木马病毒清除实战(怎么彻底清除木马病毒)
本文目录一览:
手机木马病毒怎么清除
1、手机中了木马病毒,可以把手机恢复完出厂设置,一般可以消除木马病毒。如果恢复完出厂设置仍然没有清除木马病毒,建议对手机进行双清,清除手机数据和清除手机的缓存数据,这样就可以清除木马病毒。
2、手机下载安装杀毒软件,然后开启杀毒软件,扫描手机中的木马病毒,扫描完成后把木马病毒清除即可,操作起来是比较方便的。
很多的木马病毒伪装成一个应用软件或者诱人的游戏画面,会被人们安装到手机上,这样手机就会中木马病毒,所以遇到这样的软件或者游戏画面要谨慎点入,避免中木马病毒。同时,在手机上找到“设置”图标,点击进入后点击“安全”,把“未知来源”选项禁用,避免某些恶意软件在不知情的情况下被安装到手机中,这样就可以避免手机安装后中木马病毒。
木马病毒如何彻底清除?
瑞星有如下优点:
1.第八代虚拟机脱壳引擎(VUE)技术
“虚拟机脱壳”引擎(Virtualmachine
Unpack
Engine)首次将商用虚拟机的核心技术应用到杀毒引擎中。通过在计算机中构建一个仿真的运行环境,让加壳病毒在运行中自行脱壳、还原到原始形态,彻底查杀带有多重加壳加密的病毒。
2.Startup
Scan
独占式抢先杀毒技术
通过在Windows系统启动前加载,抢在木马、病毒启动前进行杀毒,可有效清除以往难以杀灭的病毒。
3.漏洞攻击防火墙联动技术
当杀毒软件检测到有病毒通过局域网进行传播时,会自动通知瑞星个人防火墙2007版切断病毒源对用户计算机的访问。实现单机在局域网中的安全隔离。
4.第二代智能提速增量查杀毒技术
用杀毒软件对计算机进行过一次查毒后,再次进行查毒时可选择只扫描变化的文件。用户升级杀毒软件后,也可以仅使用病毒库中新增加的特征进行查毒。大大提高了查毒效率,节省用户的宝贵时间。
5.NTFS流隐藏数据查杀技术
NTFS数据流是微软NT系统分区格式提供的一种功能,可以用来保存文件附加数据。目前,不少病毒、木马开始采用NTFS数据流进行隐藏。瑞星NTFS流隐藏数据查杀技术可以有效解决该问题,保证用户计算机不留安全死角。
6.专利未知病毒查杀技术(专利号:ZL
01
1
17726.8)
采用“未知病毒查杀”专利技术,不仅可查杀DOS、邮件、脚本以及宏病毒等未知病毒,还可自动查杀Windows未知病毒,在国际上率先使杀毒软件走在了病毒前面。
7.八大监控系统
提供了“文件、注册表、内存、网页、邮件发送、邮件接收、漏洞攻击、引导区”八大监控系统,给计算机提供完整全面的保护。八大监控系统不仅能够轻松查杀现阶段所出现的所有已知病毒,更能对未知的病毒、木马、间谍软件等进行预先防范。
8.主动漏洞扫描、修补系统
随时针对各个版本的操作系统进行漏洞彻查,第一时间提供漏洞信息和解决方案,具有支持连续打补丁的功能。
9.全自动无缝升级(专利号:ZL
01
1
42155.X)
主动式智能升级技术会自动检测最新的版本并自动为您升级。通过与瑞星个人防火墙2007版联动,可以保证在升级过程中不受诸如冲击波、震荡波、魔波病毒、木马、间谍软件及黑客等的侵袭。
10.支持64位操作系统
全面支持WindowsXP、Windows
Server2003
64位版,使安全无处不在。
11.文件粉碎技术
用户使用Windows删除文件后会留下残留数据,黑客通过简单的技术手段即可将数据进行恢复,造成用户信息泄密。瑞星文件粉碎技术删除文件后,即使进行数据修复也无法找回被粉碎的文件,保障了用户的隐私安全。
12.高速邮件监控技术
采用新一代高速邮件监控引擎,大幅度提高邮件扫描速度,可快速准确检测出邮件中附带的病毒,并进行清除。
13.垃圾邮件智能白名单
可自动将经常联系的电子邮件地址加入白名单中,大大提高垃圾邮件过滤的准确度,提高工作效率。
14.迷你杀毒
许多用户希望杀毒时不影响自己的工作,而传统的杀毒软件检查病毒通常需要较长的时间,且会明显减慢计算机的运行速度。瑞星杀毒软件2007版针对此问题提供了迷你杀毒功能,它只占用极小的系统资源。用户可以在查杀病毒过程中进行其他的工作,而不会感到速度有所减慢。
15.IE执行保护(IE防漏墙)
采用了基于行为监控的技术,对通过IE浏览器漏洞传播的病毒、木马以及流氓软件进行阻截,是目前市场上唯一采用主动防御技术的IE防护产品。该功能同时在瑞星卡卡上网安全助手3.1版中提供
如何杀除Win 32 病毒
第一步:知己知彼,百战百胜
要战胜AV终结者,我们先要了解自己的处境和它的特性还有弱点。首先我们来了解下AV终结者的执行以后的特征:
1.在多个文件夹内生成随机文件名的文件
旧版本的AV终结者在任务管理器里可以查看2个随机名的进程,新的变种文件名格式发生变化,目前我遇到过2种。
一种是随机8个字母+数字.exe和随机8个字母+数字.dll;另一种是6个随机字母组成的exe文件和inf文件。不管变种多少它们保存的路径大概都是如下几个:
C:\windows
C:\windows\help
C:\Windows\Temp
C:\windows\system32
C:\Windows\System32\drivers
C:\Program Files\
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
以及IE缓存等
这个是我个人总结出来的,随着病毒的变种。获取还有其他的。我这里只提供参考。
2.感染磁盘及U盘
当你的系统中了AV终结者,你会发现你的磁盘右键打开时将出现一个”Auto”也就是自动运行的意思,此时你的电脑已经中毒了,而且如果你这个时候企图插入移动硬盘、U盘,或者刻录光盘以保存重要资料,都将被感染。这也就为什么许多用户重装完系统甚至格式化磁盘以后病毒依然的原因。
当你重装完系统,必定会有双击打开硬盘寻找软件或者驱动的时候,这个时候寄生在你磁盘根目录内的Autorun.inf文件就起到让病毒起死回生的功能了。这绝对不是耸人听闻哦!
3.破坏注册表导致无法显示隐藏文件
我们一起来看看磁盘里的Autorun.inf,因为此时你的系统已经无法显示隐藏文件了。这个也是AV终结者的一个特征,所以我们这里用到几条简单的dos命令。
开始菜单-运行-输入“cmd”来到cmd界面,输入“D:” 跳转到D盘根目录,因为AV是不感染C盘根目录的,再输入“dir /a”显示D盘根目录内的所有文件及文件夹。“/a”这个参数就是显示所有文件,包含隐藏文件。如图:
我们看到D盘内多出了Autorun.inf以及随机生成的病毒文件017a4901.exe。我们一起看看Autorun.inf的内容,输入”type autorun.inf”,Autorun.inf里的代码的意思就是当你双击打开、右键打开、资源管理器打开。都会自动运行目录里的017A4901.exe这个文件。所以对于普通用户来说,即使你听过别人劝告,通过右键打开企图避免运行病毒也是徒劳的。因为“上有政策下有对策”,病毒也是在不断的变种升级的!当然它并不是无敌的,下文中我们就会讲述如何清理它。
4. 在注册表中写入启动项,已达到自动启动
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"[url=]\\InprocServer32[/url] "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
其他病毒及变种写入注册表的位置不同,下文的实战部分我们将详细说明
5.映像劫持技术
通过修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options的内容达到劫持几乎所有主流杀毒软件,甚至360安全卫士这样的工具的目的,被劫持后的现象是,杀毒软件无法自动运行,实时监控也无法启动,双击运行闪出一个黑色dos窗口后立刻消失。其实这个时候就是利用劫持技术转向运行了病毒本身。这个时候杀毒软件就彻底倒下了。关键时刻我们果然还是要靠自己手工清理啊!
6.修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004
7.删除以下注册表项,使用户无法进入安全模式
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
8.连接网络下载更多的游戏木马、广告软件以为病毒作何谋取经济利益。
9.强制关闭包含和病毒或者清理病毒或者杀毒软件有关的信息的页面。
10.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。
11.新的变种中加入双进程保护,当你结束一个进程,另一个进程自动重新启动它并关闭你的任务管理器。
12.跟随系统唯一可以使用的安全模式“控制目录恢复模式”启动,并防止企图清理注册表里的启动项以清除病毒的行为,让你清除注册表的下秒,它又自动建立了!
第二步:实战清理病毒 通过上面的内容相信你已经基本了解病毒的运作方式,现在杀毒软件已经“下岗”了,那么现在我们就靠自己的双手将它驱逐出去,还您一片蓝色的天空吧!
首先介绍今天的主角:WinPe 老毛桃修改版
这是一个类似windows98的操作系统。它体积很小只有几十M,现在很多系统安装版里都集成了这个软件,或者你也可以上网下载一个iso文件。用虚拟光驱运行,会有安装到系统的功能,所以没有刻录机的朋友一样可以使用它,当然它还有U盘版。我今天使用的是光盘版,或许你会问“为什么要用这个操作系统?他和xp有什么区别呢?难道用他就不会开机运行病毒了?”
是的!说的没错!因为WinPe是光盘或本地安装出来的一个虚拟磁盘的操作系统,他和系统本身是没有挂钩的,所以不会启动windows注册表里的启动项。这个的带来的优势就是我们可以在病毒启动之前就把他删除掉!设想,一个病毒虽然在注册表里配置的启动项,但是他的原始病毒文件已经不存在了。和谈启动运行?这就是我们今天的重点思路!在病毒启动以前将病毒文件全部删除,让他有心无力!
下面是winpe下操作的截图:
是不是和98或者2003很像?Winpe的另一个好处就是,我们前面提到的磁盘感染Autorun.inf对它也是无效的。右键是没有”Auto”这个选项的,所以我们在winpe下可以放心的双击盘符而不会运行病毒!
我们首先来清理掉最容易找到的病毒文件——磁盘根目录下的感染文件
除了C盘以外的每个盘根目录下都有,一定要记得全部删除!
删除的文件包括Autorun.inf和那个隐藏的exe文件,有的病毒隐藏文件是.pif或cmd或别的什么,因为c盘根目录没这些感染文件。所以我可以告诉大家一个诀窍:
删除除C盘以外,所以盘目录下的隐藏文件(不包括文件夹)就可以了。
好接下来看看我们前面提到的其他文件夹:
C:\windows
C:\windows\help
C:\Windows\Temp
C:\windows\system32
C:\Windows\System32\drivers
C:\Program Files\
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
在windows文件夹下我们发现了017A4901.hlp和我们上面说的一样
同样在C:\Program Files\Common Files\microsoft shared\MSInfo发现名为017A4901.dll的文件
所以我们利用winpe的文件搜索功能搜索” 017A4901”将其他病毒文件都挖出来
当我们把上面找到的这些文件全部清理完毕以后再搜索看看。是不是已经没有了?
那么现在AV终结者也“下岗”了。注册表里的所谓映像劫持、自动启动、双进程保护都已经形同虚设了!
这个时候你会发现你可以上杀毒软件的网站了
自此我们已经帮助可怜的杀毒软件重新“上岗再就业”了。
现在我们来彻底将病毒的启动请出我们的电脑吧(注意:这个时候建议先不要运行杀毒软件,避免还有残留的我们没发现的病毒残留文件通过映像劫持再度重生!) 开始菜单-运行-输入“regedit”打开注册表
使用模糊查询搜索我们刚才的病毒文件。不要包括扩展名,因为有的地方是以名字做注册表项的,我们同时勾选 项、值、以及数据。确保不放过一个敌人!
我们找到一个CLSID 为{A490017A-017A-4901-7A49-17A9017A4901}的项里面保存着病毒名称和路径:
我们删除这个项,然后按下F3继续搜索下一个,找到就把它删除。这里要注意一个问题。如果你搜索出来的注册表项里面有很多个值,千万不要盲目删除项。只要删除包含病毒文件名称和路径的部分就可以了!避免系统崩溃!接下来删除映像劫持部分的注册表内容搜索Image File Execution Options既可来到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options这个位置。你会发现里面几乎包含了所有你知道的杀毒软件的进程名,病毒就是通过识别这些进程名来进行劫持的。所以有的时候你可以通过修改程序的名称。比如把360safe.com改为xxx.exx就可以运行了。当然不是绝对。例如对AV终结者就是无效的,因为他识别的是窗体标题。所以你可以发现的杀毒软件他们推出的专杀工具一般都是.com的扩展名,而且运行时候是没有标题的。这个就是为了防止被感染或者被强制关闭。
二话不说。删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options这个项。它所包含的子项也将一起被删除。这样就不会被劫持了。现在重新启动系统吧!你的电脑又是一片蓝天了!
第三步:收拾战场,修复系统 首先我们重新启动重新上岗就业的杀毒软件。这里我使用360安全卫士,因为针对非感染exe类型的病毒,360足够应付了,而且速度快很多。
选择查杀流行木马。好的,检测结果。已经没有木马病毒了。下一步我们重启启动被病毒关闭的防火墙以及系统自动更新的服务,我的电脑-右键-管理-服务和应用程序-服务,找到windows firewall开头的服务右键属性,启动类型改为自动,再找到Automatic Updates这个服务,同样将启动类型改为自动。
下面修复安全模式:将如下代码保存为1.reg 然后运行导入既可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
将如下代码保存为2.reg运行导入后文件夹选项里重新出现“隐藏受系统保护的操作系统文件,以及“隐藏文件和文件夹”选项,选择显示后即可和一样一样,正常情况下不需要去设置,隐藏的病毒文件已经被我们删除了,需要的人可以自行选择
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
重新启动后。您的电脑又是一片蓝色的天空。
自此,菜鸟们再也不用为中毒烦恼了,重装系统和格式化,不再是噩梦!建议重启后用杀毒软件彻底查杀整个硬盘避免存在感染exe型病毒哦!偷懒的人跳过前面的介绍直接看操作实战,是不是觉得非常容易?以后你也可以轻易的告诉MM电脑中毒?找我就行!重装既浪费时间,又不能彻底解决问题哦!希望大家看完我的文章能够学会举一反三,轻松应对各种各样病毒哦!
怎样清除手机木马病毒?
如果您使用的是华为手机,可以通过以下方法操作:
1. 建议您更新病毒库,重新进行病毒查杀:
(1)HarmonyOS :手机管家齿轮按钮防病毒软件更新和联网查杀,选择仅连接 WLAN 时或所有网络下。
(2)EMUI8.X及以下:点击手机管家 病毒查杀 齿轮按钮 手动更新病毒库,并建议您打开自动更新病毒库和仅限 WLAN 下更新病毒库开关,以便及时更新病毒检测库,提升系统安全性。
(3)EMUI 9.X及以上:手机管家 齿轮按钮 联网病毒查杀,选择仅连接 WLAN 时或所有网络下。
2. 如果问题未解决,建议您将手机恢复出厂设置
提示:恢复出厂设置将删除您设备中的数据,包括您的帐户、系统的设置及数据、已安装应用及其数据等,为避免重要数据丢失,请您提前备份好数据(QQ、微信等第三方应用需单独备份),注意不要备份可疑应用,以免恢复的时候再次中毒。
进入设置,搜索并点击恢复出厂设置,根据屏幕提示完成恢复出厂设置操作。
3. 如果恢复出厂设置后仍无法解决该问题,可能是病毒已对系统文件进行了篡改,请您提前备份重要数据(QQ、微信等第三方应用需单独备份),携带购机凭证前往华为客户服务中心检测处理。
温馨提醒:
建议您使用应用市场下载安装应用,以确保系统的安全性。日常使用中,不轻易点击不明链接。
请您将导致中毒的网站链接反馈给华为售后服务热线,手机管家会将此网站增加到后台监测。下次访问或者其他用户访问该类网站时,浏览器就会发出提醒,避免误点击导致手机中毒。
相关链接如下:寄修服务预约服务维修备件价格查询华为客户服务中心
电脑木马病毒怎么清除
顽固木马难以清除原因:顽固木马一般都是蠕虫病毒的一种分支病毒,通常会寄宿在电脑的核心文件中,普通的杀毒软件很难将其清理。
第一步:进入安全模式。在安全模式下,第三方驱动无法自动运行,病毒也只能等待被杀毒软件检测出来了;
第二步:重启电脑。在重启电脑的过程中,不断按F8键,进入windows系统的菜单,WIN8除外,然后菜单选择“安全模式”即可。
手机顽固木马病毒如何彻底清除
若手机中病毒,建议你按照以下操作方法尝试:
1、建议在手机的病毒扫描,对手机进行查杀病毒处理;
2、备份重要资料(联系人、多媒体文件等),然后恢复出厂设置;
若问题依然存在,请你携带购机发票、保修卡和机器送到OPPO客户服务中心检测,由专业工程师为你解决。
