2007-07-18 22:40:53mafaly wangyeh
隱藏式木馬病毒-
隱藏式木馬病毒-有些
是掃毒程式掃瞄不出來的
木 馬 病 毒 有 些 是 隱 藏 檔 !!
官 方 的 掃 駭 程 式、PC、鐵 賽、
諾 頓、都 是 掃 不 出 來 的 。
>>>《 特 別 注 意 》<<<
其 他 異 常 程 式:包 括 exec3.exe、
r_server.exe、hiderun.exe、gatec.exe、
gates.exe、gatew.exe、nc1.exe、
radmin.exe、hbulot.exe ...等
已知檔名之惡意程式,另需人工檢......
( 詳細內容 ) >請打開
信件夾帶檔案
有些木馬程式是隱藏檔!!
無論是官方的掃駭程式、PC、鐵賽、諾頓、都掃不出來!!
>★)) 1 惡 意 病 毒 : hookit 『 鍵 盤 側 錄 程 式 』
視 窗 左 下 → 按 開 始 → 按 尋 找 → 選 檔 案 或 資 料 夾 →名 稱 輸 入 hookit
查 詢 先 找 C 槽 然 後 d . e . f ( 看 你 有 幾 個 都 要 找 一 次 ) ,
然 後 按 立 即 搜 尋 讓 它 搜 尋 一 下 ,
如 有 找 到 此 檔 , 代 表 你 的 電 腦 內 有 『 鍵 盤 側 錄 程 式 』 。
處 理 方 式 :
對 著 他 點 一 下 , 然 後 按 一 下 Delete 那 顆 把 它 刪 掉 。
>★)) 2 惡 意 程 式 : smcsvr 『 木 馬 程 式 』
視 窗 左 下 → 按 開 始 → 按 尋 找 → 選 檔 案 或 資 料 夾 → 名 稱 輸 入 smcsvr
如 有 找 到 此 檔 則 代 表 您 中 了 『 木 馬 』, 找 到 smcsvr 按 Delete 是 無 法 刪 除 的 , 因 為 它 會 說 他 正 在 執 行 。
處 理 方 式 :
開 始 → 執 行 → 輸 入 msconfig → 按 確 定 → 選 擇 最 右 邊 的 『 啟 動 』 → 把 SMCsvr.exe ( 有 時 候 有 好 幾 個 )
打 勾 取 消 ( 然 後 先 不 要 按 確 定 或 是 套 用 ) , 到 視 窗 左 下 → 按 開 始 → 按 尋 找 → 選 檔案 或 資料夾 → 名 稱 輸入smcsvr → 然 後 搜 尋 smcsvr 找 到 後 把 它 刪 除 , 需 重 新 開 機 。
>★)) 3 惡 意 程 式 : peep
此 為 木 馬 程 式 則 用 做 遠 端 遙 控 並 可 傳 遞 受 感 染 之 電 腦 內 任 何 檔 案 資 料 。
用 同 樣 步 驟 把 換 成 poop 再 搜 尋 一 次 , 通 常 會 存 放 在 c:winntsystem32 目 錄 之 下 。
處 理 方 式 :
找 到 的 檔 案 不 在 正 常 目 錄 下 的 都 按 Delete 刪 除 掉 ,
( 正 常 之 explorer.exe 是 存 放 在 c:winnt 之 目 錄 之 下 ) , peep.exe 木 馬 程 式 則 用 做 遠 端 遙 控 並 可 傳 遞 受 感 染 之 電 腦 內 任 何 檔 案 資 料 。
>★)) 4 惡 意 程 式 : service
於 網 路 連 線 後 以 T C P 方 式 連 線 至 跳 版 主 機 之 5 3 port , 一 般 5 3 port 為 D N S 之 用 。
用 同 樣 步 驟 把 換 成 service 再 搜 尋 一 次 , 常 之 系 統 檔 為 services.exe,存 放 於 c:winntsystem32 目 錄 之 下, 若 電 腦 有 service或 非位於c:winntsystem32目錄下,檔案 則 可能受到感染。
處 理 方 式 :
把不在正常目錄下的 檔案,對著他點一下,然 後 按Delete那顆把它刪掉。
>★)) 5 惡 意 程 式 : iexplore
該 程 式 改 編 自 知 名 偷 密 碼 程 式 之 passwordspy 、 Backdoor.PowerSpider 及 PWSteal.Netsnake , 為 知 名 收 集 密 碼
資 訊 程 式 的 變 種 , 會 蒐 集 受 害 者 所 輸 入 的 帳 號 密 碼 後 以 電 子 郵 件 方 式 傳 送 至 中 國 大 陸 的 某 個 郵 件 主 機 。
用 同 樣 步 驟 把 換 成 iexplore 再 搜 尋 一 次 , iexplore.exe 被 置 於 c:windowssystem32 目 錄 中
( 正 常 位 於 c:programFilesInternetExplorer )
處 理 方 式 :
把 不 在 正 常 目 錄 下 的 檔 案 , 對 著 他 點 一 下 , 然 後 按 一 下 Delete 那 顆 把 它 刪 掉 。
>>>《 特 別 注 意 》<<<
其 他 異 常 程 式:包 括 exec3.exe 、 r_server.exe 、 hiderun.exe 、
gatec.exe 、 gates.exe 、 gatew.exe 、 nc1.exe 、 radmin.exe 、 hbulot.exe , …等 已 知 檔 名 之 惡 意 程 式 , 另 需 人 工 檢 核 是 否 有 異 常 程 式 , 如 「 *.bat 」 及 「 *.reg 」通常為駭客入侵後
安裝惡意程式 使用之檔案 及pslist.exe、pskill.exe、pulist.exe…等p開頭
之檔案『 則 為 駭 客 工 具 檔 案 』 , 以 上 檔 案 通 常 存 放 於 c:winntsystem32 目 錄 之 下
好康分享:針對 [ 木馬病毒 ] 的兩個消毒程式 >>
我及一些網友已用此下載而修復電腦了,這是我使用過的第六種掃毒軟體,其他軟體
只能維持一段時間有用,後來就不行了;而這個軟體使用已兩年了,讓我肯定它的有效
功能。這是正版軟體,讓我終生保用,我們一輩子只需付款一次:新臺幣600元,不會
再追加其他費用。
先在奇摩知識找到這兩個方法>轉寄給你的網友吧~~這是對付木馬中毒.com的兩個方法 :
先試第一個,如果沒用,再試第二個 (第二個保證有用!!)
(或直接下載費爾木馬強力清除http://dl.filseclab.com/down/powerrmv.zip)
1. http://tw.knowledge.yahoo.com/question/question?qid=1306040304561
2. http://tw.knowledge.yahoo.com/question/question?qid=1106110808002
祝 你和你的電腦 >>百毒不侵 ,身心康泰 ,萬事如意~~
許多電腦使用者會經常遇到自己的防毒軟體報告發現PWSteal.Lineage這種病毒…
但卻無法清除和隔離它,或在清除後不久 ,它又出現,讓人非常苦惱。這時該怎麼辦呢?
其實PWSteal.Lineage是某些防毒軟體對某類遊戲木馬的一種統稱,它並不代表固定的
一個,而是一類,所以即使遇到同樣名字的木馬可能並不相同。
費爾托斯特安全是可以清除木馬和病毒的軟體,並且有很強的清除能力,如果您有它的正
式版可以升級到最新病毒碼後嘗試用它掃瞄清除,但這裡特別提醒一點:由於這類木馬新
變種層出不窮,所以不能保證費爾托斯特安全能識別出目前所有的或您遇到的。
除此之外難道就沒其他辦法了嗎?有的,下方就介紹一個借助免費工具「費爾木馬強力清除助手」(此工具已集成到費爾托斯特安全新版本中了)來清除這種頑固PWSteal.Lineage木馬的方法:
1. 使用這個方法前必須要先知道這個木馬的檔案名是什麼。防毒軟體在發現木馬後,
一般都會報告它的完整檔名,您要先準確的記錄這個檔名。比如:如果防毒軟體提示 C:Windowshello.dll是PWSteal.Lineage,則記下C:Windowshello.dll這檔名。
注意檔名一定要記準確,因木馬會把檔名故意偽裝成和正常的檔名很接近,如 :
svch0st.exe(木馬)>svchost.exe(正常)、Expl0rer.exe(木馬)>Explorer.exe(正常)
、intrenat.exe / internet.exe(木馬)>internat.exe(正常)…等。
特別是數位0和大寫字母O幾乎一樣,很容易讓人看錯,所以您一定要注意區分它們,
否則您把正常的檔案清除掉,那您就麻煩了!!
2.暫停防毒軟體的即時監控,這一點很重要,否則在清除時可能會被阻止而無法成功。
比如當初是您的諾頓發現這個木馬,在清除時請先暫停諾頓的即時監控或即時掃瞄;
1. 下載費爾木馬強力清除助手http://dl.filseclab.com/down/powerrmv.zip;
2. 釋放PowerRmv.zip到一個目錄,然後執行其中的PowerRmv.exe啟動「費爾
木馬強力清除助手」。在「檔案名」輸入要清除的木馬檔名。比如您在第1步記下
的檔名是C:Windowshello.dll,這時就輸入C:Windowshello.dll;
3. 按「清除」。這時程式會詢問你是否要舉報此病毒到費爾安全實驗室,建議點「是」
表示同意。接著程式會繼續提示是否確定要清除它,仍然選「是」;
4. 之後,如果此木馬被成功清除程式會提示成功;或也可能提示此木馬無法被立即
刪除需要重新啟動電腦。無論是哪種情況請點選「確定」,這時如您在前同意舉報
此木馬那程式會自動創建並開啟一個「病毒舉報」的電子郵件,其中包含這個木馬
的樣本檔案,如您看到這個郵件請把它直接傳送給virus@filseclab.com。
如果您並沒看到這封郵件也沒關係,可以忽略。
5. 最後,如程式前面提示重新啟動電腦才能清除,那就一定要重新啟動電腦,重新
啟動後,這個木馬應該就被清除掉了。
重要提示:如果您按方法操作之後,發現這個木馬不久又出現,且是同樣的檔案名,那您可用上面的方法再重複執行一次,不過這次操作時請選擇程式中的「抑制檔案再次生成」選項
,這樣清除後,一般木馬就很難再復活了。這個功能是最新版「費爾木馬強力清除助手」提供的,如果您沒這個選項,請重新下載http://dl.filseclab.com/down/powerrmv.zip
注 意:
「費爾木馬強力清除助手」有很強的檔案刪除能力,清除後的檔案將無法再還原,
所以在清除前一定要確定檔案名沒錯誤輸入。
如果您按方法操作後,仍不能成功除掉木馬,則是電腦中還存在另外一個更主要的
木馬,在它被清除後自動從另一處還原。這時要用防毒軟體掃瞄出所有的木馬,然後
逐一或同時清除才行。
是掃毒程式掃瞄不出來的
木 馬 病 毒 有 些 是 隱 藏 檔 !!
官 方 的 掃 駭 程 式、PC、鐵 賽、
諾 頓、都 是 掃 不 出 來 的 。
>>>《 特 別 注 意 》<<<
其 他 異 常 程 式:包 括 exec3.exe、
r_server.exe、hiderun.exe、gatec.exe、
gates.exe、gatew.exe、nc1.exe、
radmin.exe、hbulot.exe ...等
已知檔名之惡意程式,另需人工檢......
( 詳細內容 ) >請打開
信件夾帶檔案
有些木馬程式是隱藏檔!!
無論是官方的掃駭程式、PC、鐵賽、諾頓、都掃不出來!!
>★)) 1 惡 意 病 毒 : hookit 『 鍵 盤 側 錄 程 式 』
視 窗 左 下 → 按 開 始 → 按 尋 找 → 選 檔 案 或 資 料 夾 →名 稱 輸 入 hookit
查 詢 先 找 C 槽 然 後 d . e . f ( 看 你 有 幾 個 都 要 找 一 次 ) ,
然 後 按 立 即 搜 尋 讓 它 搜 尋 一 下 ,
如 有 找 到 此 檔 , 代 表 你 的 電 腦 內 有 『 鍵 盤 側 錄 程 式 』 。
處 理 方 式 :
對 著 他 點 一 下 , 然 後 按 一 下 Delete 那 顆 把 它 刪 掉 。
>★)) 2 惡 意 程 式 : smcsvr 『 木 馬 程 式 』
視 窗 左 下 → 按 開 始 → 按 尋 找 → 選 檔 案 或 資 料 夾 → 名 稱 輸 入 smcsvr
如 有 找 到 此 檔 則 代 表 您 中 了 『 木 馬 』, 找 到 smcsvr 按 Delete 是 無 法 刪 除 的 , 因 為 它 會 說 他 正 在 執 行 。
處 理 方 式 :
開 始 → 執 行 → 輸 入 msconfig → 按 確 定 → 選 擇 最 右 邊 的 『 啟 動 』 → 把 SMCsvr.exe ( 有 時 候 有 好 幾 個 )
打 勾 取 消 ( 然 後 先 不 要 按 確 定 或 是 套 用 ) , 到 視 窗 左 下 → 按 開 始 → 按 尋 找 → 選 檔案 或 資料夾 → 名 稱 輸入smcsvr → 然 後 搜 尋 smcsvr 找 到 後 把 它 刪 除 , 需 重 新 開 機 。
>★)) 3 惡 意 程 式 : peep
此 為 木 馬 程 式 則 用 做 遠 端 遙 控 並 可 傳 遞 受 感 染 之 電 腦 內 任 何 檔 案 資 料 。
用 同 樣 步 驟 把 換 成 poop 再 搜 尋 一 次 , 通 常 會 存 放 在 c:winntsystem32 目 錄 之 下 。
處 理 方 式 :
找 到 的 檔 案 不 在 正 常 目 錄 下 的 都 按 Delete 刪 除 掉 ,
( 正 常 之 explorer.exe 是 存 放 在 c:winnt 之 目 錄 之 下 ) , peep.exe 木 馬 程 式 則 用 做 遠 端 遙 控 並 可 傳 遞 受 感 染 之 電 腦 內 任 何 檔 案 資 料 。
>★)) 4 惡 意 程 式 : service
於 網 路 連 線 後 以 T C P 方 式 連 線 至 跳 版 主 機 之 5 3 port , 一 般 5 3 port 為 D N S 之 用 。
用 同 樣 步 驟 把 換 成 service 再 搜 尋 一 次 , 常 之 系 統 檔 為 services.exe,存 放 於 c:winntsystem32 目 錄 之 下, 若 電 腦 有 service或 非位於c:winntsystem32目錄下,檔案 則 可能受到感染。
處 理 方 式 :
把不在正常目錄下的 檔案,對著他點一下,然 後 按Delete那顆把它刪掉。
>★)) 5 惡 意 程 式 : iexplore
該 程 式 改 編 自 知 名 偷 密 碼 程 式 之 passwordspy 、 Backdoor.PowerSpider 及 PWSteal.Netsnake , 為 知 名 收 集 密 碼
資 訊 程 式 的 變 種 , 會 蒐 集 受 害 者 所 輸 入 的 帳 號 密 碼 後 以 電 子 郵 件 方 式 傳 送 至 中 國 大 陸 的 某 個 郵 件 主 機 。
用 同 樣 步 驟 把 換 成 iexplore 再 搜 尋 一 次 , iexplore.exe 被 置 於 c:windowssystem32 目 錄 中
( 正 常 位 於 c:programFilesInternetExplorer )
處 理 方 式 :
把 不 在 正 常 目 錄 下 的 檔 案 , 對 著 他 點 一 下 , 然 後 按 一 下 Delete 那 顆 把 它 刪 掉 。
>>>《 特 別 注 意 》<<<
其 他 異 常 程 式:包 括 exec3.exe 、 r_server.exe 、 hiderun.exe 、
gatec.exe 、 gates.exe 、 gatew.exe 、 nc1.exe 、 radmin.exe 、 hbulot.exe , …等 已 知 檔 名 之 惡 意 程 式 , 另 需 人 工 檢 核 是 否 有 異 常 程 式 , 如 「 *.bat 」 及 「 *.reg 」通常為駭客入侵後
安裝惡意程式 使用之檔案 及pslist.exe、pskill.exe、pulist.exe…等p開頭
之檔案『 則 為 駭 客 工 具 檔 案 』 , 以 上 檔 案 通 常 存 放 於 c:winntsystem32 目 錄 之 下
好康分享:針對 [ 木馬病毒 ] 的兩個消毒程式 >>
我及一些網友已用此下載而修復電腦了,這是我使用過的第六種掃毒軟體,其他軟體
只能維持一段時間有用,後來就不行了;而這個軟體使用已兩年了,讓我肯定它的有效
功能。這是正版軟體,讓我終生保用,我們一輩子只需付款一次:新臺幣600元,不會
再追加其他費用。
先在奇摩知識找到這兩個方法>轉寄給你的網友吧~~這是對付木馬中毒.com的兩個方法 :
先試第一個,如果沒用,再試第二個 (第二個保證有用!!)
(或直接下載費爾木馬強力清除http://dl.filseclab.com/down/powerrmv.zip)
1. http://tw.knowledge.yahoo.com/question/question?qid=1306040304561
2. http://tw.knowledge.yahoo.com/question/question?qid=1106110808002
祝 你和你的電腦 >>百毒不侵 ,身心康泰 ,萬事如意~~
許多電腦使用者會經常遇到自己的防毒軟體報告發現PWSteal.Lineage這種病毒…
但卻無法清除和隔離它,或在清除後不久 ,它又出現,讓人非常苦惱。這時該怎麼辦呢?
其實PWSteal.Lineage是某些防毒軟體對某類遊戲木馬的一種統稱,它並不代表固定的
一個,而是一類,所以即使遇到同樣名字的木馬可能並不相同。
費爾托斯特安全是可以清除木馬和病毒的軟體,並且有很強的清除能力,如果您有它的正
式版可以升級到最新病毒碼後嘗試用它掃瞄清除,但這裡特別提醒一點:由於這類木馬新
變種層出不窮,所以不能保證費爾托斯特安全能識別出目前所有的或您遇到的。
除此之外難道就沒其他辦法了嗎?有的,下方就介紹一個借助免費工具「費爾木馬強力清除助手」(此工具已集成到費爾托斯特安全新版本中了)來清除這種頑固PWSteal.Lineage木馬的方法:
1. 使用這個方法前必須要先知道這個木馬的檔案名是什麼。防毒軟體在發現木馬後,
一般都會報告它的完整檔名,您要先準確的記錄這個檔名。比如:如果防毒軟體提示 C:Windowshello.dll是PWSteal.Lineage,則記下C:Windowshello.dll這檔名。
注意檔名一定要記準確,因木馬會把檔名故意偽裝成和正常的檔名很接近,如 :
svch0st.exe(木馬)>svchost.exe(正常)、Expl0rer.exe(木馬)>Explorer.exe(正常)
、intrenat.exe / internet.exe(木馬)>internat.exe(正常)…等。
特別是數位0和大寫字母O幾乎一樣,很容易讓人看錯,所以您一定要注意區分它們,
否則您把正常的檔案清除掉,那您就麻煩了!!
2.暫停防毒軟體的即時監控,這一點很重要,否則在清除時可能會被阻止而無法成功。
比如當初是您的諾頓發現這個木馬,在清除時請先暫停諾頓的即時監控或即時掃瞄;
1. 下載費爾木馬強力清除助手http://dl.filseclab.com/down/powerrmv.zip;
2. 釋放PowerRmv.zip到一個目錄,然後執行其中的PowerRmv.exe啟動「費爾
木馬強力清除助手」。在「檔案名」輸入要清除的木馬檔名。比如您在第1步記下
的檔名是C:Windowshello.dll,這時就輸入C:Windowshello.dll;
3. 按「清除」。這時程式會詢問你是否要舉報此病毒到費爾安全實驗室,建議點「是」
表示同意。接著程式會繼續提示是否確定要清除它,仍然選「是」;
4. 之後,如果此木馬被成功清除程式會提示成功;或也可能提示此木馬無法被立即
刪除需要重新啟動電腦。無論是哪種情況請點選「確定」,這時如您在前同意舉報
此木馬那程式會自動創建並開啟一個「病毒舉報」的電子郵件,其中包含這個木馬
的樣本檔案,如您看到這個郵件請把它直接傳送給virus@filseclab.com。
如果您並沒看到這封郵件也沒關係,可以忽略。
5. 最後,如程式前面提示重新啟動電腦才能清除,那就一定要重新啟動電腦,重新
啟動後,這個木馬應該就被清除掉了。
重要提示:如果您按方法操作之後,發現這個木馬不久又出現,且是同樣的檔案名,那您可用上面的方法再重複執行一次,不過這次操作時請選擇程式中的「抑制檔案再次生成」選項
,這樣清除後,一般木馬就很難再復活了。這個功能是最新版「費爾木馬強力清除助手」提供的,如果您沒這個選項,請重新下載http://dl.filseclab.com/down/powerrmv.zip
注 意:
「費爾木馬強力清除助手」有很強的檔案刪除能力,清除後的檔案將無法再還原,
所以在清除前一定要確定檔案名沒錯誤輸入。
如果您按方法操作後,仍不能成功除掉木馬,則是電腦中還存在另外一個更主要的
木馬,在它被清除後自動從另一處還原。這時要用防毒軟體掃瞄出所有的木馬,然後
逐一或同時清除才行。