开,以排除来自网络的影响,再选择相应的方法来删除它。
1、由木马的客户端程序
由先前在win.ini、system.ini和注册表中查找到的可疑文件名判断木马的名字和版本。比如“netbus”、“netspy”等,很显然对应的木马就是NETBUS和NETSPY。从网上找到其相应的客户端程序,下载并运行该程序,在客户程序对应位置填入本地计算机地址:127.0.0.1和端口号,就可以与木马程序建立连接。再由客户端的卸除木马服务器的功能来卸除木马。端口号可由“netstat -a”命令查出来。
这是最容易,相对来说也比较彻底载除木马的方法。不过也存在一些弊端,如果木马文件名给另外改了名字,就无法通过这些特征来判断到底是什么木马。如果木马被设置了密码,既使客户端程序可以连接的上,没有密码也登陆不进本地计算机。当然要是你知道该木马的通用密码,那就另当别论了。还有,要是该木马的客户端程序没有提供卸载木马的功能,那么该方法就没什么用了。当然,现在多数木马客户端程序都是有这个功能的。
2、手工
不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、......,那我们就手工慢慢来删除这该死的木马吧。
用msconfig打开系统配置实用程序,对win.ini、system.ini和启动项目进行编辑。屏蔽掉非法启动项。如在win.ini文件中,将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=xxx”,更改为:“shell=Explorer.exe”。
用regedit打开注册表编辑器,对注册表进行编辑。先由上面的方法找到木马的程序名,再在整个注册表中搜索,并删除所有木马项目。由查找到的木马程序注册项,分析木马文件在硬盘中的位置(多在C:WINDOWS和C:WINDOWSCOMMAND目录下)。启动到纯MS-DOS状态(而不是在Windows环境中开个MS-DOS窗口),用del命令将木马文件删除。如果木马文件是系统、隐藏或只读文件,还得通过“attrib -s -h -r”将对应文件的属性改变,才可以删除。
为保险起见,重新启动以后再由上面各种检测木马的方法对系统进行检查,以确保木马的确被删除了。
目前也有一些木马是将自身的程序与Windows的系统程序进行了绑定(也就是感染了系统文件)。比如常用到的Explorer.exe,只要Explorer.exe一得到运行,木马也就启动了。这种木马可以感染可执行文件,那就更象病毒了。由手工删除文件的方法处理木马后,一运行Explorer.exe,木马又得以复生!这时要删除木马就得连Explorer.exe文件也给删除掉,再从别人相同操作系统版本的计算机中将该文件Copy过来就可以了。
浏览量:2
下载量:0
时间:
还在害怕那些顽固电脑病毒危害着电脑吗!不要怕了!读文网小编教你解决方法!下面由读文网小编给你做出详细的清除顽固病毒木马方法介绍!希望对你有帮助!
1、巧用QQ来卸载顽固程序:将QQ安装目录下的unins000.exe文件拷贝到要卸载文件的安装目录,再执行该程序即可!这种办法对于卸载那些反安装程序丢失或者损坏的文件有特效。
2、winamp的卸载程序可以安全卸载大部分应用程序:首先在“我的电脑”找到Winamp安装目录下的UninstWp.exe程序,复制并粘贴到顽固程序所在的文件夹中,双击运行该程序就可以把顽固程序卸载得干干净净了。
3、运用WinRAR卸载顽固程序:通过其地址栏定位到顽固程序所在文件夹,再点工具栏上的“添加”按纽,此时会弹出“档案文件名字和参数”对话框,在“存档选项”中勾选“存档后删除原文件”点击“确定”,等压缩完成后,WinRAR会自动删除顽固软件文件夹,然后手工将刚生成的压缩包删除,一切搞定。
4、微软反间谍软件完美卸载3721程序:首先下载微软反间谍软件MicrosoftAntiSpywareInstall.exe,界面是英文的,文字相当于高中英语水平,慢慢看能懂,安装后按提示升级最新数据库,执行SCAN,后发现100多个3721,CNS*的东西,选择REMOVE,慢慢的微软反间谍软件清除3721,CNS*的东西,再提示重新启动机器;第一次3721还没清除完,在/PROGRAM FILES/下还有3721目录,先卸载网络实名,右键清除开始--程序菜单中的3721条,再运行微软反间谍软件,扫描后发现多个3721,CNS*的东西,但数量比第一次少多了选择,选择REMOVE,清除3721,CNS*的东西,再重新启动机器,这样就彻底清除3721。
5、运用Windows XP附带的Msicuu.exe、Msizap.exe来彻底卸载顽固程序:首先要打开Windows XP安装盘,点“Support Tools”,进入硬盘的Support Tools安装目录(X:Program FilesSupport Tools),找到Msicuu.exe并双击,于是就会弹出一个“Windows Installer Clean Up”窗口,显示当前已安装的所有程序列表。你从中选择顽固程序,然后单击“Rmove”按钮即可卸载。如果以上方法无效,建议你用Msizap.exe来卸载,方法是:打开注册表编辑器,定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionUninstall,在左边项中找到顽固程序的标识(例如{268723B7-A994-4286-9F85-B974D5CAFC7B}),然后依次选择“开始→程序→Windows Support Tools→Command Prompt”命令,在命令提示符后,输入以下命令:msizap T {顽固程序的标识},按回车后即可卸载顽固程序。
6、超级兔子优化王中提供了一个专业卸载功能,可以让你轻松卸载一些常见的顽固软件及IE插件。首先选择优化王下的“卸载软件”功能,然后切换到“专业卸载”选项卡,此处提供了18种软件的卸载功能。超级兔子优化王软件会自动对系统进行检测,若装有该程序的话此处便会显示“已安装”,接着选中要卸载的软件,单击“下一步”就可以把这些程序清理干净,将它们彻底赶出系统。
看了“怎么样清除顽固电脑病毒木马呢”文章的还看了:
浏览量:3
下载量:0
时间:
电脑病毒杀不死,还在危害着我们电脑,那么我们该怎么办呢!下面由读文网小编给你做出详细的杀死顽固病毒木马方法介绍!希望对你有帮助!
1.在Windows中杀毒前首先得中止病毒进程。对于WindowsXp/2000,可以使用任务管理器(Ctrl+Alt+Del三键齐按)来查看当前所有的进程,而对于Windows98/Me,则可以使用“黑客入门工具箱”或ATM来查看进程。确定哪个是来历不明的就停止掉或者看哪个不顺眼就停止哪个,该过程俗称“杀进程”。
不要怕出错,因为不会对电脑造成任何损坏,最多就是死机。注意,杀进程的操作有时得进行两次才成功。有的病毒有两个进程,互相保护,杀掉一个则会被另一个发现并恢复。此时应先把该病毒在注册表中的启动项去掉,然后用突然断电的方式重启电脑,再杀毒。
2.在Windows中使用专杀工具杀毒。得使用最新的杀毒版本。
3.禁用系统还原。在WindowsMe中禁用方法是∶鼠标右键点击“我的电脑”-属性-性能-文件系统-疑难解答-禁止系统还原。在WindowsXP中禁用方法是∶控制面板-系统-系统属性-系统还原-在所有驱动器上关闭系统还原。然后用软盘或U盘启动电脑,在dos下删除_RESTORE文件夹。
4.在Dos下杀毒不存在杀不死的问题。一般的杀毒软件都可以制作软盘版(含至少3张软盘),用第一张盘启动(CMOS中必须设定软盘启动在前)后按提示陆续放入其它盘就可以直接杀毒了。瑞星的软盘版需要用鼠标确定杀毒的驱动器,而金山毒霸的软盘版则默认全机查杀。
实际上用金山毒霸在DOS下杀毒还可以更简单,用普通软盘启动盘或U盘启动盘启动电脑后,先换到C盘,然后进入金山毒霸的目录(命令:cd kav或cd kav5,与版本有关),然后输入KAVDX,回车就开始杀毒了。
5.补充操作。病毒杀死后还应该修复注册表。
看了“杀死顽固病毒木马方法”文章的还看了:
浏览量:2
下载量:0
时间:
读文网小编在这里为大家提供两则小技巧,以便帮你强行杀死“顽固不化”的电脑病毒木马进程。希望对你有用!
上面的方法,只对部分病毒进程有效,遇到一些更“顽固”的病毒进程,可能就无济于事了。此时你可以通过Win2000以上系统的内置命令——ntsd,来强行杀死一切病毒进程,因为该命令除System进程、SMSS.EXE进程、CSRSS.EXE进程不能“对付”外,基本可以对付其它一切进程。但是在使用该命令杀死病毒进程之前,需要先查找到对应病毒进程的具体进程号。
考虑到系统进程列表界面在默认状态下,是不显示具体进程号的,因此你可以首先打开系统任务管理器窗口,再单击“查看”菜单项下面的“选择列”命令,在弹出的设置框中,将“PID(进程标志符)”选项选中,单击“确定”按钮。返回到系统进程列表页面中后,你就能查看到对应病毒进程的具体PID了。
接着打开系统运行对话框,在其中运行“cmd”命令,在命令提示符状态下输入“ntsd -c q -p PID”命令,就可以强行将指定PID的病毒进程杀死了。例如,发现某个病毒进程的PID为“444”,那么可以执行“ntsd -c q -p 444”命令,来杀死这个病毒进程。
看了“杀除顽固不化的电脑病毒木马”文章的还看了:
浏览量:3
下载量:0
时间:
由于正在运行的程序受到Windows保护,所以病毒即使被发现了也经常杀不死,删除不了。怎么办!下面由读文网小编给你做出详细的电脑顽固病毒删除介绍!希望对你有帮助!
1.发现病毒。如用杀毒软件查找,或在任务管理器(Ctrl,Alt,Del三键齐按)中发现可疑程序。
2.点击“开始”,“运行”,填写“regedit”,点击确定,进入注册表编辑器。
3.在注册表中路径HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options里面新建立一个项(随便叫什么),在项内新建一个字串符值,命名为“Debugger”,双击,输入要禁止的文件的路径。
例如,发现进程中有木马或病毒,路径为 C:aaa123.exe,则就在刚建立的Debugger中输入C:aaa123.exe (这里路径斜杠用双斜杠)。
4.关闭注册表编辑器,重新启动电脑。这时病毒无法启动了,然后直接删除就可以了。
当你遇到无法卸载干净的杀毒软件或者其他较为顽固的程序,也可以通过以上办法对其进行禁用。这样可以节省系统资源,并大大缩短计算机的启动时间。
看过“ 电脑顽固病毒删除介绍”人还看了:
浏览量:3
下载量:0
时间:
电脑中了木马病毒,可有些木马病毒删除不了怎么办?下面是读文网小编整理的一些关于怎么强制删除无法删除的木马的相关资料,供你参考。
rmdir /s/q E:vhostXXXXwebUploadFiles
这意思是告诉计算机,把磁盘驱动器 D 的123资料夹里面的abc资料夹中的所有东西全部删除,同时也不要再问我是否要删除。
浏览量:3
下载量:0
时间:
手机出现顽固木马杀不掉?手机顽固木马是相对于手机病毒更为难以清除的一种病毒形式,我们如果想要彻底清除掉手机的顽固木马需要耗费一定的手段。但是狡猾的黑客们并不是那么容易对付的,制作出了更为难缠的顽固木马隐藏在手机中,很多人对于这种病毒都非常苦恼,不知道应该如何彻底的将这种病毒清理掉,那么,我们如何清理掉手机顽固木马有保护我们的手机呢,下面小编就简单的介绍一下。
安装顽固木马专杀
1顽固木马专杀是腾讯手机管家新版本的新杀毒功能,首先,我们可以通过腾讯手机管家的主页面进入到相关的功能界面中,点击进入到腾讯手机管家主页面。
2 点击当前页面最上的功能按钮后,我们会进入到腾讯手机管家的工具添加界面,在当前页面我们可以看到诸多相关的功能,找到顽固木马专杀进行添加。
通过当前页面的添加功能,我们可以将顽固木马专杀工具安装到我们的手机中,如下图所示,点击当前页面的安装功能按钮,进入到顽固木马专杀的安装界面。
1安装完成此项功能后,我们可以通过顽顽固木马专杀的按钮开启顽固木马专杀,进入到相关的主页面,在当前页面我们可以通过点击最下方的扫描功能按钮。
2 腾讯手机管家的顽固木马专杀在点击扫描功能按钮后,会对我们的手机进行全面的功能扫描,扫面完成后如果有病毒建议立即清理,完成后我们可以点击关于按钮查看我们的顽固木马专杀的相关详情。
大多手机病毒都是通过短信和彩信的方式来传播,只要你打开短信或者彩信,并且点击了某一链接之后,就极有可能感染手机病毒。而近期出现的超级病毒,就是以“XX神奇”软件作为伪装,引诱用户下载病毒软件并无端狂发短信。因此平时如果我们受到来路不明的短信、彩信,千万不要打开,应当立即删除(即使是熟人发来的也要留心)。
随着手机功能的逐渐强大,手机客户端的应用软件越来越多。只要我们进入应用市场,就可以随意下载到我们所要的软件。因此,在下载软件时,要多个心眼,最好从手机供应商和供应处下载可靠软件。
有些恶意网站本身就携带许多病毒,用户一进去就很有可能使手机感染。平时最好浏览一些比较正规、有名的网站,那些没有听说过的,以各种噱头引诱用户浏览的网站,极有可能是携带病毒的。
浏览量:2
下载量:0
时间:
最近小编了解到有一些用户在win8系统中删除某些文件时提示“你需要权限来执行操作,你需要权限才能对文件夹进行更改”(如图所示),重试也无法对文件进行删除,出现这种权限而无法删除顽固文件又该如何解决呢?其实我们还可以利用系统自带的命令来删除这些顽固文件,一起来看看给大家带来的删除技巧吧。
WIN8系统删除文件没有权限,利用命令删除其实就可以很好地解决了,这和win7 64位旗舰版是有区别的,具体的操作步骤如下所示:
1、鼠标移动到左下方开始的地方,然后点击右键右键,在弹出的菜单里面直接选中“命令提示符(管理员)“选项。
2、用cd命令进入自己想要删除文件夹的上一层目录(比如C:/Program Files/iTools),接着就可以试用del命令删除。
3、发现del命令无效之后,就直接换用rd命令删除,这样一来一般都是可以删除成功的。
删除某些文件时需要权限才能执行操作,我们可以利用教程的命令来进行删除,如果用户在删除文件的过程中也遇到同样问题,不妨按照教程的命令技巧来删除。
浏览量:2
下载量:0
时间:
今天读文网小编要跟大家讲解下电脑中了顽固木马删不掉的解决方法,下面就是读文网小编为大家整理到的资料,请大家认真看看!
使用腾讯电脑管家
如果说木马是可恶的,那么顽固木马就是可恶到无可救药的一种病毒,让人非常的怨烦!很多人中了顽固木马后,如果反复不能清除,都会选择直接重装系统,但是往往发现,即使重装系统,也无法将电脑中的顽固木马病毒给彻底清除,那么如果遇到了电脑中的顽固木马,到底应该如何有效的清除呢?今天就和大家介绍一些办法。
【进入PE模式杀毒】
1,对于整天的安全模式来说,很多小伙伴肯定都会说,我早就会了,那么如果安全模式下解决不掉的病毒,在PE模式下肯定是能检测到的,我们需要先打开百度,搜索【U盘启动】
2,搜索完成后,会出现很多U盘启动器制作工具,任意选择一个进行下载,然后趁着这个时间,小伙伴们就赶快的去准备一个U盘吧
3,准备好U盘后,连接到电脑上,注意不要用USB3.0的接口,然后用U盘启动器制作工具,制作成U盘启动器,不要拔出来,重启电脑
4,在重启电脑的时候,不停按F2,进入BIOS,然后选择到BOOT这个选项,在里面可以找到FIRST BOOT,也就是第一启动项,设置为USB开头的,然后按F10保存重启就可以进入PE了
【PE模式开始杀毒】
1,进入了PE模式后,下一步自然可以开始杀毒了,操作方法和普通模式下一样,先打开浏览器,搜索下载杀毒软件,比如说腾讯电脑管家,打开后找到【杀毒】选项
2,打开杀毒分类下的选项后,点击右上角选择杀毒模式,这种情况我建议去选择【全盘查杀】,然后进行病毒检测后,直接把顽固木马删除掉就可以了。
浏览量:2
下载量:0
时间:
不少用户的电脑都会遇到过一些顽固的文件,怎么删除都删不了。对于这种情况该怎么办呢?下面读文网小编就为大家介绍一下具体的解决方法吧,欢迎大家参考和学习。
常见的故障发生在删除一个AVI文件的时候。因为Windows有一个预读机制,预读会使文件处于被使用状态,所以无法删除。解决方法有很多:
a)关闭全部资源管理器,使用命令del或rd删除文件或目录(推荐);
b)删除注册表中下面这个键值:
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{87D62D94-71B3-4b9a-9489-5FE6850DC73E}InProcServer32。建议导出备份这个注册键值,以便以后需要时复原;
c)进入DOS命令窗口,运行:REGSVR32 /U SHMEDIA.DLL注销掉预读功能;
d)使用“Windows传统风格的文件夹”查看方式(文件夹选项--任务下面选择)
e)使用能浏览本地文件的第三方工具,如FlashFXP、CuteFTP等,进行删除。
浏览量:3
下载量:0
时间:
在互联网飞速发展的时代里,电脑病毒同样也在发展,那么你们知道怎么删除插入式木马吗?下面是读文网小编整理的一些关于怎么删除插入式木马的相关资料,供你参考。
一、通过自动运行机制查木马
一说到查找木马,许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”,具体的地方一般有以下几处:
(1)注册表启动项
在“开始/运行”中输入“regedit.exe”打开注册表编辑器,依次展开[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion]和[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion]查看下面所有以Run开头的项,其下是否有新增的和可疑的键值, 也可以通过键值所指向的文件路径来判断,是新安装的软件还是木马程序。另外[HKEY_LOCAL_MACHINESoftwareclassesexefileshellopencommand]键值也可能用来加载木马,比如把键值修改为“X:windowssystemABC.exe %1%”。
(2)系统服务
有些木马是通过添加服务项来实现自启动的,大家可以打开注册表编辑器,在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices]下查找可疑键值,并在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices]下查看的可疑主键。然后禁用或删除木马添加的服务项:在“运行”中输入“Services.msc”打开服务设置窗口,里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找到木马所启动的服务,双击打开它,把启动类型改为“已禁用”,确定后退出。也可以通过注册表进行修改,依次展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices服务显示名称”键,在右边窗格中找到二进制值“Start”,修改它的数值数,“2”表示自动,“3”表示手动,而“4”表示已禁用。当然最好直接删除整个主键,平时可以通过注册表导出功能,备份这些键值以便随时对照。
(3)开始菜单启动组
现在的木马大多不再通过启动菜单进行随机启动,但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项,可以右击它选择“查找目标”到文件的目录下查看一下,如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看,它的位置为[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders]键名为Startup。
(4)系统INI文件Win.ini和System.ini
系统INI文件Win.ini和System.ini里也是木马喜欢隐蔽的场所。选择“开始/运行”,输入“msconfig”调出系统配置实用程序,检查Win.ini的[Windows]小节下的load和run字段后面有没有什么可疑程序,一般情况下“=”后面是空白的;还有在System.ini的[boot]小节中的Shell=Explorer.exe后面也要进行检查。
(5)批处理文件
如果你使用的是Win9X系统,C盘根目录下“AUTOEXEC.BAT”和WINDOWS目录下的“WinStart.bat”两个批处理文件也要看一下,里面的命令一般由安装的软件自动生成,在系统默认会将它们自动加载。在批处理文件语句前加上“echo off”,启动时就只显示命令的执行结果,而不显示命令的本身;如果再在前面加一个“@”字符就不会出现任何提示,以前的很多木马都通过此方法运行。
二、通过文件对比查木马
新出现的木马主程序成功加载后,会将自身作为线程插入到系统进程中,然后删除系统目录中的病毒文件和病毒在注册表中的启动项,以使反病毒软件和用户难以查觉,然后它会监视用户是否在进行关机和重启等操作,如果有,它就在系统关闭之前重新创建病毒文件和注册表启动项。下面的几招可以让它现出原形(下面均以Win XP系统为例):
(1)对照备份的常用进程
大家平时可以先备份一份进程列表,以便随时进行对比查找可疑进程。方法如下:开机后在进行其他操作之前即开始备份,这样可以防止其他程序加载进程。在运行中输入“cmd”,然后输入“tasklist /svc >X:processlist.txt”(提示:不包括引号,参数前要留空格,后面为文件保存路径)回车。这个命令可以显示应用程序和本地或远程系统上运行的相关任务/进程的列表。输入“tasklist /?”可以显示该命令的其它参数。
(2)对照备份的系统DLL文件列表
对于没有独立进程的DLL木马怎么办吗?既然木马打的是DLL文件的主意,我们可以从这些文件下手,一般系统DLL文件都保存在system32文件夹下,我们可以对该目录下的DLL文件名等信息作一个列表,打开命令行窗口,利用CD命令进入system32目录,然后输入“dir *.dll>X:listdll.txt”敲回车,这样所有的DLL文件名都被记录到listdll.txt文件中。日后如果怀疑有木马侵入,可以再利用上面的方法备份一份文件列表“listdll2.txt”,然后利用“UltraEdit”等文本编辑工具进行对比;或者在命令行窗口进入文件保存目录,输入“fc listdll.txt listdll2.txt”,这样就可以轻松发现那些发生更改和新增的DLL文件,进而判断是否为木马文件。
(3)查看可疑端口
所有的木马只要进行连接,接收/发送数据则必然会打开端口,DLL木马也不例外,这里我们使用netstat命令查看开启的端口。我们在命令行窗口中输入“netstat -an”显示出显示所有的连接和侦听端口。Proto是指连接使用的协议名称,Local Address是本地计算机的IP地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的IP地址和端口号,State则是表明TCP连接的状态。Windows XP所带的netstat命令比以前的版本多了一个-O参数,使用这个参数就可以把端口与进程对应起来。输入“netstat /?”可以显示该命令的其它参数。接着我们可以通过分析所打开的端口,将范围缩小到具体的进程上,然后使用进程分析软件,例如卡卡助手和瑞星个人防火墙。
(4)对照已加载模块
频繁安装软件会使system32目录中的文件发生较大变化,这时可以利用对照已加载模块的方法来缩小查找范围。在“开始/运行”中输入“msinfo32.exe”打开 “系统信息”,展开“软件环境/加载的模块”,然后选择“文件/导出”把它备份成文本文件,需要时再备份一个进行对比即可。
看过文章“怎么删除插入式木马"
浏览量:4
下载量:0
时间:
在互联网飞速发展的时代里,电脑病毒同样也在发展,那么你们知道DLL木马怎么删除吗?下面是读文网小编整理的一些关于DLL木马怎么删除的相关资料,供你参考。
一,从DLL木马的DLL文件入手,我们知道system32是个捉迷藏的好地方,许多木马都削尖了脑袋往那里钻,DLL马也不例外,针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一个记录:运行CMD--转换目录到system32--dir *.exe>exeback.txt& dir *.dll>dllback.txt,这样所有的EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中,日后如发现异常但用传统的方法查不出问题时,则要考虑是不是系统中已经潜入DLL木马了.这是我们用同样的命令将system32下的EXE和DLL文件记录到另外的exeback1.txt和dllback1.txt中,然后运行CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.(用FC命令比较前后两次的DLL和EXE文件,并将结果输入到diff.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。没有是最好,如果有的话也不要直接DLL掉,我们可以先把它移到回收站里,若系统没有异常反应再将之彻底删除或者提交给杀毒软件公司。
二、上文也曾提到一些系统关键进程是这类木马的最爱,所以一旦我们怀疑系统已经进驻了DLL木马,我们当然要对这些关键进程重点照顾了,怎么照顾?这里推荐一个强大的脱壳工具工具Procedump.exe他可以帮您看出进程到底调用了那些DLL文件(如图1)但是由于有的进程调用的DLL文件非常多,使得靠我们自己去一个核对变的不太现实,所以我们会用到一个shotgun写的NT进程/内存模块查看器ps.exe,用命令ps.exe /a /m >nowdlls.txt将系统目前调用地所有DLL文件地名称保存到nowdlls.txt,然后我们再用fc将之于事先备份dllback.txt比较一下,这样也能够缩小排查范围。
三、还记得木马的特征之一端口么?所有的木马只要进行连接,只要它接受/发送数据则必然会打开端口,DLL木马也不例外,这也为我们发现他们提供了一条线索,我们可以使用foundstone的进程端口查看工具Fport.exe来查看与端口对应的进程,这样可以将范围缩小到具体的进程,然后结合Procedump来查找DLL木马就比较容易了.当然有如上文提到的有些木马会通过端口劫持或者端口重用的方法来进行通信,139、80、1443、等常见端口则是木马的最爱。因为即使即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026ControllerIP:80ESTABLISHED 的情况,稍微疏忽一点,您就会以为是自己在浏览网页(防火墙也会这么认为的)。所以光看端口还不够,我们要对端口通信进行监控,这就是第四点要说的。
四、我们可以利用嗅探器来了解打开的端口到底在传输些什么数据。通过将网卡设为混杂模式就可以接受所有的IP报文,嗅探程序可以从中选择值得关注的部分进行分析,剩下的无非是按照RFC文档对协议进行解码。这样就可以确定木马使用的端口。
五、通常说道查杀木马我们会习惯性地到注册表碰碰运气,以前可能还蛮有效的,但如果碰到注册为系统服务的木马(原理:在NT/2K/XP这些系统中,系统启动时会加载指定的服务程序)这时候检查:启动组/注册表/autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等文件就发现不了丝毫的异样,这时候我们就应该查看一下系统服务了:右击我的电脑--管理--服务和应用程序--服务,这时您会看到100多个服务,,当然如果您以前曾经用导出列表功能对服务备份过,则用文件比较的方法会很容易发现哪些是外来客,这时您可以记录下服务加载的是那个文件,然后用Resource Kits里提供的srvinstw.exe来移除该服务并清除被加载的文件。
通过以上五步,基本能发现并清除狡猾的动态嵌入式DLL木马了,也许您也发现如果适当地做一些备份,会对我们的查找木马的过程有很大的帮助,当然也会减轻不少工作的压力
看过文章“DLL木马怎么删除"
浏览量:2
下载量:0
时间:
电脑顽固软件怎么卸载?这是不少朋友经常会问起的一个问题,下面读文网小编就以360安全卫士强力删除为出发点,为大家带来一招卸载电脑顽固软件的办法,欢迎大家参考和学习。
1、360安全卫士主界面右上角-设置-高级设置,之后在文件上点右键用强力删除。
强力删除
2、这个功能也在工作中经常遇到哦,遇到按常规方法删不掉的文件,使用360强制删除就可以解决啦!
360强力删除
3、点击确定就可以卸载该文件。
文件粉碎机
360强力删除软件的方法,除了以上的方法外,还可以直接点击软件或文件,右键选择360强力删除就可以了,还可以粉碎文件,保护自己的隐私,不被还原。360强制删除软件的方法就是这么简单。
360安全卫士强力删除电脑顽固软件办法小编就为大家介绍到这里了,希望对大家有所帮助!
浏览量:2
下载量:0
时间:
经常上网的你可能都遇到过发现木马病毒却无法杀掉的情况,其实并不是杀毒软件无能,而是病毒和木马总是先杀毒软件一步,病毒和木马技术也是也是计算机行业最先进的技术代表,如果杀毒软件没有检测过或者收到过这个木马病毒的样本,并且这个木马或者病毒的行为和之前的木马和病毒不一样,那么杀毒软件就不会有对策,比方说将自己隐藏在系统进程里,并且没有特殊的的条件不予激活,那么这个木马或者病毒就看起来是一个安分守己的程序。这就是很多时候实际上我们的电脑并不干净,虽然用杀毒软件没有发现木马或病毒。
但是,有时候,我们确实会遇到能够查到木马病毒却无法删除的情况。这种主要是四种原因:
1、木马或者病毒文件绑架了程序的核心进程或文件,杀毒软件无法下手(此种情况居多,若下手就有可能造成误杀,并且很多杀毒和安全类软件对于系统默认程序和常见的程序都是信任和放行的);
2、木马或病毒禁止了杀毒软件的某些核心进程或已将杀毒软件禁用;(此种情况也不少,不少木马程序对于国内的杀毒软件就是这么干的,甚至木马悄悄禁止了杀毒软件的运行)
3、杀毒软件收到了这种病毒的样本,却还没有找到解决的办法;
4、杀毒软件的主动防御机制发现了这个文件的异常行为,但却符合以上3条中的某一条,杀毒软件无法下手;
上面的木马杀不掉,提示处理失败
上面这些木马杀不完,每次扫描都有
但是,对于用户的我们如果真的遇到这种查到病毒无法清除的情况怎么办?
对于那些隐藏的比较深的木马或病毒,只有靠对计算机的熟悉程度,经常关注系统的进程来发现;
对于那些能够查到但无法清除的情况反而比较好办了,你可以试试有图小站给你提供的以下方法。
1、使用木马病毒专杀工具试试。既然能查到病毒的名称,不妨搜索一下是否有专杀软件,金山和瑞星喜欢出专杀工具,360也有不错的木马专杀工具。
2、更换一个杀毒软件。如果当前你的杀毒软件遇到了杀不掉的木马病毒,建议你暂停或卸掉当前的杀毒软件,然后安装其他的杀毒软件试试,特别是比较严格的卡巴斯基或者nod32,更新到最新的病毒库查杀一下试试。很多杀毒软件都可以可以免费试用,遇到棘手的病毒和木马,多个杀毒软件交叉查杀是一个常用的方法。
3、手工查杀。比较麻烦,慢慢看。
第一步、查找木马病毒文件。
启动计算机后,按Ctr+Alt+Del或右键单击 任务栏 空白处,选择 任务管理器 ,找到进程,看到可疑进程在网上查一下来历,如果嫌疑身份没有排除,就查找位置,如果在windows目录下或者Windows/system32目录下,就更可疑了,如果碰巧和我们杀毒软件查到的是同一个文件,那就可以确信无疑了。记录下他们的详细位置,后面用得到。
第二步、去掉木马病毒自动运行。
如果是Windows Xp、vista、windows7可以 在开始菜单 运行 栏输入 msconfig ,进入启动项管理,如果找不到运行,可以按键盘上的windows徽标小旗帜加 R 键,只留下杀毒软件进程,或者更彻底一些,你可以将所有的对勾都去掉。
第三步、删除木马病毒。
重新启动计算机按F8进入安全模式,逐个寻找在第一步中记录的病毒文件位置,逐个删除(特别提醒:删除有可能造成不测,请慎重,对文件要确认是高度嫌疑文件之后再删除),如果无法删除,可以尝试使用attrib命令在命令行去掉文件各种属性,然后就可以删除了。
第四步、善后工作。
1)、重新启动计算机,如果提示有什么文件找不到,进入注册表(regedit),查找这些文件名称,逐个清空。注意,不是删除相关的项目,而是清空和这些文件相关的项目,例如如果病毒文件绑架核心进程 explorer.exe 那么在注册表中就会在相关的explorer.exe后面加上病毒的名称,以随explorer的启动而自动启动,我们需要清除的是和病毒有关的内容,但不能将explorer的值也清除掉,这样会造成无法见到桌面。
2)、进入启动项msconfig,将原来正常的进程重新打勾。
3)、重新扫描计算机。
以上木马病毒清除方法只对计算机熟悉者有效,不熟悉者请勿模仿,以免给你带来不便。特别是注册表和文件删除,一不小心就可能造成无法启动。经常上网的你可能都遇到过发现木马病毒却无法杀掉的情况,其实并不是杀毒软件无能,而是病毒和木马总是先杀毒软件一步,病毒和木马技术也是也是计算机行业最先进的技术代表,如果杀毒软件没有检测过或者收到过这个木马病毒的样本,并且这个木马或者病毒的行为和之前的木马和病毒不一样,那么杀毒软件就不会有对策,比方说将自己隐藏在系统进程里,并且没有特殊的的条件不予激活,那么这个木马或者病毒就看起来是一个安分守己的程序。这就是很多时候实际上我们的电脑并不干净,虽然用杀毒软件没有发现木马或病毒。
但是,有时候,我们确实会遇到能够查到木马病毒却无法删除的情况。这种主要是四种原因:
1、木马或者病毒文件绑架了程序的核心进程或文件,杀毒软件无法下手(此种情况居多,若下手就有可能造成误杀,并且很多杀毒和安全类软件对于系统默认程序和常见的程序都是信任和放行的);
2、木马或病毒禁止了杀毒软件的某些核心进程或已将杀毒软件禁用;(此种情况也不少,不少木马程序对于国内的杀毒软件就是这么干的,甚至木马悄悄禁止了杀毒软件的运行)
3、杀毒软件收到了这种病毒的样本,却还没有找到解决的办法;
4、杀毒软件的主动防御机制发现了这个文件的异常行为,但却符合以上3条中的某一条,杀毒软件无法下手;
木马病毒杀不掉.jpg
上面的木马杀不掉,提示处理失败
上面这些木马杀不完,每次扫描都有
但是,对于用户的我们如果真的遇到这种查到病毒无法清除的情况怎么办?
对于那些隐藏的比较深的木马或病毒,只有靠对计算机的熟悉程度,经常关注系统的进程来发现;
对于那些能够查到但无法清除的情况反而比较好办了,你可以试试有图小站给你提供的以下方法。
1、使用木马病毒专杀工具试试。既然能查到病毒的名称,不妨搜索一下是否有专杀软件,金山和瑞星喜欢出专杀工具,360也有不错的木马专杀工具。
2、更换一个杀毒软件。如果当前你的杀毒软件遇到了杀不掉的木马病毒,建议你暂停或卸掉当前的杀毒软件,然后安装其他的杀毒软件试试,特别是比较严格的卡巴斯基或者nod32,更新到最新的病毒库查杀一下试试。很多杀毒软件都可以可以免费试用,遇到棘手的病毒和木马,多个杀毒软件交叉查杀是一个常用的方法。
3、手工查杀。比较麻烦,慢慢看。
第一步、查找木马病毒文件。
启动计算机后,按Ctr+Alt+Del或右键单击 任务栏 空白处,选择 任务管理器 ,找到进程,看到可疑进程在网上查一下来历,如果嫌疑身份没有排除,就查找位置,如果在windows目录下或者Windows/system32目录下,就更可疑了,如果碰巧和我们杀毒软件查到的是同一个文件,那就可以确信无疑了。记录下他们的详细位置,后面用得到。
第二步、去掉木马病毒自动运行。
如果是Windows Xp、vista、windows7可以 在开始菜单 运行 栏输入 msconfig ,进入启动项管理,如果找不到运行,可以按键盘上的windows徽标小旗帜加 R 键,只留下杀毒软件进程,或者更彻底一些,你可以将所有的对勾都去掉。
第三步、删除木马病毒。
重新启动计算机按F8进入安全模式,逐个寻找在第一步中记录的病毒文件位置,逐个删除(特别提醒:删除有可能造成不测,请慎重,对文件要确认是高度嫌疑文件之后再删除),如果无法删除,可以尝试使用attrib命令在命令行去掉文件各种属性,然后就可以删除了。
第四步、善后工作。
1)、重新启动计算机,如果提示有什么文件找不到,进入注册表(regedit),查找这些文件名称,逐个清空。注意,不是删除相关的项目,而是清空和这些文件相关的项目,例如如果病毒文件绑架核心进程 explorer.exe 那么在注册表中就会在相关的explorer.exe后面加上病毒的名称,以随explorer的启动而自动启动,我们需要清除的是和病毒有关的内容,但不能将explorer的值也清除掉,这样会造成无法见到桌面。
2)、进入启动项msconfig,将原来正常的进程重新打勾。
3)、重新扫描计算机。
以上木马病毒清除方法只对计算机熟悉者有效,不熟悉者请勿模仿,以免给你带来不便。特别是注册表和文件删除,一不小心就可能造成无法启动。
浏览量:1
下载量:0
时间:
我们在使用LINUX操作系统的时候,总会遇见一些顽固的文件怎么都删除不了.那怎么办呢?不用急,下面读文网小编就给大家说说解决方法.
首先找到要删除的文件,并且无法删除的文件,我这边是创建一个无法删除的文件 。
创建完之后查看是否有这个文件
发现有这个文件之后,尝试用rm命令删除这个文件,
发现无法删除,查看文件是i节点,1721422是我创建的这个文件的i节点
通过这个命令来删除这个-abc文件
6再次查看发现文件已经被删除了
是不是很简单呢~快跟着读文网小编一起学习吧!!!如果觉得这篇文章不错的话就给读文网小编点一个赞吧。
浏览量:2
下载量:0
时间:
删除系统顽固文件方法:
1.注销或重启后,再删;
2.进入安全模式或用启动软盘(光盘)启动进入纯DOS,删除;
3.如果是删除文件夹,从里往外删,即先进入该文件夹,删除里面所有内容,然后再返回上一层目录,删除该文件夹;
4.用Windows优化大师等的文件粉碎机删除;
5.Win2000/XP系统以管理员身份登录,再执行删除操作;
6.如果系统是WinXP,关闭系统还原,再删;
7.对于大文件,特别是压缩包文件,关闭杀毒软件的实时监控后,再删;
8.注销掉预读功能再删,方法:开始→运行,输入regsvr32 /u shmedia.dll,确定。重启后再删。完了再运行一下regsvr32 shmedia.dll,恢复注册;
9.用WinRAR删除,打开WinRAR,点“添加”,选中要删除的文件,在“设置”下点选“压缩后删除源文件”,压缩完成后把压缩文件也删除。
10.先对该文件所在分区进行磁盘扫描,扫描前选中“自动修复文件和扇区”,完成后再删;
11.打开命令提示符窗口,然后再打开任务管理器,结束“Explorer.exe”进程,在命令提示符窗口进入该文件所在目录,用Del命令删除,完了在任务管理器中点“文件”→新建任务→浏览→找着C:WINDOWSExplorer.exe,点“确定”即可;
12.Win2000/XP系统,清除页面文件再删除。方法:系统属性→高级→性能设置→高级→虚拟内存更改→把页面文件大小设为“无分页文件”,重启后进行删除。然后恢复原来的页面文件。
浏览量:1
下载量:0
时间:
欢迎大家来到读文网,本文为大家讲解怎样删除顽固文件夹,欢迎大家阅读借鉴。
第一类:
“引用了一个不可用的位置”或者“无法读取源文件”,可以改为正常使用文件夹;也许你的文件夹是一个非法文件名,别问怎么建立的,但就是建立出来了,比如以点结尾点文件夹或者含有/*等字符的,现在教你删除:
因为在建立目录的时候使用了保留路径名的缘故,所以删除的时候必须得使用Windows 的另外一种路径命名方式。所谓保留路径名,就是在目录名中包含有以下字符的路径名称: com,con,aux,nul等
要删除这些目录,你首先需要知道它的目录的具体名称, 假设你的目录在"d:empcon4 " 因为一些目录还可能包含有空格。你知道了路径的全名后,就可以使用下面的方法删除目录了:Dos下用命令 rmdir /s /q "\?d:empcon4 " 注意:目录名后的引号是必须的,因为有空格存在,如果你的目录在别的逻辑分区上,可以相应的更改d:为别的盘符。
第二类:
“拒绝访问”(可能是你重装系统后的毛病),或者是合并分区之后不能打开的文件夹,可以按一下方法删除:也许你可以省一步骤:下文中第3步提到的“将所有者更改为”不必改,仍选原用户,继续以后步骤就可以了。
1、以具有管理员权限的用户登录XP,在XP中打开资源管理器,选择菜单“工具|文件夹选项”,打开“文件夹选项”对话框。在对话框中单击“查看”选项卡,取消复选框“使用简单共享”。
2、右键单击原来设为专用的文件夹,如“i386-sp2”,从弹出菜单中选择“属性”,这时会看到在对话框中多出一个“安全”选项卡。可以看到这里有一个未知帐户,这应该就是原来XP系统中的那个帐户吧。这个帐户是能够访问该文件夹的,可问题是我们现在已经不能使用这个帐户。所以要另想办法。
3、单击图2所示对话框中的“高级”按钮,弹出“i386-sp2的高级安全设置”对话框,显示目前该项目的所有者为刚才看到的未知帐户。选择“将所有者更改为”你现在使用的用户名称,然后单击“应用”按钮,所有者就改变为现在用户了。
4、单击上述对话框中的“权限”选项卡,单击“添加”按钮。然后在“选择用户或组”对话框中单击“高级”按钮,再单击“立即查找”按钮,这时就会在下方列出本机中的用户或组。选择要给予权限的用户。
5、连续单击两次“确定”按钮,直到出现“i386-sp2的权限项目”对话框。在“权限”中的“完全控制”右侧选择“允许”复选框,则就会取得对该文件夹所有的控制权。单击“确定”按钮。
6、连续单击确定,直到关闭所有对话框。这样,原有的专用文件夹就可以使用现在的用户访问了。如果还遇到不能打开文件或文件夹的问题,再试着改一下它们的只读属性,或者在如图4所示对话框中修改“有效权限”。对于个别仍然打不开的文件,可以尝试单独修改其权限。
小结:
造成重装XP后某些文件或文件夹不能访问的原因,主要是在重装之前对文件或文件夹设置了访问权限或进行了加密。本文的解决办法是使用管理员身份登录,然后修改这些文件或文件夹的访问权限,使得当前用户能够完全控制它们。
大家知道,在给文件或者文件夹起名字的时候,名字里不能包含有/:*?"<>|等符号,否则windows是无法识别的,当然在windows下也是不可能进行这样的起名操作,但是,在dos下用md命令就可以创建一个包含这些符号的文件夹,比如md 1.. 就会建立一个名字为1..的文件夹,这样的文件夹在dos和windows下显示均为1. ,让人误认为这个文件夹名字就是1. ,所以在windows下无法对1.这个文件夹进行删除和改名,在dos下也不能用rd 1.来删除,要想删除只能在dos下输入rd 1..才可以(请不要在dos下向里面拷贝东西,否则就麻烦了)。上面说的这些其实就是网上介绍的一个加密文件的方法,大家可能都看过,我今天要说的并不是教你怎样加密文件夹,而是介绍你一个删除疑难文件夹的方法:
本人电脑上就有这么一个疑难文件夹,不记得是安装什么软件时出现的,位置在e:lprn,是个隐藏属性的,可以向里面拷贝文件,也可以拷贝出来,但就是无法删除和改名,也不能修改其隐藏的属性,用其他工具软件也清理不掉,最后在dos下也试过均失败,最后无奈,在运行里输入cmd进入命令提示符状态,输入路径e:1 ,输入rd prn回车,提示目录名无效,接着输入rd prn..仍然无效,继续输入rd prn.也是无效,继续努力,我的思路是要把所有这些无法识别的符号都试试,当第四次输入rd prn回车时,文件夹被成功删除了,回到windows窗口下,查看prn果然不在了,这时文件夹1也就能顺利删除了,原来果真是符号搞的鬼。
在对1..和prn这两个非法文件名的对比中还发现一个现象,在windows下prn文件夹可以打开并可以拷贝文件进入,而1..文件夹不能双击打开,会提示“引用了一个不可用的位置……”,而且用鼠标右键点击1..(注意显示的是1.)并粘贴文件时,又会出现另一个文件夹1,这时1..和1均可以打开,而且里面同时出现刚拷贝进来的文件。再分别对其删除时还有奇怪的事情发生,不说了,后面说起来像绕口令,估计你也会越看越糊涂的,呵呵。
这个思路也许会帮你解决一些问题,如果你电脑上也有这样无法删除的文件夹,不妨也按照上面的方法试试看。如果你有兴趣也可以继续延伸……
浏览量:2
下载量:0
时间:
这篇电脑存在顽固木马病毒怎么查杀是读文网小编特地为大家整理的,希望对大家有所帮助!
【简易步骤】:
【360安全卫士】—【功能大全】—【360系统急救箱】—【开始急救】
【解决方案:】:
【360安全卫士】—【功能大全】—【360系统急救箱】—【开始急救】。
相关阅读:
Trojan Horse(特洛伊木马)
Trojan Horse经常也被仅仅称为Trojan,是一种声称做一件事情而实际上做另外一件事情的程序。不是总是破坏性的或者恶意的,它们常常与侦测文件、重写硬盘驱动器之类的事情有关,或者被用于为攻击者提供一个系统的远程访问权限。经典的木马包括作为游戏文件传送的键盘记录器或者伪装成有用应用程序的文件删除者。木马可以用于多种目的,包括:
远程访问(有时称为远程访问工具或RAT’s或者后门)
键盘记录于盗取密码(大部分间谍软件属于此类)
Virus(病毒)
病毒是一种通过拷贝自身或者准确地说以一种改进的形式进入其他一段可执行代码中的程序。病毒可以使用很多类型的宿主,最常见的一些是:
可执行文件(例如您的计算机上的程序)
引导扇区(告诉您的计算机从那里找到用于“引导”或者开启的代码部分)
脚本文件(例如Windows脚本或者Visual Basic脚本)
宏文件(这种现在非常少见了,因为宏在例如微软Word程序中不会默认执行)
当一个病毒把自身嵌入了其他可执行代码中时,这就保证了当其他代码运行时它也运行,并且病毒会通过在每次运行的时候搜索其他“干净”宿主的方式传播。有些病毒会重写原始文件,有效地破坏它们,但是很多仅仅是简单地插入成为宿主程序的一部分,因此两者都能幸存。取决于它们的编码方式,病毒可以通过许多系统文件、网络共享文件、文档里和磁盘引导区里传播。尽管某些病毒通过电子邮件传播,但是这样并不能使它们成为病毒,并且事实上,大多数在电子邮件中传播的东西实际上是蠕虫。要成为一个病毒,这个代码只需要去复制,它不需要造成很多损害,或者甚至不需要广泛地传播(参看Payload)。
浏览量:2
下载量:0
时间: