如何徒手清除木马病毒(怎样彻底清除木马病毒)
如何清除木马?
1、借助自己的杀软
一般情况下,杀毒软件只要能告诉你木马病毒的名称,肯定就能识别并删除,只是要注意方式方法
原因:木马病毒(特洛伊
后门等)一般情况下都比较顽固,常规模式下不好清除。(容易隐藏病毒文件
容易与其他系统文件关联,以DLL注入或者系统关键进程注入等方式发作等)
方法:首先重启电脑,进入安全模式,再启动你的杀毒软件扫描一遍就可以了。
安全模式:启动的时候按住
F8
键,出现选择的时候
选“进入安全模式”
要相信你的杀毒软件的能力,都告诉你名字了,肯定能搞定。
杀毒前关闭系统还原:右键
我的电脑
,属性,系统还原,在所有驱动器上关闭系统还原
打勾即可。
2、手工清除:
进入安全模式后,到文件夹的位置找到它,删除即可。XP
我的电脑的菜单:
工具
--文件夹选项里----查看--显示所有文件和文件夹
打勾
就能看到文件。
简单的电脑病毒如何手动去除?
第一、全面检测计算机
对于新手,手动全面检测计算机是非常困难的,因为需要打开注册表,一项一项去检查,那我们就使用简单的方法——运用SRE这个软件,SRE全名System Repair Engineer。打开软件后,点击软件左边的智能扫描,再点击“扫描”,就可以对计算机进行较为全面的扫描了。
对于不想自己分析的新手,请把日志贴到论坛上,会有人帮你解决。
第二、分析扫描日志
这个是最关键的一步,对于很多新手,选择来论坛发布日志,让有经验的高手来分析,这样省时省力,但是如果大家学会分析日志,那么就可以有更多的人帮助新来的人,减少版主和论坛高人的劳动。分析日志学习起来很难,因为需要不断积累经验,在这里只介绍简单的方法
1、了解日志
SRE日志分别扫描了注册表启动项、启动文件夹、服务、驱动、浏览器加载项、进程、文件关联、Winsock 提供者、autorun.inf、HOSTS文件、API HOOK。我会重点介绍一些检测时常用的项目
2、看进程
看进程,看什么呢?看的就是,是否有除系统基本进程和软件产生进程外的其他进程,尤其注意进程路径是c:windows和C:windowssystem32下的文件,可能有些新手不知道那些是系统基本进程,那些是软件安装的进程,这就是需要经验积累的地方。
对于系统进程加载的DLL,这个需要具体分析,很多盗号木马运用了这个方式,那就要经过下面三步去完善。
3、看启动项(包括注册表启动项、启动文件夹、服务、驱动)
看了进程以后,对那些是可疑文件有了一定了解后,就可以来看启动项目。SRE这个日志非常适合新手使用,因为它已经在服务和驱动这两个地方把微软签名的启动项隐藏,对于服务,驱动需要经验才能动,下面我一项一项的介绍。
4、对比
对比所有可疑启动项目和所有可疑进程,是否可以一一对应,如果不可以,那么就要看是哪里出现的问题,就对那里进行进一步的研究。看看是否是因为病毒的运行方式或者保护方式问题,或者有其他病毒的存在。当然,原因不只这一些,还是需要大家积累经验。实践是根本。
5、看其余项目
第一个要看的就是autorun.inf这个项目,如果某个盘有此文件,或者每个盘都有,那么就说明你的计算机中了病毒,处理方法很多,这里介绍几种。当然处理的时候,要保证系统中没有病毒运行了。
第一种:利用WinRAR。具体方法:打开所感染的硬盘,删除对应文件。说明不会感染计算机,方便实用。
第二种:利用资源管理器。具体方法:在打开显示隐藏文件和系统文件的前提下,利用资源管理器,在资源管理器左面选择感染的盘符,右面删除对应文件。说明对于某些病毒又感染的危险。
第三种:利用命令提示符。具体方法利用了DOS命令,具体命令如下:
Attrib –s –h –r –a X:autorun.inf
Attrib –s –h –r –a X:对应启动文件(EXE或者PIF)
Del X:autorun.inf
Del X: 对应启动文件(EXE或者PIF)
其中X代表感染的盘符。
说明可以删除彻底,需要懂一些DOS命令和CMD的使用方法。
第四种:利用冰刃。具体方法打开冰刃后,点击下面的文件,后面的处理如同资源管理器。说明删除彻底,建议新手使用。
第二个要看的就是HOSTS文件,这里的看法是按照行,日志前面写的是网址对应的DNS解析的IP地址,如果所有IP地址都是同一个,或者和其他计算机解析的IP地址不同,那么就有问题,最主要的还是同一个或者同为127.0.0.1。处理方法很简单,利用记事本打开Host这个文件,路经在C:WINDOWSsystem32driversetc,这个处理最好是在病毒删除以后。
第三、处理所有可疑文件(清除病毒文件)
这个是最关键的一步,这一步就要删除病毒了,看到论坛以前有人光用SRE这类日志扫描程序删除,就非常气愤,因为这个程序无法完全解决问题。现在先来说明一下原因,第一,若病毒运行,病毒会不时的自动检测启动项是否被修改,你用SRE删除以后,病毒会立刻检测到,自动添加,当重新启动的时候就会重新回来,解决方法倒是有一个,这个可以在安全模式下进行,但是有部分病毒在安全模式下照样会运行,下一点就说明了这个。第二,有很多病毒选择了Winlogon启动或者初始化动态链接库启动再或者驱动启动,这三类启动有一个共同特点,就是病毒在安全模式下也会运行,那么SRE对其根本没有效果。那我们怎么进行处理呢,最可靠的方法还是使用冰刃(IceSword)。
当然也有一点冰刃不是全能的,现在有病毒以进程来结束冰刃,以后会怎么样,《黑客防线》曾经有一篇文章就是专门介绍冰刃的漏洞,利用这个漏洞,病毒可以结束掉冰刃。
废话就说以上这么多,看看具体处理方法吧。冰刃在杀毒的时候需要做一个预处理,点击上方文件下的设置,选中禁止线程创建。然后就可以做下面的处理了
删除方法:
第一种情况,有确实的EXE进程。打开冰刃后,点击进程,结束此可疑进程,这样此进程不会创建,按照上面对比后的结果,如果是注册表中的,在冰刃下面可以看到注册表,直接进行修改,注意一点就是项目需要双击打开编辑框清空,其它的直接找到对应键值删除即可;如果是服务启动,在冰刃下进入服务,找到启动服务,点右键,改为已禁用即可;如果是驱动启动,可以打开注册表进入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices找到对应的删除即可,也可以使用SRE进行删除。最后运用冰刃强制删除文件后杀毒结束。
第二种情况,无确定的EXE进程,现在很多木马喜欢用DLL潜入方式,比如江湖木马,征途木马,这些木马对应的启动项目是一个EXE文件,而最终起作用的是一个潜入进程的DLL,找此DLL的方法也是有经验的。此病毒删除方法就是先处理EXE文件,打开冰刃,进入对应启动项,按照第一种情况所说方法先删除启动项。然后强制删除对应文件,最后强制删除DLL文件重新启动后即可完成杀毒,如果找不到对应的DLL,不删除也可以,此DLL会成为系统垃圾,放在它该存在的位置,而不在产生作用。
第三种情况,也是最难处理的一种情况,现象就是杀毒软件报告病毒,但是无法从日志中找到任何病毒踪迹,这里要先启动冰刃,在进程、内核程序、启动组和服务中进行一次彻底查找(后面对次问题有解释),如果还是没有,就属于这种情况。此情况删除及其复杂。可以用冰刃强制删除对应文件(若杀毒软件以成功删除就不用做这一步),并且打开我的电脑,找到对应位置,建立一个同名的文件夹(包括扩展名),这样病毒将不会再产生,然后运用Filemon这个文件监控软件,进行监控,在监控过程中,逐一运行软件,看看那个软件要创建前面用冰刃或者杀毒软件删除的文件,找到后,删除此软件里面的所有文件重新安装,即可。
注册表启动项
在SRE里面,这册表启动项包括了Winlogon启动,普通注册表启动等等多个项目。这个只能看下我在虚拟机下面刚安装一版SP2的Windows XP的日志了,当然因为每一种系统(盗版方式不同或者正版等等)不同,可能扫描出来的不仅相同,剩下的需要大家经验积累。
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
[(Verified)Microsoft Corporation](启动输入法)
超级兔子、MSN Messenger等通过此项目启动
[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]
[N/A]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 [(Verified)Microsoft Corporation](微软输入法启动项)
[(Verified)Microsoft Corporation] (微软输入法启动项)
[(Verified)Microsoft Corporation] (微软输入法启动项)
暴风影音、NVIDIA显卡、声卡、超级解霸、瑞星杀毒软件、瑞星个人防火墙、卡卡上网助手、金山毒霸、江民杀毒软件、Emule、金山词霸、Nero、Real系列、酷狗等通过此项目启动
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon]
[(Verified)Microsoft Corporation]
[(Verified)Microsoft Corporation](Winlogon启动项,逗号后面若有东西90%是病毒)
[(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows]
[N/A](初始化动态链接库,若这里面有东西90%是病毒)
以上只进行了概述
启动文件夹
这个最好看,只有部分软件修改这里,典型的比如QQ的启动项、OFFICE的工具栏启动项。这个利用的病毒也很少,早期的“比肩社区”(在桌面呈现比肩社区介绍)就利用。需要耐心检查。
服务
这个比较好看,第一看服务名称后面的状态,SRE日志扫描后的格式为(最新版本)[服务名称][当前运行状态/启动状态],其中当前运行状态是表示扫描的时候计算机是否运行了此服务,Running表示运行、Stopped表示没有运行;启动状态,表示此服务是如何启动,Auto Start表示自动,Disabled表示已禁用,Manual Start表示手动启动。其中重点看Running和Auto Start的项目,如果此项目和你安装的软件和驱动程序无关,那就可能是病毒。
驱动
我经过5年的杀毒经验,也不敢轻易动这个项目,只能介绍一条经验,就是如果一个驱动全部为数字,可能为病毒文件。因为现在各种品牌的驱动都不一样,所以其他的就记不住了。
鉴于启动项确定比较困难,希望新手在安装计算机后,做一次扫描备份,可以通过对比的方法,来看是否增加了启动项,如果此期间没有安装任何驱动和软件,那么就可能不是正常文件,就要小心的进行检查了。
如何手工清除木马病毒?
1,在DOS环境里用attrib命令去掉遗留文件hcalway.sys和abhcop.sys
的只读属性,然后删除。attrib是一个外部命令,一般的DOS启动盘里没有的,需要用到DOS6.22
才行。命令格式为:
attrib
hcalway.sys
-r
attrib
abhcop.sys
-r
2,去掉这两个文件的只读属性后,就可以用在DOS下将其删除了。
下面这个方法非常适合新手使用:
首先打开C盘windows系统目录下的system32目录
然后在此目录下备份drivers文件夹,将此文件夹重命名为drivers1
接着请在drivers1文件夹内删除abhcop.sys和hcalway.sys。
重启电脑,按住F8进入“带命令行的安全模式”
在dos环境下进行下列操作:
cd..
(此命令意思是退回上级目录)
退到C盘目录下后
cd
windows(意思是进入windows目录,2000操作系统请输入winnt).
cd
system32
ren
drivers
drivers2
(意思是将drivers文件夹名修改成drivers2
)
ren
drivers1
drivers
(将之前我们备份的drivers1文件夹名字改为drivers
)
退出DOS,重启进入WINDOWS.删除drivers2文件夹、并清理注册表内信息。
电脑中了顽固木马病毒,如何清除?
一、清空 Internet Explorer (IE) 临时文件
杀毒软件报告的病毒如果在类似这样的路径下:c:Documents and SettingsAdministratorLocal SettingsTemporary Internet Files,这通常意味着病毒是通过网页浏览下载的,这时你的浏览器如果没有安装补丁,那么你很可能会中毒。对于这样的病毒,最简单的清除方法就是清空IE临时文件。
二、显示文件扩展名
显示查看所有文件和文件夹(包括受保护的操作系统文件),很多木马病毒使用双扩展名、隐藏属性伪装,通过查看这个可以让病毒无藏身之处。
三、关闭“系统还原”
系统还原是修复系统最方便、快捷的一个工具,如果你有创建系统还原点,在发现系统出错或中毒时,恢复到比较早时创建的还原点,就可以修复系统。
如果你发现病毒存在于类似c:System Volume Information的目录下,说明以前创建的还原点里备份了病毒,清除的方法就是关闭或禁用系统还原,这时还原点会被删除,病毒也就不存在了。稍等几分钟之后,你可以重新打开系统还原,再创建一个无毒的还原点。
四、结束病毒进程
打开任务管理器,找出不正常的进程。结束进程是手工杀毒的一个方法。
五、修改服务“启动类型” 停止/启动服务
有时,病毒是以服务方式加载的,可以用这个方法让病毒程序关闭掉。
六、设置安全的帐户密码
简单密码非常危险,很容易被黑客工具破解,然后,黑客就可以从远程给你的电脑植入木马了。就算有杀毒软件也无忌于事,黑客可以轻易从远程关掉你的杀毒软件。对于一个只用简单口令,又接入互联网的系统来说,风险实在太大了。
七、打开“自动更新” 使用 Windows Update
使用自动更新,是及时修补系统漏洞的好办法,你也可以使用金山清理专家来手动完成补丁的下载和安装。对于一个没有通过正版验证的电脑系统来说,清理专家提供了不错的解决方案。
八、进入安全模式
正常模式不能把病毒清除干净时,我们通常就要在安全模式下查杀病毒了,有的病毒甚至安全模式也清除失败,你就该尝试一下启动到带命令行的安全模式了,
这两者的区别在于,带命令行的安全模式,只有控制台(CMD)字符界面,没有资源管理器(桌面),需要一些DOS命令的经验。你可以进入杀毒软件的安装路径,执行命令行杀毒工具。金山毒霸的命令行是键入kavdx,回车后杀毒。
九、关闭共享文件夹
局域网中可写共享有严重风险,若非必要,还是关掉吧。
十、使用注册表编辑器进行简单的删除/编辑操作
注册表编辑有较大风险,如果不熟悉的话,建议在修改前,创建系统还原点,或者,备份要修改的注册表键分支,再使用注册表编辑器修改。
如何清除该木马病毒?
“TrackingCookie”就是间谍软件
许多网站,甚至部分受人尊敬的公司也会在你的电脑硬盘上放置一个叫做“trackingcookie”的秘密电脑文件。这个文件帮助互联网广告公司记录你上了哪些网站,然后将这些信息用于它们自己的商业目的。几乎在所有情况下,用户在下载trackingcookie时都没有获得任何提示,更不用说被询问是否可以安装了。
建议你修改自动完成的密码
既然杀毒软件能查出来就一定能杀,所谓杀不了,是因为病毒在运行;正在运行的程序不能修改或删除的。
重新启动,按住F8,进入安全模式,再从安全模式中启动杀毒软件就可以轻松杀毒了。
另外请问您计算机中病毒的位置是不是在:
C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files\
如果是,请照以下方法操作即可删除病毒文件,
1、右击Internet Explorer,选择"属性";
2、在"常规"选项卡中点击"删除文件(F)...";
3、在弹出的对话框中选中"删除所有脱机内容(D)"复选框;
4、单击"确定"按钮即可。
祝您好运。
如何彻底消灭木马病毒?
建议您可以重启电脑,按F8进入安全模式下,使用腾讯电脑管家杀毒软件,全面的查杀病毒木马程序,彻底的清理干净,可以安装腾讯电脑管家杀毒软件,全面的查杀病毒程序。。您只需要点击电脑管家的“杀毒”选项卡,根据需要的扫描方式点击扫描按钮即可开始杀毒。全盘查杀,电脑管家将对您系统中的每一个文件进行一遍彻底检查。花费的时间由您硬盘的大小以及文件的多少决定,硬盘越大扫描的时间越多。勾选了所有病毒,您只需要点击“立即处理”,即可轻松清除所有的病毒。有些木马需要重启计算机才能彻底清除,我们建议您立即重启,以尽快消除病毒对您系统的危害。
希望可以帮到您了
