本文目录一览:
特洛伊病毒属于木马病毒吗?
属于!!!!!
病毒简介:病毒名称:BackDoor.NetBus.20(2)
病毒类型是:特洛伊木马程序
病毒简介:该特洛伊程序并不是NetBus家族中的一个插件程序,它具有黑客攻击性质的独立特征,能够控制远程机器。此木马具有卸载功能,一旦中了该木马,可以使用卸载功能或删除文件来达到清除木马的目的。
BackDoor.Zemac.100
病毒名称:BackDoor.Zemac.100
病毒类型是:特洛伊木马程序
病毒简介:此木马是一个黑客工具,能够允许远程用户访问被感染的机器,同时它还会收集用户信息,并通过Internet将信息发往远端用户。所幸的是,该木马代码中存在一个bug,导致它无法正常工作。
病毒名称:Trojan.Anita
病毒类型:木马程序
病毒简介:该木马程序能够打开游览器、关闭某些文件、修改WIN,INI文件,并连接某个站点,同时打开许多窗口。它是用Delphi语言进行编码的,但危害性不大。
面对这些可恶的病毒,我还是有办法的。安装木马克星吧,在3721里有得下!!!
特洛伊木马病毒
病毒名称:
Trojan-PSW.Win32.OnLineGames.jbo
病毒类型:
木马类
文件
MD5:
1B414FF11AD77F8D2C1740AECFDD5E0A
公开范围:
完全公开
危害等级:
3
文件长度:
17,408
字节
感染系统:
Windows98以上版本
工具:
Microsoft
Visual
C++
6.0
加壳类型:无
二、病毒描述:
该病毒为木马类,病毒运行后,复制自身到系统目录下,病毒文件,以批处理文件删除自身。
添加启动项,以达到随机启动的目的。该病毒由于已出现大量的生成机,因此生成一个同种病毒特别容易,这也使其大量的被生成,再加互联网的快速传播,使其在中国大陆已形成了一个木马分支――网游盗号木马类;可以盗取用户帐号
号与密码。
三、行为分析:
1、
文件运行后会释放以下文件
%WINDIR%\cmdbcs.exe
%system32%\cmdbcs.dll
2、
新建注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]
注册表值:"
cmdbcs
"
类型:
REG_SZ
值:
"
C:\WINDOWS\cmdbcs.exe
"
描述:添加启动项,以达到随机启动的目的
3、释放cmdbcs.dll进驻内存,尝试插入下列进程中:
EXPLORER.EXE
IEXPLORER.EXE
应用程序进程
4、cmdbcs.dll插入进程后可以访问该进程资源,记录该进程中的敏感资料;例如帐号与密码
5、检测窗口标题为AVP的窗体,瑞星的警告窗体,如果检测到则关闭。当病毒添加注册表启动项时,如果弹出瑞星注册表监控,则自动允许并关闭监控窗体。具有反查杀能力。
注释:
%Windir%
WINDODWS所在目录
%DriveLetter%
逻辑驱动器根目录
%ProgramFiles%系统程序默认安装目录
%HomeDrive%
当前启动系统所在分区
%Documents
and
Settings%
当前用户文档根目录
%Temp%
当前用户TEMP缓存变量;路径为:
%Documents
and
Settings%\当前用户\Local
Settings\Temp
%System32%
是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
四、
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:
。
2、手工清除请按照行为
分析除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址:
或
。
(1)
使用安天木马防线或ATool中的“进程管理”关闭病毒进程
强行卸载cmdbcs.dll
(2)
强行删除病毒文件
%WINDIR%\cmdbcs.exe
%system32%\cmdbcs.dll
(3)
恢复病毒修改的注册表项目,删除病毒添加的注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]
注册表值:"
cmdbcs
"
类型:
REG_SZ
值:
"
C:\WINDOWS\cmdbcs.exe
"
怎样可以知道自已的电脑有没有中特洛伊木马病毒?
只要你觉得自己上网的网速长时间变慢.和以前比起来变慢了.差不多就中了.同时你可以下载木马的清除工具.定时查找,看你是不是中了已知木马
最难查出来的就是新木马,和木马变种,这些木马因为还没来得及破解和大范围发放补丁.所以难以查出
C盘中了特洛伊木马病毒,重装系统后病毒还是存在
总重装系统确实是一种很不负责任的办法 但确实很管用的方法而且省事些 尤其现在一键还原软件已经很流行,就更方便了,可是现在做病毒的人也意识到这一点,通过一些技术让我们重装系统也不能解决问题,先是吧病毒文件植入其他盘 再是把病毒植入一键还还原的gho文件 到现在的侵入系统还原文件 确实很让人恼火 你可以试试显示所有文件 在C盘外的盘的根目录下看看有没有 多余的 类似病毒的文件 把他删掉 然后看看System Volume Information 这个文件夹 如果你是关闭了windows的系统还原功能的 那么这个文件夹应该是空的 不过用一键还原的人应该都用不到windows的这个功能了 也就是说如果不是空的 能清空就清空 不行的话就在安全模式下清空 之后在试试还原了有没有毒 如果再有 就的怀疑一下你的GHO文件了 直接重新安装一个新的系统吧
有特洛伊这种病毒吗?
有!Trojan.Dropper为特洛伊病毒
危害性:中等危害
病毒特性:它会显示伪装的“被感染”信息,并尝试下载一个假的“间谍软件”扫描器;伪装的“被感染”信息怂恿用户下载这个软件。它是大小为39,936字节的Win32可运行程序,并能够被Win32.DlMersting 病毒变体下载。
危害:监听HTTP请求修改系统设置使系统修复功能失效下载并运行任意文件
清除: KILL安全胄甲Vet 11.x/9265版本可检测/清除此病毒。
如何识别:
Trojan.Dropper.Arar
Trojan.Dropper.Arar.a
Trojan.Dropper.Agent.b
Trojan.Dropper.Arar.c
Trojan.Dropper.Arar.d
Trojan.Dropper.Arar.e
WINDOWS下的木马程序
启动后会从体内资源部分释放出病毒文件,并且显示一个消息框“MSVCVB60.dll not foun”用以迷惑中毒者
Trojan.Dropper.BlastIT.a
Trojan.Dropper.BlastIT.a.enc
Trojan.Dropper.BlastIT.c
WINDOWS下的木马程序 一个文件绑定器。
Trojan.Dropper.Cjgb.10
Trojan.Dropper.Cjgb.10.enc
WINDOWS下的木马程序 exe文件捆绑器
Trojan.Dropper.Delf.be
Trojan.Dropper.Delf.be.enc
WINDOWS下的木马程序
一个被绑定木马的文件,该病毒运行后将释放3个文件到system目录,并启动这些文件。
Trojan.Dropper.DJOINER.10
Trojan.Dropper.DJOINER.10.enc
可以将病毒程序和正常的应用程序捆绑成一个程序.此程序启动的时候会释放出病毒程序和正常的程序,用正常的程序来掩盖病毒.
Trojan.Dropper.Dmexe.10
Trojan.Dropper.Dmexe.10.enc
一个exe绑定器,可以绑定多个exe文件。
Trojan.Dropper.EXEBINDER.B
Trojan.Dropper.ExeBinder.b.enc
可以将病毒程序和正常的应用程序捆绑成一个程序.此程序启动的时候会释放出病毒程序和正常的程序,用正常的程序来掩盖病毒.
解决方法:
1、断网,重启,按住F8,进入安全模式,关闭系统还原(xp/me)
2、清空所有临时文件位置:系统盘/Documents and Settings/用户名(默认安装为admin...)/Local Settings(这是个隐含文件,设置显示所有文件,包括受到系统保护的操作系统文件的勾去掉)/temp(系统临时文件夹,里面全部清空)
旁边的Temporary Internet Files(ie临时文件夹,一样清空)
3、用认识它的杀毒软件扫描,最好是最新病毒库的
4、遇到处理不了的文件,记住位置路径,生辰八字,
5、用刚才的生辰八字到全部盘符中搜索一下,避免漏网之鱼。没有那个杀毒软件认识所有的东东的。
6、用杀毒软件报告的病毒文件为搜索条件到注册表中搜索,有就看看路径是否指向刚才病毒文件位置,是就删除,不放心,先把注册表备份一下。
7、删除杀毒软件报告的不能处理的文件,实际就是病毒文件。也可以直接用瑞星(其他杀毒软件一样)自己的注册表清理工具扫描一下。(要解压查杀的,一般就是在压缩包,临时文件夹,系统还原文件中)
8、重启,到win状况在扫描,
9、最后直接到微软去,让比尔帮打系统补丁。
