怎样编译exe清除木马
⑴ 怎样删除exe程序下的木马病毒Win32/Trojan.cad,保留exe程序
win32/trojan.e6d是病毒的,建议你按360提示处理它如雹者果不好清理,建议你用如下方法试试:
(1)重启电脑时,f8
进带网络安全模式
(2)用360安全卫士依次进行:清除插件、清除垃圾、清除痕帆竖迹源轿薯、系统修复、高级工具“开机启动项管理”一键优化、使用“木马查杀”杀木马,用360杀毒全盘杀毒。
如果还没清除用下以方案:
(3)重新启动,f8
进带网络安全模式
(4)用360系统急救箱试一试
,希望能帮助你
⑵ 如何清除exe文件中捆绑的木马 还得保留原来的文件 很多杀毒软件直接把我的文件杀死了 怎么办
过去的exe捆绑工具,比较简单,您可以网上找找反捆绑工具来尝试解决。
后来的exe捆绑工具可能会采取加密等方式,或者删除文件头,碰梁枣防止被监测到。这样的话,恢复起来很麻烦渣橡,所以只能重新笑拆下载安装了。
⑶ 跪求木马清除方法
清除木马V1.6版本:
该木马运行时,将不能通过98的正常**作关闭,只能RESET键。彻底清除步骤如下:
1.打开控制面板--添加删除程序--删除memory
manager
3.0,这就是笑培斗木马程序,但
是它并不会把木马的EXE文件删除掉。
2.用98或DOS启动盘启动(用RESET键)后,转入C:\,编辑AUTOEXEC。BAT,把如下内容
删除:
@echo
off
c:\sys.lon
c:\windows\startm~1\programs\startup\mdm.exe
del
c:\win.reg
保存AUTOEXEC。BAT文件并返回DOS后,在C:\根目录下删除木马文件:
del
sys.lon
del
windows\startm~1\programs\startup\mdm.exe
del
progra~1\mdm.exe
3.抽出软盘重新启动,进入98后,把c:\program
files\目录下的memory
manager
目录
删除。
清除木马V1.7版本:
首先,打开C:\AUTOEXEC.BAT文件,删除
@echo
off
c:\sys.lon
c:\windows\startm~1\programs\startup\mdm.exe
del
c:\win.reg
关闭保存autoexec.bat
然后打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
找到c:\windows\system\mdm.exe路径并删除这个项目
点击目录至:
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到"C:\windows\system\kernal32.exe"路径并删除这个项目
关闭保存Regedit。重新启动Windows。
最后,删除以下木马程序:
c:\中橘sys.lon
c:\iecookie.exe
c:\windows\start
menu\programs\startup\mdm.exe
c:\program
files\mdm.exe
c:\windows\system\mdm.exe
c:\windows\system\kernal32.exe
注意:kernal32是A
OK
75.
Revenger
v1.0
-
1.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:AppName
="C:\...\server.exe"
关闭保存Regedit,重新启动Windows
在c:\windows查找相应的木马程序server.exe,并删除
OK
76.
Ripper
清除木马的步骤:
打开system.ini文件
将shell=explorer.exe
sysrunt.exe
改为shell=
explorer.exe
关闭保存system.ini,重碰磨新启动Windows
在c:\windows查找相应的木马程序sysrunt.exe,并删除
OK
77.
Satans
Back
Door
v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:sysprot
protection
="C:\windows\sysprot.exe"
关闭保存Regedit,重新启动Windows
删除C:\windows\sysprot.exe
OK
78.
Schwindler
v1.82
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:User.exe
=
"C:\WINDOWS\User.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\User.exe
OK
79.
Setup
Trojan
(Sshare)
+Mod
Small
Share
这个共享隐藏C盘的木马
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\
选择右边有''C$''的项目,并全部删除
关闭保存Regedit,重新启动Windows
OK
80.
ShadowPhyre
v2.12.38
-
2.X
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:WinZipp
=
"C:\WINDOWS\SYSTEM\WinZipp.exe
/nomsg"
或者WinZip
=
"C:\WINDOWS\SYSTEM\WinZip.exe
/nomsg"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\
WinZipp.exe或者C:\WINDOWS\
WinZip.exe
OK
81.
Share
All
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\
这里你将看到所有被木马共享出来的你的硬盘符号,把它们一个个删除掉。
82.
ShitHeap
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:recycle-bin
=
"c:\windows\system\recycle-bin.exe"
或者recycle-bin
=
"c:\windows\system.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\system\recycle-bin.exe或者c:\windows\system.exe
OK
83.
Snid
v1
-
2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:System-tray
=
''c:\windows\temp$01.exe''
关闭保存Regedit,重新启动Windows
删除c:\windows\temp$01.exe
OK
84.
Softwarst
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:NetApp
=
C:\windows\system\winserv.exe
关闭保存Regedit,重新启动Windows
删除C:\windows\system\winserv.exe
OK
⑷ 如何删除EXE木马
这是软件或系统文件的后缀名,如果您确定是木马那建议您使用 360安全卫士,彻底查杀各种流氓软件、以及木马。
这种EXE病毒是感染性病毒吧,是不能轻易删除的丛嫌卜,双击360系统急救箱,出现如图的界面,然后单击“开始系统急救”。 系统引擎初始化完成后,单击“修复”,勾选需要修复的类型,然后单击“立即修复”,完成后重新启动电脑。如果你不知道属于哪一类故障不懂得应该修复哪一类可以使用系统推荐的修复级别,不用选择而直接单击“立即修者帆复”,或者勾选“全选”然后直接单击“立即修复”。
强制性删除:在运行菜单里输入regedit,然后按F3,搜索所有带有.exe的关键词,搜到后找到您想删除的。这样就可以了。最好在运行菜单里输入渗穗msconfig,看正常程序启动项有没有这个木马加载运行,如果有,则去掉前面的勾,然后重启电脑,ok!
⑸ 如何去除EXE文件中的病毒!
用解包软件把该exe文件解包,删除带毒的文件后重新打包安装。
这个可能是有些哪纯念难度,所以李困建议你最好是再去下载一个无毒的安装包来进裤陆行安装。
⑹ 怎样剥离exe文件中的木马
你好:
这个得看具体情况,如果这个EXE本身就是木马,那么必须删除,是不可能剥离木马的
如果木马是后捆绑上去的,
你可以访问腾讯电脑管配键家官网,下载安装一个电脑管家
使用电脑管家的杀毒功能来查杀一下
电脑管家的杀毒部分含有管家第二代反病毒引擎鹰眼,它有机器学习技术,CPU虚拟执行技术,可以在杀毒的同时,修复染毒的文件,这样清除了木马之后,EXE仍然是可以使用的
如果以后有什么问题,欢迎再来宴弯电脑管家企培祥巧业平台询问,我们会尽心为您解答
⑺ 清除EXE文件中的木马
您好,很银返高兴能为您解答。
一.安装腾讯慎搏亮电脑管家。腾讯电脑管家官网
二.使用腾讯电脑管家对您的电脑进行全盘查杀。
腾讯电脑管家企业平台:http://..com/c/guanjia/
⑻ cmd.exe病毒的木马清除
该木马可以很方便的手工清除,过程如下:
打开“任务管理器”,在“进程”中结束和枣cmd.exe的运行,此时CPU占用率会明显下降;
进入C:Documents and SettingsAdministratorLocal SettingsTemp目录,删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件;(这一步不做也没有问题,但最好清除掉)败盯
进入c:Program FilesInternet ExplorerPLUGINS目录,删除new123.bak文件,但此时你无法删除new123.sys文件,因为系统正在使用,你有两种方式处理new123.sys文件:
重启机器并进入安全模式对new123.sys进行删除;
当前状态虽无法删除该文件,但可更改new123.sys的文件名为new123.sysdel,并且重启机器(无需进入安全模式)后,再把new123.sysdel进行删除。
处理完后,察棚和如果“症状描述”中的情况消失,则说明清除成功。
⑼ 怎么清除***.exe.exe程序中的木马啊
病毒主体是exe.exe
把那个样本重新测试了一遍,并试着干掉了它
File: exe.exe
Size: 58880 bytes
MD5:
SHA1:
CRC32: 5CF7762F
运行后不断修改svchost.exe的内存
创建服务ICF
服务相关键值
HKLM\SYSTEM\ControlSet001\Services\ICF\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\ControlSet001\Services\ICF\Type: 0x00000110
HKLM\SYSTEM\ControlSet001\Services\ICF\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\ICF\ErrorControl: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\ICF\ImagePath: "C:\WINDOWS\system32\svchost.exe:exe.exe"
HKLM\SYSTEM\ControlSet001\Services\ICF\DisplayName: "ICF"
HKLM\SYSTEM\ControlSet001\Services\ICF\Group: "TDI"
HKLM\SYSTEM\ControlSet001\Services\ICF\ObjectName: "LocalSystem"
将C:\WINDOWS\system32\svchost.exe加入到Windows 防火墙的排除的程序中
修改C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system32\svchost.exe (应该是加入了他的那个exe.exe了吧)
(但windows并未报警说文件被修改,不知为什么)
清除办法想了很久 因为那个服务好删除 但C:\WINDOWS\system32\svchost.exe的纤旅那个隐藏的数据流怎么给他删除呀?从其他电脑上拷一个?是个办法,但是比较麻烦呀,还得在 dos 下弄 毕竟svchost.exe是个系统关键进程呀。
最后找到了个叫NTFSDataTest的软件 Made in China的
开始咯
1.删掉他的服务
打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
ICF
2.删除隐藏的数据流
打开那个NTFSDataTest的软件
输入要检测的路径
C:\WINDOWS\system32
可以看到 软件检测到一个NTFS数据流 在C:\WINDOWS\system32\svchost.exe下面 双击检测出来的C:\WINDOWS\system32\svchost.exe
可以看到那个隐藏的exe.exe现余渗形咯
右键 删除流
OK 再用sreng检测一遍 被干掉咯 哈哈
最后在网上找了点关于NTFS数据流病毒的资料 给大家分享一下
什么是NTFS数据流?
在介绍NTFS数据流之毁毁凳前,我们先简单了解一下NTFS文件系统。NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更稳定,更安全,功能也更为强大。如果要让FAT文件系统转换为NTFS文件系统,可以在“命令提示符”中输入“convert 分区盘符: /fs:ntfs”,即可将该分区的文件系统转换为NTFS。
NTFS交换数据流(alternate data streams,简称ADS)是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。它使用资源派生来维持与文件相关的信息,虽然我们无法看到数据流文件,但是它却是真实存在于我们的系统中的。创建一个数据交换流文件的方法很简单,命令为“宿主文件:准备与宿主文件关联的数据流文件”。
那么为什么我们无法看到系统中的数据流文件呢,是Windows为了防止我们误删数据流文件而故意设置的障碍吗?答案是否定的,我们之所以无法在系统中看到NTFS数据流文件,是因为Windows中的很多工具对数据流文件的支持并不是很好,就像“资源管理器”,我们无法在“资源管理器”中看到有关数据流文件的变化。这种缺陷让木马有机可趁,通过NTFS数据流将自己隐藏起来,从此就从“资源管理器”中消失了。例如Rootkit木马中的文件隐藏功能,就是利用了NTFS数据流。
NTFS数据流的创建实例
相信不少看了上文介绍的读者朋友还是对NTFS数据流一头雾水,没有关系,下面我们通过实例来深入了解一下NTFS数据流。
创建宿主文件
宿主文件在这里指的就是普通文件,是在Windows中可以正常显示、运行、编辑的任何类型文件。我们先来创建一个txt格式的文本文档,把它作为宿主文件。运行“记事本”,随意输入一些内容,例如“测试——宿主文件”,然后将其保存为C:\test\suzhu.txt。接着我们在suzhu.txt上点右键,选择“属性”,可以发现其文件大小为16字节。
关联数据流文件
宿主文件创建完成后,我们再来创建一个数据流文件,将其与宿主文件关联,看看宿主文件会发生什么变化。点击“开始”→“运行”,输入cmd运行“命令提示符”,切换到C:\test\目录中,输入命令“echo "测试——数据流文件" > suzhu.txt:shujuliu.txt”。这样我们就创建了一个名为shujuliu.txt,内容为“测试——数据流文件”的数据流文件,并与宿主文件suzhu.txt进行了关联。
小贴士:在“命令提示符”中输入创建数据流命令后,不会有提示,但数据流文件已经成功创建了。
让我们回到C:\test\目录中,可以发现在该文件夹中只有一个suzhu.txt,而没有数据流文件shujuliu.txt,即使在“命令提示符”中使用“dir”命令也找不到shujuliu.txt。既然宿主文件suzhu.txt和数据流文件shujuliu.txt进行了关联,那么是不是shujuliu.txt的内容合并到suzhu.txt中了呢?我们打开suzhu.txt,其中的内容并没有改变,仍然是“测试——宿主文件”,而文件大小仍是16字节。
那么数据流文件shujuliu.txt哪去了呢?还是用“命令提示符”让它现形吧,在“命令提示符”中输入命令“notepad suzhu.txt:shujuliu.txt”,在弹出的记事本程序中就会出现数据流文件shujuliu.txt的内容。而我们在“命令提示符”中使用type、edit等命令对数据流文件进行编辑时,将会出现错误,这是因为“命令提示符”还不能很好地支持数据流文件。记事本虽然能够打开数据流文件,但并不表示它能完全支持NTFS数据流,这一点我们在“另存为”数据流文件的时候就会发现。
创建数据流文件
我们除了能将数据流文件和宿主文件进行绑定外,还能够创建单独的数据流文件。在“命令提示符”中输入“echo "测试——数据流文件" > :shujuliu2.txt”,这样就创建了一个名为shujuliu2.txt的数据流文件,而这个文件无论是在“资源管理器”还是在“命令提示符”中使用“dir”命令,都是无法看到的。可以说,这个文件已经在系统中隐身了,我们只能通过输入命令“notepad :shujuliu2.txt”得知它的存在,而即使知道它的存在,我们也无法删除,因为命令提示符中“del”命令已经失去了作用。唯一能将之删除的办法,就是删除其上一级目录,如果单独的数据流文件存在于磁盘根目录,那么删除它将是一件很痛苦的事。
文中的数据流文件我们都是以文本文档举的例子,而数据流文件是不局限于文本文档的,任何文件都可以作为数据流文件,包括可执行程序,图片,声音等等。这就至少造成两个隐患:一是黑客入侵后可能将黑客工具通过数据流隐藏起来,当然也有病毒发作后将病毒文件进行隐藏的;二是通过某些途径,让数据流文件可以自动执行,起到隐藏木马的效果。说了那么多,黑客到底是如何利用NTFS数据流进行攻击的呢?接着往下看。
NTFS数据流木马的查杀
到目前为止,很多杀毒软件仍然不能较好地查杀本机上的NTFS数据流文件和利用数据流制作的木马,可以使用一些专业的NTFS数据流检查工具,找出隐藏在系统中的恶意文件。
专业检测NTFS数据流文件的工具有Sfind.exe、Streams.exe、lads.exe等,这里我们以lads.exe为例进行介绍。lads.exe是一个命令下的工具,需要在“命令提示符”中使用。在“命令提示符”中运行lads.exe,程序会自动检测当前目录中的NTFS数据流文件,如果要检测子目录中的数据流文件,可以在lads.exe运行的同时添加一个参数“/s”,这样就可以检测到子目录中的数据流文件了。对指定文件夹进行检测时,可以使用“lads.exe 文件夹路径”命令。
对于上文中介绍的那种利用NTFS数据流制作的木马自解压文件,也是可以防范的。首先当我们下载到一个自解压文件时,不要双击运行,可以在自解压文件上点击鼠标右键,选择“用Winrar打开”,如果发现其中的文件夹是空的,那么就要留个心眼了,很可能这就是一个数据流木马陷阱。其次,不管杀毒软件是不是能查杀NTFS数据流木马,木马程序运行后,在内存中还是会还原出来的,一般的杀毒软件都带有内存监控功能,可以将木马程序在内存中拦截下来。因此,勤升级杀毒软件也是防范NTFS数据流木马比较有效的办法。