本文目录一览:
嵌入式病毒怎么杀
你好朋友,你可以用“360杀毒四引擎版”,“全盘扫描”,病毒木马,再点删除,然后重启系统,用“360安全卫士”的“扫描插件”,然后再“清理插件”,把它删除,然后在进行“系统修复”点“一键修复”,使用“木马查杀”全盘扫描! 希望我的回答对你有帮助。
该怎么办,中了木马病毒,却又无法删除
推荐你用最强的杀木马软件Ewido进行全盘杀毒!卡巴不能解决的问题它都能解决,最好先用优化软件清楚系统垃圾!
在安全模式下保证解决问题
ewido3.5版官方下载地址:
注册码:6617-EBE8-D1FD-FEA2
接着关掉自动更新,每次升级后得再次输入注册码.
安装后先升级病毒库,再运行杀毒!
最好进入安全模式杀毒
教你手动杀毒
这是我N次完善过的绝技呦!
首先最好先用杀毒软件试试去下面的网站下载杀毒软件,如果不行在用绝招不迟(下载的杀毒软件要比正版
的更新慢很多,所以推荐购买正版,如果想少花点钱可以买以前出的瑞星,因为无论是什么时候出的,只要是
没有被盗版:就能升级到最新版本:注意千喜版以前的不行哦)
这个是微点而且是免费的哦
别忘了只可以装一个杀毒软件哦:否则会冲突的!
0,菜鸟必看,如果你找不到病毒文件那么可以试试这个方法,开始-我的电脑-工具-文件夹选项-查看-(选中
)显示所有文件和文件夹,去掉:隐藏受保护的操作系统文件:上的勾,然后同样把:隐藏已知文件类型的扩展
名:上的勾去掉最后点确定OK什么文件都无所遁形了哈哈,
1,问:rundll32这个进程是不是出现了两个就是中木马了?机子比以前慢了
,不一定很多流氓软件也用这个东东加载的,但是也不排除病毒伪装成软件的可能:rundll32本身不是病毒(
瑞星的卡卡上网助手是对付流氓软件的利器可以免费下载)
2,用Windows优化大师之类的软件看看什么程序会在开机时启动(注意高级的病毒可以伪装成系统服务启动
,所以服务也不可放过),如果有:一次点,开始-搜索-输入可疑进程的名字然后搜索,找到后先把内存中的病
毒结束掉,方法是一次按键,Ctrl+Alt+Delete=任务管理器用它把进程结束然后删除文件
3,如果上面的方法不行则可能是由伪装成正常文件再由它释放病毒:所以有时候杀毒软件查不到但是病毒
总是出现,如果遇到这种情况你先不要马上删除病毒,用进程管理看什么进程在占用它,如果无法结束与病
毒相关的进程就打开任务管理器-查看-选择列,在PID上打勾点确定,下面的方法是指DOS命令,点-开始-所
有程序-附件-命令提示符
ntsd -c q -p PID”命令,就可以强行将指定PID的病毒进程杀死了。例如,发现某个病毒进程的PID为“
444”,那么可以执行“ntsd -c q -p 444”命令
4,XP的无敌替换命令:用来对付同时加载多个进程无法删除的一个病毒或多个病毒,哎与上面的不同哦这个
是针对文件的
比如:在C:\下建一个目录,c:\aaa
然后复制一首mp3到c:\aaa并命名为c:\aaa\a.mp3
然后再复制另一首歌到C:\a.mp3
然后用media player 播放c:\aaa\a.mp3
在命令提示符下输入:replace c:\a.mp3 c:\aaa
过一会,是不是播放的歌已变为另一首。
用这个命令来替换系统文件真是太爽了,并且XP的系统文件保护也对它无效。
再也不用到安全模式下去替换文件了
格式
REPLACE [drive1:][path1]filename [drive2:][path2] [/A] [/P] [/R] [/W]
REPLACE [drive1:][path1]filename [drive2:][path2] [/P] [/R] [/S] [/W]
[drive1:][path1]filename 指定源文件。
[drive2:][path2] 指定要替换文件的目录。
/A 把新文件加入目标目录。不能和/S 或 /U 命令行开关搭配使用。
/P 替换文件或加入源文件之前会先提示您进行确认。
/R 替换只读文件以及未受保护的文件。
/S 替换目标目录中所有子目录的文件。不能与 /A 命令选项 搭配使用。
/W 等您插入磁盘以后再运行。
/U 只会替换或更新比源文件日期早的文件。不能与 /A 命令行开关搭配使用
打开记事本-文件菜单-另存为-把文件类型改成所有文件,在文件名处输入与要被替换文件相同的名
字,点保存在用上边的方法就行了。
5,(注意有的病毒为了对付手动杀毒会同时开两个进程,你关一个它就再开一个所以我们可以编辑一个批处
理文件来对付它,
ntsd -c q -p 病毒进程名PID1
ntsd -c q -p 病毒进程名PID2;-----把这两段命令复制到一个文本文件保存为*.BAT双击就OK!)
6,若没有发现可疑进程则该病毒是*.DLL型嵌入式的病毒或木马,一般是svchost.exe 和 explorer.exe发
生关联,用Windows优化大师的Windows进程管理仔细看svchost.exe 和 explorer.exe加载的*.DLL,注意
svchost.exe有很多是系统必须的只有对进程比较了解才能分出svchost.exe上加载的东东,杀
explorer.exe和svchost.exe上加载的毒得先退出explorer.exe或svchost.exe然后删除病毒文件,如果杀
毒后仍然不稳定说明系统被破坏只须修复安装就OK了
Windows XP 常见的进程列表
最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统
就能正常运行)
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
(系统服务)
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
svchost.exe
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减
少)
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表操作。(系统服务)
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务
的一部分。(系统服务)
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000
Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
以下服务很少会用到,上面的服务都对安全有害,如果不是必要的应该关掉
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000
Professional 的能力。(系统服务)
支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及
Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服
务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。
(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统
服务)
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其
它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服
务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制
安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存
储点,以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统
服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系
统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递
到运行在这台计算机上 SNMP 管理程序。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)
7,请注意:注册表中的相关信息最好也尽量弄干净,一般我是用注册表编辑器搜索病毒文件名把对应的东东
删除:可别删错了哦。
最后我要学唐僧多说一句,有句话叫长治久安所以杀毒软件和防火墙:杀毒软件和病毒就象终结者中的未来
战士和钢水关键是看谁捷足先登,补丁和一些必要的设置也是必不可少的。
什么是木马,什么是木马病毒 什么是木马病毒
木马程序是目前比较流行的一类病毒文件,它与一般的病毒不同,它不会自我繁殖,也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行,或以捆绑在网页中的形式,当用户浏览网页时受害。木马程序向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件和隐私,甚至远程操控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;而木马程序则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是毫无价值的。
木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行,电脑就会有一个或几个端口被打开,黑客就可以利用控制端进入运行了服务端的电脑,甚至可以控制被种者的电脑,所以被种者的安全和个人隐私也就全无保障了!
随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003),微软的任务管理器也一下子“脱胎换骨”,变得“火眼金睛”起来 (在Win9X中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切在WinNT中却完全不同,无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能欺骗WinNT的任务管理器),这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机,所以木马的开发者及时调整了开发思路,转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。
要弄清楚什么是动态嵌入式DLL木马,我们必须要先了解Windows系统的另一种“可执行文件”——DLL,DLL是Dynamic Link Library(动态链接库)的缩写,DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑,是由多个功能函数构成,它并不能独立运行,DLL文件一般都是由进程加载并调用的。
因为DLL文件不能独立运行,所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马,并且通过别的进程来运行它,那么无论是入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe),那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能,所以,预防DLL木马也是相当重要的。
在WinNT系统,DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录,里面的文件很多,在里面隐藏当然很方便了),针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车,再输入cd C:\Windows\System32回车,这就转换目录到了System32目录(要还是不知道怎么进入的,请参看DOS的cd命令的使用),输入命令:dir *.exeexebackup.txt dir *.dlldllbackup.txt回车。
这样,我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的方法又查不出问题时,则要考虑是不是系统中已经潜入了DLL木马。
这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中,然后运行 CMD—fc exebackup.txt exebackup1.txtdifferent.txt fc dllbackup.txt dllbackup1.txtdifferent.txt(使用FC命令比较前后两次的DLL和EXE文件,并将结果输入到 different.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。
没有是最好,如果有的话也不要直接删除掉,可以先把它移到回收站里,若系统没有异常反应再将之彻底删除,或者把DLL文件上报给反病毒研究中心检查。
最后,防治木马的危害,专家建议大家应采取以下措施:
第一,安装反病毒软件和个人防火墙,并及时升级。
第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。
第三,使用安全性比较好的浏览器和电子邮件客户端工具。
第四,操作系统的补丁要经常进行更新。
第五,不要随便打开陌生网友传送的文件和下载、使用破解软件。
相信大家只要做好安全防护工作,防治木马并不是那么可怕的。