木马病毒产生exe文件(EXE文件夹病毒变种)
我U盘中了个脚本木马,每次自动生成.exe文件,格式化也不能清除,各位电脑高手有没有办法解决?
我中过这种毒,U盘专杀不管用,你现在的电脑里有没有杀毒软件?没有的话先告诉你一个临时的解决方法.
ctrl+ alt+ del 调出 任务管理器 查看进程,把那个带数字的进程结束,然后把电脑设置成显示所有隐藏文件。对了,把启动项里面的类似13b522的东西,每个电脑显示得不一样,把它也删除掉。
这个病毒就是把所有的U盘里的文件夹全部隐藏,然后生成一个伪装的应用程序,就是*.exe。你显示所有隐藏文件后,真正的的文件就是那个被隐藏的了,里面的文件不会损坏,可以使用。
想要杀掉这个病毒装一个360安全卫士同时用卡巴斯基才能杀掉。
MpKsl木马病毒产生的svchost.exe该怎么手动查杀
一、造成svchost.exe应用程序错误的原因1、病毒木马原因导致的,因为svchost进程启动各种服务,所以病毒、木马也想尽法来利用它,企图利用它的特性来迷惑用户,使svchost成为病毒的傀儡进程,进行病毒下载操作,从而下载大量木马,盗取用户信息。因此黑白网络推荐可以使用金山卫士对木马病毒木马查杀。2、IE组件在注册表中注册信息被破坏,重新注册ie组件信息问题即可解决。3、如果电脑有打印机,还可能是因为打印机驱动安装错误,也会造成的错误,只要重新安装打印机驱动即可解决。4、某些软件与Svchost.exe发生冲突导致的,解决方法就是卸载该软件或者升级该软件到最新版本。5、现在大多数网民喜欢使用ghost系统,破解版系统,但是使用这些系统可能存在不兼容因素,很容易导致发生的错误,最好解决方法就是安装使用正版操作系统。二、解决方案一些安全杀毒软件只会简单的删除被病毒感染或者替换的Svchost文件,而不给修复,造成出现各种系统异常的错误。因此可尝试如下清除方法:1、删除类似于C:SysDayN6这样的文件夹:例如C:Syswm1i、C:SysAd5D等等,这些文件夹有个共同特点,就是名称为Sys***(***是三到五位的随机字母),这样的文件夹有几个就删几个。2、开始——运行——输入“regedit”——打开注册表,注册表到以下位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun删除右边所有用纯数字为名的键,如3、重新启动计算机,病毒清除完毕。
电脑被.exe病毒感染,总是自动生成.exe文件夹,有什么好方法把他删掉,不重新分区和做系统~!
开机按F8进安全模式杀毒更加彻底有效!
1.用“360系统急救箱”“360顽固木马专杀”先“查杀”木马病毒,修复系统!再删除后,“立即重启”!它对各类流行的顽固木马查杀效果极佳,能够强力清除木马和可疑程序,并修复被感染的系统文件,抑制木马再生,修复系统功能!
2 再用“360杀毒四引擎版”,“全盘扫描”,病毒木马,再点删除!
3 在用360安全卫士修复漏洞!
这是360的官网,你可以到这里来下载
http://www.360.cn
如何杀优盘上顽固木马,优盘显示不能格式化,里面全部生成后缀为exe的文件?怎么办?急求助
建议楼主下载安装腾讯电脑管家来进行杀毒,
重启电脑按F8进入安全模式--打开腾讯电脑管家--杀毒--全盘扫描--完成后打开工具箱--顽固木马克星--深化扫描--完成重启电脑就可以了,
腾讯电脑管家拥有 管家云引擎、管家自研第二代“鹰眼”引擎、金山云引擎、Avira引擎,以及管家系统修复引擎,能够及时拦截钓鱼网站及木马病毒,
业界首创将CPU虚拟执行技术运用到杀毒软件中,能够根除顽固病毒、
大幅度提升深度查杀能力,并且大大降低了杀毒软件对用户电脑系统资源的占用率。
腾讯电脑管家已经连续数次通过VB100、AV-C等五项国际权威认证,病毒查杀率极腾讯电脑管家是中国首创,第一款响应国际主流,集杀毒+管理功能为一体的产品
我的电脑里面每个文件夹里面都自动生成一个exe文件
你得杀毒了
cmd.exe病毒
cmd.exe病毒进程清除方法
cmd.exe 病毒是比较头痛的一种占用大量cpu资源的病毒,,不同的机子还需要用不同的解决方案,
cmd.exe病毒进程清除方法
第一种情况:
开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU。关闭cmd.exe后,CPU实用率恢复正常。但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。
1.装了ewido 查杀木马,查出了几个感染目标,已删除。但是今
天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。
2.再装“木马清除专家2006”,查杀,结果没有发现木马。
3.查system 32 中的 CMD.EXE 大小,结果如下:
CMD.EXE 大小:459 KB (470,016 字节)
占用空间:460 KB (471,040 字节)
应该没有异常。
解决方法:
如果出现这种情况,很不幸,你99%是中了木马了。不过不妨继续验证一下,假定你的windows安装盘位于C:\,并且需要你在文件查看选项中打开查看隐藏文件的选项和显示所有文件扩展名的选项,则
查看你的c:\Program Files\Internet Explorer\PLUGINS\目录,应该会发现有new123.bak和new123.sys两个文件;
查看你的C:\Documents and Settings\Administrator\Local Settings\Temp\目录,应该会发现有MicroSoft.bat这个文件;你可以用记事本打开MicroSoft.bat文件,发现其中提到一个exe文件(具体名称会有不同),你也会在该目录下发现这个exe文件;
如果以上两步你并未发现相应文件,请将你的文件查看改为不隐藏已知文件后缀,并在系统盘内进行文件搜索,确认是否的确没有相关的文件。
木马描述
该木马主要是因为用户安装了嵌入木马程序的安装程序所致,这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序(比如qq的一些版本等)。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件,所以才出现“症状描述”中所描述的情况。
该木马的母体就是new123.sys,属于Trojan-PSW.Win32.Delf.mc,可能会偷取你的一些应用的帐号和密码。
木马清除
该木马可以很方便的手工清除,过程如下:
打开“任务管理器”,在“进程”中结束cmd.exe的运行,此时CPU占用率会明显下降;
进入C:\Documents and Settings\Administrator\Local Settings\Temp\目录,删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件;(这一步不做也没有问题,但最好清除掉)
进入c:\Program Files\Internet Explorer\PLUGINS\目录,删除new123.bak文件,但此时你无法删除new123.sys文件,因为系统正在使用,你有两种方式处理new123.sys文件:
重启机器并进入安全模式对new123.sys进行删除;
当前状态虽无法删除该文件,但可更改new123.sys的文件名为new123.sysdel,并且重启机器(无需进入安全模式)后,再把new123.sysdel进行删除。
处理完后,如果“症状描述”中的情况消失,则说明清除成功。
第二种情况:
1:XP系统里并没有cmd.exe的进程,cmd.exe是XP系统的命令提示符程序,可以执行一些在DOS下执行的应用程序,但是并不会随系统启动时运行,这有可能是个木马或者其他病毒程序,建议查杀
1)、如果安装文件就在硬盘上,而且系统是从硬盘的安装目录装的,那先将这个安装目录改个名字
2)、删除c:\winnt\system32\dllcache(没有这个子文俭)\cmd.exe,
3)、然后再删除system32\cmd.exe
4、系统会提示说系统文件丢失要求插入光盘,忽略就行了
禁止运行命令解释器和批处理文件方法:通过修改注册表,可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。新建一个双字节(REG_DWORD)执行HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD,修改其值为2,命令解释器和批处理文件都不能被运行。修改其值为1,则只是禁止命令解释器的运行。 就是替换掉系统的cmd.exe文件。但是由于此文件受系统保护,所以必须用一种特殊的办法。
至于那个用来替换cmd.exe的文件,可以随便找一个运行时候没有什么提示的东西就行。C:\Windows\system32下面有很多这样的文件,随便找一个就行。替换方法是:首先删除C:\WINDOWS\system32\Dllcache\下面的cmd.exe,然后尽快将C:\WINDOWS\system32\下面的cmd.exe替换成所需的文件。当系统提示要求插入WINDOWS安装光盘的时候,不要理他,直接单击“取消”就可以了。
之后当你开始-〉运行-〉cmd的时候,dos窗口自然不会出现了
第三种情况:
如何解决cmd.exe占CPU资源100%问题
造成机器运行很慢,关闭cmd.exe后,CPU使用率恢复正常。但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。
问题分析:后经上网查找和后来证实,应该是中了一种传播Viking的QQ尾巴病毒了,这种木马病毒主要是因为用户安装了嵌入木马程序的安装程序所致,这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序(比如qq的一些版本等)。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件,所以才出现“问题症状”中所描述的情况。
解决方法:我只能讲一下大概的思路了,因为当时没有记录和截图。首先在文件夹查看选项中打开查看隐藏文件的选项、显示所有文件扩展名和显示受保护的操作系统文件的选项。
1、从注册表里删除病毒添加的ShellExecuteHooks信息:打开注册表找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks],
在实际情况中,图中应该会出现除以外的其它可疑键值的,依次按步骤2检查它们;
2、打开到注册表[HKEY_CLASSES_ROOT\CLSID\{这里是步骤1中提到的可疑键值}下,
然后依次检查上图中所示的每一个路径指向的文件,应该会有个文件是以.sys结尾的系统驱动文件,这个文件应该是隐藏文件,并且它的修改时间应该和该电脑出问题的时间差不多,而且在该文件旁边还会有和它的修改时间一样的隐藏文件,可以考虑将它们都删除了,以观后效。记得我当时是删除了三个在C:\Program Files\Internet Explorer\Connection Wizard 下的隐藏文件,就OK了。注:如果删不掉,可以进安全模式删除。
3、清除C:\Documents and Settings\你的用户名\Local Settings\Temp\目录下的所有垃圾文件,因为里面含有病毒释放生成的执行文件,当时我的情况是有两个病毒释放的文件:_xiaran.bat和help.exe(这个是隐藏和系统文件)。
4、重新启动计算机,观察5分钟,如果不再出现“问题症状”中描述的情况,说明清楚成功了。
如何解决带有.exe的木马文件
中了.exe为后缀的病毒后,一般的表现形式为任务管理器中不断弹出.exe.tmp的任务进程。这是毒的比较轻的,可用下面方法解决:
1.tmp是临时文件,你先进入任务管理器,关掉几个试试,如果继续弹出,可以进入安全模式,进行查杀,每次运行带毒文件,都会加上tmp,是为了使其他软件把他作为临时文件删除,而破坏系统.
2.先结束所有conime.exe程序, 删除C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files\123.exe, 删除C:\WINDOWS\system的conime.exe、SYSTEM32.tmp、jwm.exe、wol.exe文件, 删除C:\WINDOWS的tmp5870.exe和~TMP58~1.BAT文件, 搜索硬盘删除所有.exe.tmp并删除。然后重启。
但是如果碰上比较牛一点的病毒。比如logo1 .exe,那就不能这样解决了。一般方法基本无效,请按照下面步骤来:
1.先下载好你认为比较好的杀毒软件。此时不要安装。就是安装了也是白安装。所有软件安装后很快就被感染。这里不推荐使用金山,瑞星,江明,SPANT 等。推荐使用卡巴斯基5.0版和麦咖啡杀毒软件。 请先去把系统设置为“显示隐藏文件”,因为病毒以隐藏属性伪装,不做此设置将无法看到它,设置的方法如下:
打开“我的电脑”; 依次打开菜单“工具/文件夹选项”; 然后在弹出的“文件夹选项”对话框中切换到“查看”页;去掉“隐藏受保护的操作系统文件(推荐)”前面的勾,让它变为不选状态;在下面的“高级设置” 去掉“隐藏已知文件类型的扩展名”前面的勾,也让它变为不选状态;最后点击“确定”。
2.修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot] winlogo 项,把WINLOGO 项后面的C:\WINNT\SWS32.DLL删掉
接下来把HKEY_LOCAL_MACHINE_SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键
/RunOnce/RunOnceEx 两个中其中有个是C:\WINNT\SWS32.dll ,把类似以上的全部删掉,注意不要删除默认的键值(删了的话后果自负)
3.结束进程
按“Ctrl+Alt+Del”键弹出任务管理器,找到SWS32进程,名字记不大清楚了,反正看到最多的进程就关,还有几个很少看到的进程。什么AUS***之类的都关掉他。找到EXPL0RER.EXE进程(注意第5个字母是数字0不是字母O),找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步,只所以要迅速是因为如果动作慢的话,木马可能会自动恢复而再次运行起来,这样就无法删除掉其他木马文件了(如果EXPL0RER.EXE进程再次运行起来需要重做这一步)。
4.装杀毒软件
装完后不要重新启动(切记)直接升级病毒库,升级完后,把C:\winnt 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。 杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。
重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。
5.看看杀毒后的系统。
缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行SFC命令检查文件系统。具体操作为开始-运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。
一个感染所有EXE文件的木马!求救高手
第一步:在“开始→运行”中输入CMD,打开“命令提示符”窗口。
第二步:输入ftype exefile=notepad.exe %1,这句话的意思是将所有的EXE文件用“记事本”打开。这样原来的病毒就无法启动了。
第三步:重启电脑,你会看见打开了许多“记事本”。当然,这其中不仅有病毒文件,还有一些原来的系统文件,比如:输入法程序。
第四步:右击任何文件,选择“打开方式”,然后点击“浏览”,转到Windows\System32下,选择cmd.exe,这样就可以再次打开“命令提示符”窗口。
第五步:运行ftype exefile="%1" %*,将所有的EXE文件关联还原。现在运行杀毒软件或直接改回注册表,就可以杀掉病毒了。
第六步:在每一个“记事本”中,点击菜单中的“文件→另存为”,就可看到了路径以及文件名了。找到病毒文件,手动删除即可,但得小心,必须确定那是病毒才能删除。建议将这些文件改名并记下,重启后,如果没有病毒作怪,也没有系统问题,再进行删除,
U盘中了一个木马或者病毒,文件夹变成exe格式,大小都是84.7kb,真正的文件夹隐藏了,
哥们儿,这个是你中了U盘文件夹exe病毒,现在U盘病毒90%是kido病毒,kido病毒虽然很多杀软能杀,但是都没处理掉他的母体。而那些文件夹并没有真的丢失,只是被隐藏了。
【解决方案】
请打开360系统急救箱自定义全盘扫描,查杀一遍,查杀完成后重启电脑。 然后再打开360系统急救箱,选择修复功能(修复选项可全选),立即修复 。
