本文目录一览:
- 1、木马是什麽?详细症状?解决方法?
- 2、什么是木马病毒?
- 3、木马病毒是个什么东西
- 4、木马病毒是什么危害有哪些
- 5、电脑管家经常提示下列文件是木马病毒,不知是否可以删除?czchkhlpr.dll
木马是什麽?详细症状?解决方法?
目前国内木马病毒共分为五大类别,主要以网络为依托进行病毒传播,偷取用户隐私资料是其主要目的。这些木马病毒多具有引诱性与欺骗性,属于今年病毒新的危害趋势。
2004年中国地区危害最为严重的十种木马病毒数据来源于金山毒霸全球反病毒网络、和金山毒霸全国木马病毒情报站,以及毒霸运营部门和线上反病毒部门联合统计而来。统计时间从2003年12月份至2004年9月。
金山反病毒专家指出,随着家庭数字娱乐行业的迅速普及,宽带化小区、电信在数字通讯网络上建设力度进一步加大,人们的网络应用方向开始扩展;网络游戏、即时通讯聊天、宽带视频等进入寻常百姓家。与此同时,新型病毒开始通过各种网络渗透,呈现了新的传播方式和破坏方式。
电脑病毒频发的特征及原因
病毒分析数据显示,目前电脑病毒多以欺骗手段进行传播,比如MSN病毒,以“想看漂亮视频MM吗”等作为诱导,至使全国接近30万人中了MSN病毒。在十一国庆节前夕,图片病毒突然出现,也是打着美女、色情图片为旗号,造成了新一轮电脑安全隐患。
各种应用系统的漏洞也是造成病毒泛滥的主要原因之一。病毒通过个人电脑的操作系统漏洞进入用户计算机中。特别是今年危害严重的木马病毒,会随着电子邮件、即时通讯工具(MSN、QQ等)、网页浏览等方式感染用户电脑,而多数病毒都是利用了操作系统的漏洞。比如说,系统漏洞就像给了木马病毒一把钥匙,使它能够很轻易在电脑中埋伏下来,而木马病毒又会欺骗用户伪装成“好人”,达到其偷取隐私信息的险恶目的。
从金山反病毒中心三个季度累计数据分析来看,网络蠕虫病毒占了9个月来病毒总数的平均28%以上,而木马病毒占了57%,其它混合型病毒占了15%。总的来看,木马病毒增长非常之快。值得注意的是,混合型病毒给用户制造出了大麻烦。金山毒霸反病毒专家对于各种邮件当中隐藏的木马病毒表示出强烈担忧,因为电子邮件很轻易就会把木马病毒传送到世界上任何一个地方。嵌入式网页木马病毒也成为一种快速的传播渠道,病毒制造者通过诱使用户点击网页链接传播病毒,往往体现在比如邮件、即时通讯消息栏内出现,“这里的美女真多”、“快来看看呀,她(他)已等你很久了…..”再加上一段链接地址。用户如果点击就很可能会中病毒。
相关数据显示,目前木马病毒数量增长非常快,反病毒专家表示现阶段的重点工作是防止木马病毒所造成的社会负面影响。因为,木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今,针对以上各种现象的危害越来越多,木马病毒已成为威胁数字娱乐的大敌。
根据木马病毒的特点与其危害范围,木马病毒又分为以下五大类别:针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。
一、网游木马病毒:2004年,大量针对网络游戏的木马病毒涌现,主要原因是网络游戏产业超高速发展,网上虚拟装备交易非常火爆!然而,一些别有用心的病毒者开始把目光盯在这一安全性比较薄弱的环节,用户如果中了针对网络游戏的木马病毒,它会盗取用户帐号后,并立即将帐号中的游戏装备转移,再由木马病毒使用者卖出这些盗取的游戏装备而获利。如今,甚至有不怀好意者,干脆以制作木马为职业。
二、网银木马病毒:网银木马专门针对网络银行攻击,采用记录键盘和系统动作的方法盗取网银的帐号和密码,并发送到作者指定的邮件,直接导致用户的经济损失。目前通过网络银行的犯罪行为已经开始出现,今年某一大学生利用网络偷取到网络银行用户60多万人民币,还试图用钱贿赂办案警察,但是其最终受到了法律的严惩。
三、即时通讯木马病毒:可以利用即时通讯工具(比如:QQ、MSN)进行传播。中毒后,可能导致用户的经济损失。中了木马后电脑会下载病毒作者指的任意程序,其危害不可确定。会造成恶作剧,比如“MSN我要结婚”病毒,中毒者会向联系人发送“我今天要结婚”的恶作剧消息。
四、后门木马病毒: 在网络中被恶意者大量传播。病毒本身不具有传播的功能,都是被恶意者种植。该木马病毒采用反弹端口技术绕过防火墙,对被感染的系统进行远程文件和注册表的操作,可以捕获被控制的电脑的屏幕, 可远程重启和关闭计算机, 可以禁用系统热键和注册表编辑器,中了该木马后,被感染的系统将完全暴露于黑客手中。
五、广告木马病毒:此类木马采用各种技术隐藏于系统内,修改IE等网页浏览器的主页,禁多种系统功能,收集系统信息发送给传播广告木马的网站。更恶毒的是修改网页定向,导致一些正常的网站不能登录。最近闹的沸沸扬扬的MSN病毒就是这种木马病毒,它诱使点击一个可执行文件导致了937个网站不能正常访问。
该分析认为,这五大类木马病毒构成了木马的主要类别,其中,网游木马病毒占到木马病毒总数的32%以上,网银木马占到7%,即时通讯木马占了23%,广告木马占了24%,后门木马占了14%。从危害极别来看,网游木马危害最为严重,其次是广告木马也包含恶作剧程序,再次是即时通讯木马,接下来危害也比较大的是后门木马病毒,排在最后一位的是网银木马。
危害最为严重的木马病毒如下:
QQ 狩猎者(Troj.QQmsg)
网银大盗A(Troj.KeyLog.a)
MSN小尾巴(Worm.MSNFunny)(注:MSN小尾巴同时具有蠕虫和木马特点)
传奇男孩(Troj.MirBoy)
剑侠幽灵(Troj.JXGhost.a)
安哥(Hack.AgoBot)
灰鸽子(Hack.Huigezi
蜜峰大盗(Troj.Mifeng)
黑洞 (Hack.BlackHole、Hack.HeiDong)
记事本幽灵(Win32.Troj.Axela.w)
如果不是"explorer.exe",那么那个文件就是木马程序,把它查找出来,删除。 保存退出system.ini 打开win.ini文件
在[WINDOWS]下面有个run= 如果你看到=后面有路径文件名,必须把它删除。 正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。 保存退出win.ini。 OK
7. AttackFTP 清除木马的步骤: 打开win.ini文件 在[WINDOWS]下面有load=wscan.exe 删除wscan.exe
,正确是load= 保存退出win.ini。 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Reminder="wscan.exe /s" 关闭Regedit,重新启动到MSDOS系统中 删除C:\windows\system\
wscan.exe OK
8. Back Construction 1.0 - 2.5 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的"C:\WINDOWS\Cmctl32.exe" 关闭Regedit,重新启动到MSDOS系统中 删除C:\WINDOWS\Cmctl32.exe OK
9. BackDoor v2.00 - v2.03 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的'c:\windows\notpa.exe /o=yes' 关闭Regedit,重新启动到MSDOS系统中
删除c:\windows\notpa.exe 注意:不要删除真正的notepad.exe笔记本程序 OK
10. BF Evolution v5.3.12 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的(Default)=" " 关闭Regedit,再次重新启动计算机。 将C:\windows\system\ .exe(空格exe文件) OK
11. BioNet v0.84 - 0.92 + 2.21 0.8X版本是运行在Win95/98 0.9X以上版本有运行在Win95/98
和WinNT上两个软件 客户-服务器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑 NT被感染的系统完全一样。
清除木马的步骤: 首先准备一张98的启动盘,用它启动后,进入c:\windows目录下,用attrib libupd~1. exe -h
命令让木马程序可见,然后删除它。 抽出软盘后重新启动,进入98下,在注册表里找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
的子键WinLibUpdate = "c:\windows\libupdate.exe -hide" 将此子键删除。
12. Bla v1.0 - 5.03 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除右边的Systemdoor
= "C:\WINDOWS\System\mprdll.exe" 关闭Regedit,重新启动计算机。
查找到C:\WINDOWS\System\mprdll.exe和 C:\WINDOWS\system\rundll.exe
注意:不要删除C:\WINDOWS\RUNDLL.EXE正确文件。 并删除两个文件。 OK
13. BladeRunner 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 可以找到System-Tray
= "c:\something\something.exe" 右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要
的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。 重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。
14. Bobo v1.0 - 2.0 清除木马v1.0 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的DirrectLibrarySupport ="C:\WINDOWS\SYSTEM\Dllclient.exe" 关闭Regedit,重新启动计算机。
DEL C:\Windows\System\Dllclient.exe OK 清除木马v2.0 打开注册表Regedit 点击目录至:
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/ ICQ
3 100种木马的手工清除方法
Accel是一个“假象“的主键,选中ICQ Accel主键并把它删除。 重新启动计算机。OK
15. BrainSpy vBeta 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 右边有 ??? =
"C:\WINDOWS\system\BRAINSPY .exe" ???标签选是随意改变的。 关闭Regedit,重新启动计算机
查找删除C:\WINDOWS\system\BRAINSPY .exe OK
16. Cain and Abel v1.50 - 1.51 这是一个口令木马 进入MS-DOS方式 查找到C:\windows\msabel32.exe
并删除它。OK
17. Canasson 清除木马的步骤: 打开WIN.INI文件 查找c:\msie5.exe,删除全部主键 保存win.ini 重新启动计算机
删除c:\msie5.exe木马文件 OK
18. Chupachbra 清除木马的步骤: 打开WIN.INI文件 [Windows]的下面有两个行 run=winprot.exe
load=winprot.exe 删除winprot.exe run= load= 保存Win.ini,再打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的'System
Protect' = winprot.exe 重新启动Windows 查找到C:\windows\system\ winprot.exe,并删除。 OK
19. Coma v1.09 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的'RunTime'
= C:\windows\msgsrv36.exe 重新启动Windows 查找到C:\windows\ msgsrv36.exe,并删除。 OK
20. Control 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的Load MSchv
Drv = C:\windows\system\MSchv.exe 保存Regedit,重新启动Windows
查找到C:\windows\system\MSchv.exe,并删除。 OK
21. Dark Shadow 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\RunServices
删除右边的winfunctions="winfunctions.exe" 保存Regedit,重新启动Windows 查找到C:\windows\system\ winfunctions.exe,并删除。 OK
22. DeepThroat v1.0 - 3.1 + Mod (Foreplay) 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 版本1.0
删除右边的项目'System32'=c:\windows\system32.exe 版本2.0-3.1 删除右边的项目'SystemTray' =
'Systray.exe' 保存Regedit,重新启动Windows 版本1.0删除c:\windows\system32.exe 版本2.0-3.1
删除c:\windows\system\systray.exe OK
23. Delta Source v0.5 - 0.7 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的项目:DS
admin tool = C:\TEMPSERVER.exe 保存Regedit,重新启动Windows 查找到C:\TEMPSERVER.exe,并删除它。 OK
24. Der Spaeher v3 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run 删除右边的项目:explore
= "c:\windows\system\dkbdll.exe " 保存Regedit,重新启动Windows
删除c:\windows\system\dkbdll.exe木马文件。 OK --
25. Doly v1.1 - v1.7 (SE) 清除木马V1.1-V1.5版本:
这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到Win.ini项目。
首先,进入MS-DOS方式,删除三个木马程序,但V1.35版本多一个木马文件mdm.exe。 把下列各项全部删除:
C:\WINDOWS\SYSTEM\tesk.sys C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe
c:\Program Files\MStesk.exe c:\Program Files\Mdm.exe 重新启动Windows。 接着,打开win.ini文件
--------
4 100种木马的手工清除方法
找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目,删除路径,改变为load= 保存win.ini文件。
最后,修改注册表Regedit 找到以下两个项目并删除它们
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Ms tesk =
"C:\Program Files\MStesk.exe" 和
HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run Ms tesk =
"C:\Program Files\MStesk.exe"
再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss
这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。 关闭保存Regedit。 还有打开C:\AUTOEXEC.BAT文件,删除 @echo
off copy c:\sys.lon c:\windows\StartMenu\Startup Items\ del c:\win.reg
关闭保存autoexec.bat。 OK
清除木马V1.6版本: 该木马运行时,将不能通过98的正常操作关闭,只能RESET键。彻底清除步骤如下: 1.打开控制面板——添加删除程序——删除memory
manager 3.0,这就是木马程序,但 是它并不会把木马的EXE文件删除掉。
2.用98或DOS启动盘启动(用RESET键)后,转入C:\,编辑AUTOEXEC。BAT,把如下内容 删除: @echo off copy
c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe del c:\win.reg
保存AUTOEXEC。BAT文件并返回DOS后,在C:\根目录下删除木马文件: del sys.lon del
windows\startm~1\programs\startup\mdm.exe del progra~1\mdm.exe
3.抽出软盘重新启动,进入98后,把c:\program files\目录下的memory manager 目录 删除。 清除木马V1.7版本:
首先,打开C:\AUTOEXEC.BAT文件,删除 @echo off copy c:\sys.lon
c:\windows\startm~1\programs\startup\mdm.exe del c:\win.reg 关闭保存autoexec.bat
然后打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
找到c:\windows\system\mdm.exe路径并删除这个项目 点击目录至:
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到"C:\windows\system\kernal32.exe"路径并删除这个项目 关闭保存Regedit。重新启动Windows。
最后,删除以下木马程序: c:\sys.lon c:\iecookie.exe c:\windows\start
menu\programs\startup\mdm.exe c:\program files\mdm.exe c:\windows\system\mdm.exe
c:\windows\system\kernal32.exe 注意:kernal32是A OK
75. Revenger v1.0 - 1.5 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:AppName ="C:\...\server.exe" 关闭保存Regedit,重新启动Windows
在c:\windows查找相应的木马程序server.exe,并删除 OK
76. Ripper 清除木马的步骤: 打开system.ini文件 将shell=explorer.exe sysrunt.exe 改为shell=
explorer.exe 关闭保存system.ini,重新启动Windows 在c:\windows查找相应的木马程序sysrunt.exe,并删除 OK
77. Satans Back Door v1.0 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:sysprot protection ="C:\windows\sysprot.exe" 关闭保存Regedit,重新启动Windows
删除C:\windows\sysprot.exe OK
78. Schwindler v1.82 清除木马的步骤: 打开注册表Regedit 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:User.exe = "C:\WINDOWS\User.exe" 关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\User.exe OK
79. Setup Trojan (Sshare) +Mod Small Share 这个共享隐藏C盘的木马 清除木马的步骤: 打开注册表Regedit
也可以用杀毒软件杀除
什么是木马病毒?
什么是木马- -
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等
从对基本的地方了解木马
端口
你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。黑客不是神仙,他也是通过端口进入你的电脑。
黑客是怎么样进入你的电脑的呢?当然也是基于TCP/IP协议通过某个端口进入你的个人电脑的。如果你的电脑设置了共享目录,那么黑客就可以通过139端口进入你的电脑,注意!WINDOWS有个缺陷,就算你的共享目录设置了多少长的密码,几秒钟时间就可以进入你的电脑,所以,你最好不要设置共享目录,不允许别人浏览你的电脑上的资料。除了139端口以外,如果没有别的端口是开放的,黑客就不能入侵你的个人电脑。那么黑客是怎么样才会进到你的电脑中来的呢?答案是通过特洛伊木马进入你的电脑。如果你不小心运行了特洛伊木马,你的电脑的某个端口就会开放,黑客就通过这个端口进入你的电脑。举个例子,有一种典型的木马软件,叫做netspy.exe。如果你不小心运行了netspy.exe,那么它就会告诉WINDOWS,以后每次开电脑的时候都要运行它,然后,netspy.exe又在你的电脑上开了一扇“门”,“门”的编号是7306端口,如果黑客知道你的7306端口是开放的话,就可以用软件偷偷进入到你的电脑中来了。特洛伊木马本身就是为了入侵个人电脑而做的,藏在电脑中和工作的时候是很隐蔽的,它的运行和黑客的入侵,不会在电脑的屏幕上显示出任何痕迹。WINDOWS本身没有监视网络的软件,所以不借助软件,是不知道特洛伊木马的存在和黑客的入侵。接下来,你可以利用软件--
如何发现自己电脑中的木马
再以netspy.exe为例,现在知道netspy.exe打开了电脑的7306端口,要想知道自己的电脑是不是中了netspy.exe,只要敲敲7306这扇“门”就可以了。你先打开C:\WINDOWS\WINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是10.10.10.10),然后打开浏览器,在浏览器的地址栏中输入 ,如果浏览器告诉你连接不上,说明你的电脑的7306端口没有开放,如果浏览器能连接上,并且在浏览器中跳出一排英文字,说的netspy.exe的版本,那么你的电脑中了netspy.exe木马了。这是最简单最直接的办法,但是需要你知道各种木马所开放的端口,已知下列端口是木马开放的:7306、7307、7308、12345、12345、12346、31337、6680、8111、9910。但是就算你熟悉了所有已知木马端口,也还是不能完全防范这些木马的,我们需要--
进一步查找木马
曾经做了一个试验:我知道netspy.exe开放的是7306端口,于是我用工具把它的端口修改了,经过修改的木马开放的是7777端口了,你现在再用老办法是找不到netspy.exe木马了。于是我们可以用扫描自己的电脑的办法看看电脑有多少端口开放着,并且再分析这些开放的端口。
前面讲了电脑的端口是从0到65535为止,其中139端口是正常的,首先找个端口扫描器,推荐“代理猎手”,你上网以后,找到自己的IP地址,现在请关闭正在运行的网络软件,因为可能开放的端口会被误认为是木马的端口,然后让代理猎手对0到65535端口扫描,如果除了139端口以外还有其他的端口开放,那么很可能是木马造成的。 排除了139端口以外的端口,你可以进一步分析了,用浏览器进入这个端口看看,它会做出什么样的反映,你可以根据情况再判断了。
扫描这么多端口是不是很累,需要半个多小时傻等了,现在好了,我汉化了一个线程监视器,Tcpview.exe可以看电脑有什么端口是开放的,除了139端口以外,还有别的端口开放,你就可以分析了,如果判定自己的电脑中了木马,那么,你就得--
在硬盘上删除木马
最简单的办法当然是用杀毒软件删除木马了,Netvrv病毒防护墙可以帮你删除netspy.exe和bo.exe木马,但是不能删除netbus木马。
下面就netbus木马为例讲讲删除的经过。
简单介绍一下netbus木马,netbus木马的客户端有两种,开放的都是12345端口,一种以Mring.exe为代表(472,576字节),一种以SysEdit.exe为代表(494,592字节)。Mring.exe一旦被运行以后,Mring.exe就告诉WINDOWS,每次启动就将它运行,WINDOWS将它放在了注册表中,你可以打开C:\WINDOWS\REGEDIT.EXE进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run找到Mring.exe然后删除这个健值,你再到WINDOWS中找到Mring.exe删除。注意了,Mring.exe可能会被黑客改变名字,字节长度也被改变了,但是在注册表中的位置不会改变,你可以到注册表的这个位置去找。另外,你可以找包含有“netbus”字符的可执行文件,再看字节的长度,我查过了,WINDOWS和其他的一些应用软件没有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的变种。SysEdit.exe被运行以后,并不加到WINDOWS的注册表中,也不会自动挂到其他程序中,于是有人认为这是傻瓜木马,笔者倒认为这是最最可恶、最最阴险的木马。别的木马被加到了注册表中,你就有痕迹可查了,就连专家们认为最最凶恶的BO木马也可以轻而易举地被我们从注册表中删除。而SysEdit.exe要是挂在其他的软件中,只要你不碰这个软件,SysEdit.exe也就不发作,一旦运行了被安装SysEdit.exe的程序,SysEdit.exe也同时启动了。笔者在自己的电脑中做了这样一个实验,将SysEdit.exe和C:\WINDOWS\SYSTEM\Abcwin.exe捆绑起来,Abcwin.exe是智能ABC输入法,当我开启电脑到上网,只要没有打开智能ABC输入法打字聊天,SysEdit.exe也就没有被运行,你就不能进入我的12345端口,如果我什么时候想打字了,一旦启动智能ABC输入法(Abcwin.exe),那么捆绑在Abcwin.exe上的SysEdit.exe也同时被运行了,我的12345端口被打开,别人就可以黑到我的电脑中来了。同样道理,SysEdit.exe可以被捆绑到网络传呼机、信箱工具等网络工具上,甚至可以捆绑到拨号工具上,电脑中的几百的程序中,你知道会在什么地方发现它吗?所以我说这是最最阴险的木马,让人防不胜防。
有的时候知道自己中了netbus木马,特别是SysEdit.exe,能发现12345端口被开放,并且可以用netbus客户端软件进入自己的电脑,却不知道木马在什么地方。这时候,你可以检视内存,请打开C:\WINDOWS\DRWATSON.EXE,然后对内存拍照,查看“高级视图”中的“任务”标签,“程序”栏中列出的就是正在运行的程序,要是发现可疑的程序,再看“路径”栏,找到这个程序,分析它,你就知道是不是木马了。SysEdit.exe虽然可以隐藏在其他的程序后面,但是在C:\WINDOWS\DRWATSON.EXE中还是暴露了。
好了,来回顾一下,要知道自己的电脑中有没有木马,只要看看有没有可疑端口被开放,用代理猎手、Tcpview.exe都可以知道。要查找木马,一是可以到注册表的指定位置去找,二是可以查找包含相应的可执行程序,比如,被开放的端口是7306,就找包含“netspy”的可执行程序,三是检视内存,看有没有可以的程序在内存中。
你的电脑上的木马,来源有两种,一种是你自己不小心,运行了包含有木马的程序,另一种情况是,“网友”送给你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再运行,安装容易排除难呀。排除了木马以后,你就可以监视端口--
悄悄等待黑客的来临
介绍两个软件,首先是NukeNabber,它是端口监视器,你告诉NukeNabber需要监视7306端口,如果有人接触这个端口,就马上报警。在别人看来,你的电脑的7306端口是开放的,但是7306不是由netspy控制了,当NukeNabber发现有人接触7306端口或者试图进入你的7306端口,马上报警,你可以在NukeNabber上面看到黑客对你做了些什么,黑客的IP地址是哪里,然后,你就可以反过来攻击黑客了。当NukeNabber监视139的时候,你就可以知道谁在用IP炸弹炸你。另外提一下,如果NukeNabber告诉你不能监视7306端口,说这个端口已经被占用了,那么说明你的电脑中存在netspy了。第二个软件就是Tcpview.exe,这个软件是线程监视器,你可以用它来查看有多少端口是开放的,谁在和你通讯,对方的IP地址和端口分别是什么。
木马病毒是个什么东西
“木马”全称是“特洛伊木马(Trojan Horse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,:),“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。
在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了
木马病毒是什么危害有哪些
木马病毒是指通过特定的程序(木马程序)来控制另一台计算机。那么你对木马病毒了解多少呢?以下是由我整理关于什么是木马病毒的内容,希望大家喜欢!
木马病毒的详细含义
“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有
两个可执行程序:一个是客户端,即控制端;另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
木马病毒的原理
一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。
特洛伊木马程序不能自动操作, 一个特洛伊木马程序是包含或者安装一个存心不良的程序的, 它可能看起来是有用或者有趣的计划(或者至少无害)对一不怀疑的用户来说,但是实际上有害当它被运行。特洛伊木马不会自动运行,它是暗含在某些用户感兴趣的文档中,用户下载时附带的。当用户运行文档程序时,特洛伊木马才会运行,信息或文档才会被破坏和遗失。特洛伊木马和后门不一样,后门指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。
特洛伊木马有两种,universal的和transitive的,universal就是可以控制的,而transitive是不能控制,刻死的操作。
木马病毒的特征
特洛伊木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小,运行时不会浪费太多资源,因此没有使用杀毒软件是难以发觉的,运行时很难阻止它的行动,运行后,立刻自动登录在系统引导区,之后每次在Windows加载时自动运行,或立刻自动变更文件名,甚至隐形,或马上自动复制到其他文件夹中,运行连用户本身都无法运行的动作。
木马病毒的危害
1、盗取我们的网游账号,威胁我们的虚拟财产的安全
木马病毒会盗取我们的网游账号,它会盗取我们帐号后,并立即将帐号中的游戏装备转移,再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。
2、盗取我们的网银信息,威胁我们的真实财产的安全
木马采用键盘记录等方式盗取我们的网银帐号和密码,并发送给黑客,直接导致我们的经济损失。
3、利用即时通讯软件盗取我们的身份,传播木马病毒等不良信息
中了此类木马病毒后,可能导致我们的经济损失。在中了木马后电脑会下载病毒作者指定的程序任意程序,具有不确定的危害性。如恶作剧等。
4、给我们的电脑打开后门,使我们的电脑可能被黑客控制
如灰鸽子木马等。当我们中了此类木马后,我们的电脑就可能沦为肉鸡,成为黑客手中的工具。
木马病毒的防御
木马查杀(查杀软件很多,有些病毒软件都能杀木马)
防火墙(分硬件和软件)家里面的就用软件好了,如果是公司或其他地方就硬件和软件一起用。
基本能防御大部分木马,但是的软件都不是万能的,还要学点专业知识,有了这些,你的电脑就安全多了。高手也很多,只要你不随便访问来历不明的网站,使用来历不明的软件(很多盗版或破解软件都带木马,这个看你自己 经验 去区分),还要及时更新系统漏洞,如果你都做到了,木马,病毒。就不容易进入你的电脑了。
电脑管家经常提示下列文件是木马病毒,不知是否可以删除?czchkhlpr.dll
这种情况可以进入U盘pe下,直接删除这个dll文件。
然后进入系统后在使用电脑管家杀毒,看看是否已经没有这个病毒了。
DLL文件开机就会随着启动,所以在正常情况下是无法删除的。