中木马了,请问这样可以清除吗? ( 积分: 200 )

Q

qi_jianzhou

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-12

• #1

我的电脑中木马了,Explorer.exe&nbsp;进程变成了&nbsp;EXPLORER.EXE&nbsp;,我想可能是注入了&nbsp;explorer&nbsp;这个进程,我用&nbsp;toolhelp32&nbsp;看到了&nbsp;explorer&nbsp;的所有的模块<br><br>我想用&nbsp;freeLibrary&nbsp;移除某个模块,但是不行,做法有点呆了,<br><br>不知大家有什么高见呢

 

完

完美动物

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-12

• #2

是清理这个病毒吗?<br>网上有很多的<br><br>手动清除explorer.exe病毒，这是一个伪装病毒，具体名称trojan/vbs.zapchast.b（来自江民2007杀毒报告），不是最新病毒。该病毒会在电脑上生成一个folder.htt文件，不一定是在系统盘里，也就是说重装系统也不一定能管用。<br><br>感染explorer.exe病毒的症状是，任务管理器中出现两个EXPLORER.EXE/explorer.exe这样的进程，还有一个很明显的表现，就是有有病毒的文件夹里的程序双击后一闪就消失了，有这两种情况说明你铁定中招了，如何判断哪个是病毒，我是把两个进程都关了一次，就知道了，简单有效。也可以看它的内存使用分析下，我的EXPLORER.EXE内存使用是1，8684K,exeplorer.exe内存使用是2982k，所以可以判断小写的exeplorer.exe确定是病毒。(你可以在新装系统后留意下EXPLORER.EXE的内存使用)<br><br>病毒已经确定，首先结束掉这个进程，再在开始菜单-运行-键入msconfig-回车，查看一下你的启动项，禁止exeplorer.exe随系统启动。然后找到C:/Program&nbsp;Files/Internet&nbsp;Explorer目录，看下面如图：<br><br><br><br>红色圈圈的就是病毒文件了，shift+delete杀掉它，最后我们打开注册表，你可以手动查找位置在：<br><br>HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run<br><br>也可以点击编辑-查找-键入explorer.exe别忘了在字符匹配前打上对号，回车就会找到一个名称为ms..（名字我记不清了是以m打头的）数据为C:/Program&nbsp;Files/Internet&nbsp;Explorer/exeplorer.exe,删除掉。<br><br>好了任务结束，你可以重新启动下电脑，看看还有没有这个进程。

 

K

kingsonchan

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-12

• #3

找到对应的程序、DLL，然后结束EXPLORER，再把它删掉。

 

Q

qi_jianzhou

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-12

• #4

不好找呀<br>我的是木马,会在每个盘下面生成auto.ini

 

N

nicai_wgl

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-12

• #5

找个专杀工具吧，autorun

 

N

nicai_wgl

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-12

• #6

@echo&nbsp;on<br>taskkill&nbsp;/im&nbsp;explorer.exe&nbsp;/f<br>taskkill&nbsp;/im&nbsp;w脚本.exe<br>start&nbsp;reg&nbsp;add&nbsp;HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/EXplorer/Advanced&nbsp;/v&nbsp;ShowSuperHidden&nbsp;/t&nbsp;REG_DWORD&nbsp;/d&nbsp;1&nbsp;/f<br>start&nbsp;reg&nbsp;import&nbsp;kill.reg<br>del&nbsp;c:/autorun.*&nbsp;/f&nbsp;/q&nbsp;/as<br>del&nbsp;%SYSTEMROOT%/system32/autorun.*&nbsp;/f&nbsp;/q&nbsp;/as<br>del&nbsp;d:/autorun.*&nbsp;/f&nbsp;/q&nbsp;/as<br>del&nbsp;e:/autorun.*&nbsp;/f&nbsp;/q&nbsp;/as<br>del&nbsp;f:/autorun.*&nbsp;/f&nbsp;/q&nbsp;/as<br>del&nbsp;g:/autorun.*&nbsp;/f&nbsp;/q&nbsp;/as<br>del&nbsp;h:/autorun.*&nbsp;/f&nbsp;/q&nbsp;/as<br>del&nbsp;i:/autorun.*&nbsp;/f&nbsp;/q&nbsp;/as<br>del&nbsp;j:/autorun.*&nbsp;/f&nbsp;/q&nbsp;/as<br>del&nbsp;k:/autorun.*&nbsp;/f&nbsp;/q&nbsp;/as<br>del&nbsp;l:/autorun.*&nbsp;/f&nbsp;/q&nbsp;/as<br>start&nbsp;explorer.exe<br><br>//-------------以上写成一个.bat批处理然后执行就可以了。

 

Q

qi_jianzhou

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-12

• #7

我想可不可以自己编一个小程序把木马从&nbsp;explorer&nbsp;里清除出去<br><br><br>我用&nbsp;freeLibrary&nbsp;不行的<br><br>方法是不是很呆呀&nbsp;&nbsp;^_^

 

暗

暗夜中独舞

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-12

• #8

嘎嘎嘎嘎&nbsp;我好惨&nbsp;啊&nbsp;我电脑中了威金啊！！！！！！！！！！！！！

 

S

sbzldlb

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-12

• #9

我中了好几个，不过是服务器，好难杀

 

我

我爱PASCAL

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-12

• #10

如何判断加到explorer的可颖进程,虽然显示出来，但不知是哪个

 

H

hotelsoft

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-12

• #11

丫，又一个中了威金的，同情ing……<br><br>路过顶分

 

K

kinneng

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-13

• #12

请问，怎样才可以中威金和熊猫病毒，我很少上网

 

H

huaduxu

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-13

• #13

多多上一些黄色网站,就可以中威金和熊猫病毒.

 

D

dangde

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-13

• #14

这样的病毒是很麻烦，先用GPEDIT。MSC&nbsp;&nbsp;关掉自动播放&nbsp;&nbsp;，然后用KV2007杀，在BOOT的时候扫描，还是比较有效。多杀几次。我就是这样做的。还有其它更好的方法，请参考一下其它老兄的意见。

 

K

kingsonchan

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-13

• #15

威金的话，用金山还是很容易清除的。注意是清除病毒，其它杀毒软件只能删除被感染的程序。

 

X

xianjun

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-13

• #16

freeLibrary&nbsp;当然是可以的，但前提是你不可能在自己的进程中执行freeLibrary<br>而要把代码注入到目标进程，然后再在目标进程中执行调用freeLibrary的代码<br>几年前写过这样的代码，完全是可行的。

 

Q

qi_jianzhou

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-15

• #17

病毒用&nbsp;kv2007&nbsp;杀了,但我的IE&nbsp;坏了,好几天上不了网了,今天才可以上<br><br><br><br>谢谢&nbsp;xianjun&nbsp;的回答<br><br>过几天再结贴<br><br>请大家继续发表意见

 

B

bbscom

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-15

• #18

Explorer.exe中招就麻烦了，最好是用杀毒软件。<br>如果搞得不对系统都搞坏了。

 

Q

qi_jianzhou

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-16

• #19

我用&nbsp;&nbsp;江民杀了,看来江民还不错

 

K

kinneng

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2007-03-16

• #20

长期上黄色网站，将黄色网站当主页来使，都未见有什么熊猫，我知道有些下载站点，<br>就会下载一堆木马，例如&nbsp;w&nbsp;w&nbsp;w.a&nbsp;d&nbsp;a&nbsp;b&nbsp;a&nbsp;o.c&nbsp;o&nbsp;m&nbsp;&nbsp;&nbsp;w&nbsp;w&nbsp;w.t&nbsp;o&nbsp;m&nbsp;a&nbsp;t&nbsp;o&nbsp;l&nbsp;e&nbsp;i.c&nbsp;o&nbsp;m<br>但木马作者很弱智，一下就看出来，有些代码自己不会写，就抄袭别人远程注入代码，<br>连配置文件要照搬，里面直接写着“远程注入”，在&nbsp;Win2003下面，这些木马一下就<br>暴露了。