本文目录一览:
- 1、超级木马病毒求解
- 2、怎样查看木马及病毒文件
- 3、谁能告诉我几款著名的木马病毒
- 4、木马病毒程序有那些
超级木马病毒求解
你把我下面写的东西复制到一个文本下,然后保存为*.reg的格式,然后运行。再改显示隐藏文件就能看到了。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
刚从同学的U盘里面逮到的,oobtwtr.exe和autorun.inf,又是一个恶意的U盘病毒(病毒名随机7位)。我可爱的瑞星又没有报。
oobtwtr.exe特点:
文件大小:24KB
加壳:FSG 2.0 - bart/xt [Overlay]
编写语言:Borland Delphi 6.0 - 7.0
运行oobtwtr.exe后:
在C:\Program Files下生成meex.exe
在C:\Program Files\Common Files\Microsoft Shared\下生成hwxwctd.exe
在C:\Program Files\Common Files\System下生成bhdhsmb.exe
改名C:\WINDOWS\system32\verclsid.exe为verclsid.exe.bak ,删除verclsid.exe
在除C盘外的每个磁盘分区下面生成oobtwtr.exe和autorun.inf
连接网络,下载1A11.exe~10j20.exe释放下列一系列文件后删除自身:
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\cmdbcs.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\mppds.dll
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\upxdnd.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\Kvsc3.dll
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll(注入EXPLORER)
C:\WINDOWS\system32\8H18.dll(注入EXPLORER)
C:\WINDOWS\system32\10J20.dll(注入EXPLORER)
C:\WINDOWS\system32\mydata.exe
C:\WINDOWS\system32\nwizAsktao.exe
C:\WINDOWS\system32\nwizAsktao.dll
C:\Program Files\DLD.DAT
C:\WINDOWS\system32\dllhost32.exe
修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,添加hwxwctd.exe、bhdhsmb.exe、cmdbcs.exe、mppds.exe、upxdnd.exe、Kvsc3.exe进启动项。
关闭安全中心:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
关闭自动更新:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
破坏安全模式:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
IFEO映像劫持:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
……………………
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
使得N多安全工具或者杀毒软件无法运行,并且只要打开只要有病毒、木马字样的窗体,就会被自动关闭,使得清除工作变得困难。
清除工具:SRENG、冰刃、autoruns(全部改名,否则无法运行)
清除办法:
1、打开autoruns,点击映像劫持,把除Your Image……以外的全部删除
2、打开冰刃,点击文件、设置,把禁止进线程创建打上钩,结束hwxwctd.exe,bhdhsmb.exe。选中Explorer.exe右键,模块信息,找到SysWFGQQ2.dll、8H18.dll、10J20.dll,强制解除。
3、接续使用冰刃,点击文件,找到上述生成物所在的地方,删除。
4、打开sreng,
删除启动项,如本例就是删除红色部分。这里补充说明一下,因为这个病毒有很多变种,而且病毒名随机生成,故可先使用sreng查看启动项,再参考本文删除病毒文件。5、点击sreng的系统修复,修复安全模式
怎样查看木马及病毒文件
木马病毒危及我们的电脑安全,那么如何清除木马病毒就成了一个很重要的问题。想删除木马病毒就首先要查找到木马病毒。那么如何查找木马病毒呢?下面我们来看看如何查找木马病毒。 查找木马病毒可以使用软件查找也可以使用手工查找。 使用软件查杀就是我们通常所说的使用杀毒软件进行查杀。常用的防木马病毒的软件有诺顿,瑞星,金山毒霸等。如果只是针对木马的话,也可以使用木马克星之类的软件。使用软件进行查找比较简单,只要升级杀软的病毒库然后点击查杀就可以了。我们这里不再多说。 下面我们来看一下手工查找木马病毒的方法。 启动组、Win.ini、System.ini、注册表等是木马比较爱潜伏的地方。 在win.ini文件中,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,如:run=c:\windows\GAME.exe load=c:\windows\GAME.exe 那么这个GAME.exe 文件就很可疑了。而system.ini文件中,在[boot]字段下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 我们还可以查看一下我们电脑中的启动组,发现可疑的程序的话也很有可能是木马病毒。然后我们清除相应的项就可以了。
谁能告诉我几款著名的木马病毒
“灰鸽子”木马病毒
灰鸽子变种木马运行后,会自我复制到Windows目录下,并自行将安装程序删除。修改注册表,将病毒文件注册为服务项实现开机自启。木马程序还会注入所有的进程中,隐藏自我,防止被杀毒软件查杀。自动开启IE浏览器,以便与外界进行通信,侦听黑客指令,在用户不知情的情况下连接黑客指定站点,盗取用户信息、下载其它特定程序。
“特洛伊”木马病毒
特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。一般而言,大多数特洛伊木马都模仿一些正规的远程控制软件的功能,如Symantec的pcAnywhere,但特洛伊木马也有一些明显的特点,例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中,诱使粗心的用户在自己的机器上运行。最常见的情况是,上当的用户要么从不正规的网站下载和运行了带恶意代码的软件,要么不小心点击了带恶意代码的邮件附件。
大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上,诱使用户运行合法软件。只要用户一运行软件,特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常,特洛伊木马的服务器部分都是可以定制的,攻击者可以定制的项目一般包括:服务器运行的IP端口号,程序启动时机,如何发出调用,如何隐身,是否加密。另外,攻击者还可以设置登录服务器的密码、确定通信方式。
“QQ”木马病毒
qq的间谍软件,用来盗取qq号。
通常是通过某种方式隐藏在你的电脑主机里,
在你输入qq密码时,记录并发信息给下木马的人
木马病毒程序有那些
您好:
木马病毒是比较多的,例如灰鸽子木马病毒、冲击波木马病毒、特洛伊木马病毒等等,如果您的电脑中了木马病毒的话,建议您使用腾讯电脑管家对您的电脑进行一下全面的杀毒吧,打开腾讯电脑管家中的杀毒功能选择闪电查杀或者全盘查杀就可以的哦,腾讯电脑管家是采用“4+1”核“芯”杀毒引擎的专业杀毒软件,是完全可以帮助您查杀病毒而且保护您的电脑的哦。
您可以点击这里下载最新版的腾讯电脑管家:最新版腾讯电脑管家下载
腾讯电脑管家企业平台: