木马求救
Windows木马清道夫 V6.6 上网必备版 破解版
软件大小:6.43 MB
软件语言:简体中文
软件类别:国产软件 / 破解版 / 网络安全
运行环境:WinXP, Win2000, NT, WinME, Win9X
软件简介:
《Windows木马清道夫》是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品,是全新一代的木马克星!《Windows木马清道夫》可自动查杀上万种木马,配合手动分析可近100%对未知木马进行查杀!它不仅可以查木马,还可以分析出后门程序,黑客程序等等。它专业的分析功能,完美的升级功能,使您不再惧怕木马,让您远离木马的困扰!还不快把这位安全防卫专家请进您的电脑,您还在犹豫什么?
为什么要选择《Windows木马清道夫》?
(1)自动查杀上万种木马病毒,流行病毒及间谍程序等等
(2)有效的未知木马探测功能
(3)嵌入式行为分析,对每一个可疑程序的启动进行有效的拦截
(4)高速准确的硬盘扫描引擎,更快更稳定,将误杀降到最低!
(5)专业的辅助查杀功能,让您迅速了解本机的安全状况
(6)强大的漏洞检测功能,增强您系统的抵抗力
(7)人性化的操作界面,更容易上手!
(8)内置高性能木马防火墙,真正实时保护系统及网络的安全
(9)提供插件扩展,更方便地扩展软件的各种功能
(10)完善的木马上报系统,及时地做出响应
(11)木马病毒库每天更新,让软件始终保持抵御最新木马病毒的状态
点击下载
http://loo.512j.com/soft/ftcsetup.exe
点击下载破解补丁
http://xz1.997.cn/997997/key14/cr-wmmqdf.rar
参考资料:http://zhidao.baidu.com/question/1738575.html
回答者:ωǎ鼐霌翀翀 - 魔法师 四级 4-16 13:04
诺顿和木马杀客都无法消灭的病毒,恳请高手帮助?
我给你找来一些木马的运行端口
以下列出的端口仅为相关木马程序默认情况下开放的端口,请根据具体情况采取相应的操作:
707端口的关闭:
这个端口开放表示你可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下:
1、停止服务名为WinS Client和Network Connections Sharing的两项服务
2、删除c:WinntSYSTEM32WinS目录下的DLLHOST.EXE和SVCHOST.EXE文件
3、编辑注册表,删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项中名为RpcTftpd和RpcPatch的两个键值
1999端口的关闭:
这个端口是木马程序BackDoor的默认服务端口,该木马清除方法如下:
1、使用进程管理工具将notpa.exe进程结束
2、删除c:Windows目录下的notpa.exe程序
3、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中包含c:Windows otpa.exe /o=yes的键值
2001端口的关闭:
这个端口是木马程序黑洞2001的默认服务端口,该木马清除方法如下:
1、首先使用进程管理软件将进程Windows.exe杀掉
2、删除c:Winntsystem32目录下的Windows.exe和S_Server.exe文件
3、编辑注册表,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices项中名为Windows的键值
4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES项中的Winvxd项删除
5、修改HKEY_CLASSES_ROOT xtfileshellopencommand项中的c:Winntsystem32S_SERVER.EXE %1为C:WinNTNOTEPAD.EXE %1
6、修改HKEY_LOCAL_MACHINESoftwareCLASSES xtfileshellopencommand
项中的c:Winntsystem32S_SERVER.EXE %1键值改为
C:WinNTNOTEPAD.EXE %1
2023端口的关闭:
这个端口是木马程序Ripper的默认服务端口,该木马清除方法如下:
1、使用进程管理工具结束sysrunt.exe进程
2、删除c:Windows目录下的sysrunt.exe程序文件
3、编辑system.ini文件,将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存
4、重新启动系统
2583端口的关闭:
这个端口是木马程序Wincrash v2的默认服务端口,该木马清除方法如下:
1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中的WinManager = "c:Windowsserver.exe"键值
2、编辑Win.ini文件,将run=c:Windowsserver.exe改为run=后保存退出
3、重新启动系统后删除C:Windowssystem SERVER.EXE
3389端口的关闭:
首先说明3389端口是Windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。
Win2000关闭的方法:
1、Win2000server 开始--程序--管理工具--服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
2、Win2000pro开始--设置--控制面板--管理工具--服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
Winxp关闭的方法:
在我的电脑上点右键选属性--远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
4444端口的关闭:
如果发现你的机器开放这个端口,可能表示你感染了msblast蠕虫,清除该蠕虫的方法如下:
1、使用进程管理工具结束msblast.exe的进程
2、编辑注册表,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
项中的"Windows auto update"="msblast.exe"键值
3、删除c:Winntsystem32目录下的msblast.exe文件
4899端口的关闭:
首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。
关闭4899端口:
1、请在开始--运行中输入cmd(98以下为command),然后 cd C:Winntsystem32(你的系统安装目录),输入r_server.exe /stop后按回车。
然后在输入r_server /uninstall /silence
2、到C:Winntsystem32(系统目录)下删除r_server.exe admdll.dll
raddrv.dll三个文件
5800,5900端口:
首先说明5800,5900端口是远程控制软件VNC的默认服务端口,但是VNC在修改过后会被用在某些蠕虫中。
请先确认VNC是否是你自己开放并且是必须的,如果不是请关闭
关闭的方法:
1、首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:Winntfontsexplorer.exe)
2、在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:Winntexplorer.exe)
3、删除C:Winntfonts中的explorer.exe程序。
4、删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun项中的Explorer键值。
5、重新启动机器。
6129端口的关闭:
首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的,如果不是请关闭
关闭6129端口:
1、选择开始--设置--控制面板--管理工具--服务
找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后停止该服务。
2、到c:Winntsystem32(系统目录)下将DWRCS.EXE程序删除。
3、到注册表内将HKEY_LOCAL_MACHINESYSTEMControlSet001Services项中的DWRCS键值删除
6267端口的关闭:
6267端口是木马程序广外女生的默认服务端口,该木马删除方法如下:
1、启动到安全模式下,删除c:Winntsystem32下的DIAGFG.EXE文件
2、到c:Winnt目录下找到regedit.exe文件,将该文件的后缀名改为.com
3、选择开始--运行输入regedit.com进入注册表编辑页面
4、修改HKEY_CLASSES_ROOTexefileshellopencommand项的键值为
"%1" %*
5、删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices项中名字为Diagnostic Configuration的键值
6、将c:Winnt下的regedit.com改回到regedit.exe
6670、6771端口的关闭:
这些端口是木马程序DeepThroat v1.0 - 3.1默认的服务端口,清除该木马的方法如下:
1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersion
Run项中的‘System32‘=c:Windowssystem32.exe键值(版本1.0)或‘SystemTray‘ = ‘Systray.exe‘ 键值(版本2.0-3.0)键值
3、重新启动机器后删除c:Windowssystem32.exe(版本1.0)或c:Windowssystemsystray.exe(版本2.0-3.0)
6939 端口的关闭:
这个端口是木马程序Indoctrination默认的服务端口,清除该木马的方法如下:
1、编辑注册表,删除
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServicesOnce
四项中所有包含Msgsrv16 ="msgserv16.exe"的键值
2、重新启动机器后删除C:Windowssystem目录下的msgserv16.exe文件
6969端口的关闭:
这个端口是木马程序PRIORITY的默认服务端口,清除该木马的方法如下:
1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run Services项中的"PServer"= C:WindowsSystemPServer.exe键值
2、重新启动系统后删除C:WindowsSystem目录下的PServer.exe文件
7306端口的关闭:
这个端口是木马程序网络精灵的默认服务端口,该木马删除方法如下:
1、你可以使用fport察看7306端口由哪个程序监听,记下程序名称和所在的路径
2、如果程序名为Netspy.exe,你可以在命令行方式下到该程序所在目录输入命令Netspy.exe /remove来删除木马
3、如果是其他名字的程序,请先在进程中结束该程序的进程,然后到相应目录下删除该程序。
4、编辑注册表,将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun项和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices项中与该程序有关的键值删除
7511端口的关闭:
7511是木马程序聪明基因的默认连接端口,该木马删除方法如下:
1、首先使用进程管理工具杀掉MBBManager.exe这个进程
2、删除c:Winnt(系统安装目录)中的MBBManager.exe和Explore32.exe程序文件,删除c:Winntsystem32目录下的editor.exe文件
3、编辑注册表,删除注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中内容为C:WinNTMBBManager.exe键名为MainBroad BackManager的项。
4、修改注册表HKEY_CLASSES_ROOT xtfileshellopencommand中的c:Winntsystem32editor.exe %1改为c:WinntNOTEPAD.EXE %1
5、修改注册表HKEY_LOCAL_MACHINESoftwareCLASSEShlpfileshellopencommand
项中的C:WinNTexplore32.exe %1键值改为C:WinNTWinHLP32.EXE %1
7626端口的关闭:
7626是木马冰河的默认开放端口(这个端口可以改变),木马删除方法如下:
1、启动机器到安全模式下,编辑注册表,删除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRun
项中内容为c:Winntsystem32Kernel32.exe的键值
2、删除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRunservices项中内容为C:Windowssystem32Kernel32.exe的键值
3、修改HKEY_CLASSES_ROOT xtfileshellopencommand项下的C:Winntsystem32Sysexplr.exe %1为C:Winnt otepad.exe %1
4、到C:Windowssystem32下删除文件Kernel32.exe和Sysexplr.exe
8011端口的关闭:
8011端口是木马程序WAY2.4的默认服务端口,该木马删除方法如下:
1、首先使用进程管理工具杀掉msgsvc.exe的进程
2、到C:Windowssystem目录下删除msgsvc.exe文件
3、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中内容为C:WinDOWSSYSTEMmsgsvc.exe的键值
15=NETSTAT PORTsx!
21=Blade Runner, Doly Trojan, Fore, FTP trojan, Invisible FTP, Larva, ebEx, WinCrashlA
22=SSH PORTPFXP
23=Tiny Telnet Server:]nT
25=Shtrilitz Stealth, Terminator, WinPC, WinSpy, Kuang2 0.17A-0.30, Antigen, Email Password Sender, Haebu Coceda, Kuang2, ProMail trojan, TapiraswZ{\n
31=Agent 31, Hackers Paradise, Masters ParadiseW
41=DeepThroatAuwc\
53=DOMAIN PORT
58=DMSetupZ^.(a"
63=WHOIS PORTW
79=Firehotckerbi\
80=Executor 110=ProMail trojanK R*EK
90=DNS PORTo
101=HOSTNAME PORT!Dz`6d
110=POP3 PORTk3
121=JammerKillahI
137=NETBIOS Name Service PORTrB
138=NETBIOS Datagram Service PORTcI",
139=NETBIOS Session Service PORTm
194=IRC PORTBj
406=IMSP PORTi]_v
421=TCP Wrappers(L
456=Hackers ParadiseV%RWk
531=RasmindH
555=Ini-Killer, Phase Zero, Stealth Spy!7f
666=Attack FTP, Satanz Backdoorl9ulO
911=Dark Shadowp
999=DeepThroat-
1001=Silencer, WebEx+s8K=
1011=Doly Trojan-v*A
1012=Doly TrojanH=y}
1024=NetSpyy)
1045=RasminA'
1090=XtremeS
1095=RatP
1097=Ratq
1098=Rat8,p^#
1099=RatVx_+y
1170=Psyber Stream ServerL
1170=Voicep_
1234=Ultors Trojan=Qn]
1243=BackDoor-G, SubSeven*-pD
1245=VooDoo Doll|m^|q
1349=BO DLLnm?'0
1492=FTP99CMPYdWFu
1600=Shivka-Burka'dL
1807=SpySenderDP6
1080=SOCKS PORT$
1981=Shockrave(oRZR]
1999=BackDoor 1.00-1.03B
2001=Trojan CowKSiq.
2023=RipperHF
2115=Bugs:(k5
2140=Deep ThroatQqM:l
2140=The Invasor(
2565=Striker;{p
2583=WinCrash$
2801=Phineas Phucker}\)*
3024=WinCrash--
3129=Masters ParadiseAq/_Xn
3150=Deep Throat, The Invasor$UDD
3700=Portal of DoomPrd!
4092=WinCrash2c
4567=File Nailj~mR
4590=ICQTrojanz4$;
5000=Bubbel, Back Door Setup, Sockets de Troie$
5001=Back Door Setup, Sockets de TroieB(c
5321=Firehotcker$|
5400=Blade Runnerxg%tf
5401=Blade Runner?{ g
5402=Blade Runner*
5550=JAPAN Trojan-xtcp@AGxs0
5555=ServeMe{SS
5556=BO Facil#]6
5557=BO Facil.
5569=Robo-Hackx#R
5742=WinCrash;+e[6
6400=The ThingqhC
6666=IRC SERVER PORT~FW
6667=IRC CHAT PORToy[0U6
6670=DeepThroath@;
6711=SubSevenK5y~
6771=DeepThroatH6rPCb
6776=BackDoor-G, SubSevenhD^i
6939=Indoctrination =xM}2
6969=GateCrasherzgX
6969=Priority"B
7000=Remote Grab,0
7300=NetMonitorI5X[
7301=NetMonitorJk3
7306=NetMonitorG
7307=NetMonitor[
7308=NetMonitorU
7626=G_Client Wi
7789=Back Door Setup, ICKiller9\Ns{
9872=Portal of Dooma
9873=Portal of Doomvb_kO
9874=Portal of Doom C
9875=Portal of Doom0rO!5u
9989=iNi-Killer7[Kgt
10067=Portal of DoomF'Omq
10167=Portal of DoomX-v2RU
10520=Acid Shivers/
10607=ComaLKs}
11000=Senna Spyf/
11223=Progenic trojanFI{
12223=Hack?9 KeyLogger:b
12345=GabanBus, NetBus, Pie Bill Gates, X-billG%UQP
12346=GabanBus, NetBus, X-bill6:fX
12361=Whack-a-moler{/ho
12362=Whack-a-moleY
12631=WhackJob('\Q
13000=Senna SpyL|
16969=Priority6"
20001=MillenniumCF
20034=NetBus 2 Proo.9
21544=GirlFriendo
22222=ProsiakP_Dv
23456=Evil FTP, Ugly FTPp
26274=Delta Source:
29891=The Unexplained4$sp
30029=AOL Trojan 30100=NetSphere 1.27a, NetSphere 1.31-g%
30101=NetSphere 1.31, NetSphere 1.27a(]C
30102=NetSphere 1.27a, NetSphere 1.3114
30103=NetSphere 1.311Dqf
30303=Sockets de Troie=
31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice, DeepBOk-
31338=NetSpy DK 31338=Back Orifice, DeepBOO)Ssk
31339=NetSpy DKcr4}|L
31666=BOWhackx
31785=Hack Attacktw8+z
31787=Hack AttackR.A
31789=Hack Attack'3}f
31791=Hack Attacku%"80
33333=Prosiak}
34324=BigGluck, TN4
40412=The SpyF:m
40421=Agent 40421, Masters Paradise+ND
40422=Masters Paradise4:
40423=Masters ParadiseSC0J
40426=Masters Paradiseya
47262=Delta SourceY7C'Lw
50505=Sockets de TroieHec}
50766=Foreb
53001=Remote Windows ShutdownK6
54321=School Bus .69-1.11Z
60000=Deep Throat2s
61466=Telecommando] Y-
65000=DevilqHT8]
69123=ShitHeep rO
急~我中了很厉害的病毒~解决了愿意送上所有分
这是被镜像劫持了。病毒通过修改注册表来屏蔽对手的软件及网站。只要相关杀软的网络IP被列入注册表被禁止项就无法打开该网站。(一打开就自动关闭)把相关的注册表项删掉后杀毒就好了。具体如Image File Execution Options (IFEO in short)劫持
一、典型症状:双击某些可执行程序无法正常执行(或者说执行了没看到预期的结果)但改一个名字就可以。
二、典型案例:OSO.exe新变种60{.exe 美女游戏.pif (转载如下)
============================= 转载Start================================
OSO.exe 新变种
这是OSO.exe,美女游戏.pif,重要资料.exe的又一个新变种,以前截获的样本名为Worm.Pabug.ck ,这次由用户上报的病毒瑞星,金山均没有命名,但在病毒行为上大同小异。以下是具体分析:
此样本于2007年02月01日截获,跟上次的变种一样是采用记事本的图标,是一类IFEO映象劫持病毒。(变种不同这处用红色加粗标识)
病毒行为分析:病毒运行后,会不断打开run time error的消息提示,直到系统资源耗尽,当然用任务管理器,结束error窗口可暂时减少提示的生成。生成文件如下:(以系统盘为C盘,XP SP2为例)oso.exe的分析:生成文件:C:\WINDOWS\system32\drivers\60{.exe 38,510
C:\WINDOWS\system32\drivers\conime.exe 38,510
C:\WINDOWS\system32\severe.exe 38510
C:\WINDOWS\system32\.exe 38510
C:\WINDOWS\system32\.dll 38400C:\WINDOWS\system32\hx1.dat 生成运行后自删除 C:\WINDOWS\system32\noruns.reg 生成运行后自删除
C:\WINDOWS\system32\kakatool.dll 删除卡卡助手的动态链接库C:\WINDOWS\system32\drivers\etc\Hosts 1,465 字节 修改HOSTS文件,屏避对手的网站:127.0.0.1 localhost
127.0.0.1 mmsk.cn
127.0.0.1 ikaka.com
127.0.0.1 safe.qq.com
127.0.0.1 360safe.com
127.0.0.1 www.mmsk.cn
127.0.0.1 www.ikaka.com
127.0.0.1 tool.ikaka.com
127.0.0.1 www.360safe.com
127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com
127.0.0.1 download.rising.com.cn
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com
127.0.0.1 dnl-us4.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com
X:\autorun.inf (X在此指非系统盘,不包括移动设备)
X:\oso.exe (X在此指非系统盘,不包括移动设备)
U:\autorun.inf (U指移动设备 )
U:\oso.exe
U:\重要资料.exe
U:\美女游戏.pif 注册表修改情况:添加自启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
60{
C:\WINDOWS\system32\.exe---------------------HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
@ ---默认项
C:\WINDOWS\system32\severe.exe被映象劫持的软件名列表(这次被劫持和软件名多了NOD32杀毒软件和EGHOST) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
Debugger
C:\WINDOWS\system32\drivers\60{.exe 都是指向此项,以下不一一列述
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOD32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
用一个批处理hx1.dat修改系统时间为2004-1-22 使防病毒软件失效 由于此病毒修改的内容较多手动修复相当麻烦,U盘病毒专杀工具USBCleaner可彻底清除此病毒。此版本已在之官方网站发布,欢迎下载使用! http://nick429.135.hezu1.com/永久转向域名:http://nick429.126.com友情提示:U盘病毒专杀工具USBCleaner 为免费绿色的查杀U盘类病毒木马的小工具
============================= 转载End================================
三、解决方法:
可以手动删除添加的非法 IFEO 劫持项目,重启后即可。
具体方法:
1、进入系统目录。例如 C:\windows
2、找到 regedit.exe ,复制,粘贴 ,运行“附件 regedit.exe”
3、按上面说的方法删除相应的被劫持项目即可。
四、提示:
防止Image File Execution Options hijack(映象劫持)的方法是通过在SSM等行为防火墙中添加一条注册表的监控规则(如下图)来防御,具体可google ,或点此此处链接。
下:
电脑主页被改为:http://www.zhongjz.com/dd.htm?gg_0 多少修复未果,求高手帮忙
那是恶意木马病毒
你可以把电脑进行系统重装
或者重新装杀毒软件
用360卫士在高级选项里可以修复IE
你可以加我号,我帮你
木马高手
什么意思?系统感染木马病毒了?杀毒软件查杀。不行的话,那就直接换个验证过的系统盘重装系统就行了,这样就可以全程自动、顺利解决系统感染木马不读,无法清除的问题了。用u盘或者硬盘这些都是可以的,且安装速度非常快。但关键是:要有兼容性好的(兼容ide、achi、Raid模式的安装)并能自动永久激活的、能够自动安装机器硬件驱动序的系统盘,这就可以全程自动、顺利重装系统了。方法如下:
1、U盘安装:下载个经过验证的系统安装盘文件(ISO文件),用ultraiso软件做个安装系统的启动u盘,用这个做好的系统u盘引导启动机器后,即可顺利安装系统的;
2、硬盘安装:前提是,需要有一个可以正常运行的Windows系统,提取下载的ISO文件中的“*.GHO”和“安装系统.EXE”到电脑的非系统分区,然后运行“安装系统.EXE”,直接回车确认还原操作,再次确认执行自动安装操作。(执行前注意备份C盘重要资料!);
3、图文版教程:有这方面的详细图文版安装教程怎么给你?不能附加的。会被系统判为违规的。地址在“知道页面”右上角的…………si xin zhong…………有!望采纳!
为什么病毒“木马”要叫“木马”?
希腊人围攻特洛伊城,很多年不能得手后想出了木马的计策,他们把士兵藏匿于巨大的木马中。在敌人将其作为战利品拖入城内后,木马内的士兵爬出来,与城外的部队里应外合而攻下了特洛伊城。
计算机世界中的特洛伊木马病毒的名字就是由此得来。特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的程序,其隐蔽性极好,不易察觉,是一种极为危险的网络攻击手段。
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术. "木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.
一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好象有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.
还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内? 也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!