中木马了！怎么办！

2009/12/1镜像同步8 回复

死瑞星也放不住啊在网上下一个软件，结果下载下来的是个木马，装了一大堆垃圾东西，还有一个假ie快捷方式，好不容易删除了，重启后又出来了，气死了！请问这是什么木马啊？我需要怎么清除这个木马啊？！瑞星日志如下：规则 ID: 79 防护类型: 修改进程: C:\WINDOWS\SYSTEM32\WSCRIPT.EXE 数值名称: HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\USERINIT 旧值: C:\WINDOWS\system32\userinit.exe, 新值: C:\WINDOWS\system32\userinit.exe,C:\Program Files\systemfiles\system32.exe ------------------------------------------------------- 规则 ID: 2415919117 进程: C:\WINDOWS\SYSTEM32\WSCRIPT.EXE;C:\WINDOWS\SYSTEM32\WSCRIPT.EXE; 相关文件: C:\WINDOWS\SYSTEM32\WSCRIPT.EXE;

订阅后，新回复会通过你的通知中心匿名送达。

8 条回复

lichehuo机器人#1 · 2009/12/1

到google搜索下，如果实在找不到方法就用下面的。终极解决办法：重装

smilefufu机器人#2 · 2009/12/1

下的啥东西？传上来看看呗。或者给个下载地址也行。

freeflying机器人#3 · 2009/12/1

找一个工具，把木马相关进程kill，文件删除，注册表再用瑞星或者其他的回复一下，然后重启

charon机器人#4 · 2009/12/1

一直信不过瑞星网上搜搜有没有专杀吧

DevilBupt机器人#5 · 2009/12/1

试试用ICEword将木马相关的进程、隐藏文件等删除。。。

Argue机器人#6 · 2009/12/2

这个我手动删除过，有需要请站内

hydralisk001机器人#7 · 2009/12/2

你确定是木马？如果只是一个恶意网页或广告网页的话就很简单，我都自己删过两次了。如果不是，下面的内容可以忽略。手动删除恶意网页步骤一检查开机自启动程序可以在桌面运行中运行msconfig，查看启动选项卡，看是不是有未知程序被添加进去。或者在注册表中查看: HKEY_CURRENT_USER->Software->Microsoft->Windows->CurrentVersion->Run 和 HKEY_LOCAL_MACHINE->Software->Microsoft->Windows->CurrentVersion->Run 删除恶意程序。记住恶意程序路径，下一步就是删除这些程序本身。其实windows中令程序自启动的方法有很多，不过这两种方法是最常见的。如果在这两个地方都没有发现可疑程序，可以在google中搜索“Windows程序自启动”，会发现许多这方面的文章，按里面给出的列表一项一项地查找就行了。步骤二删除恶意程序根据第一步中的路径信息，找到恶意程序及其相关文件并删除之。如果恶意程序是以.bat、.vbs等为后缀的批处理文件或脚本，以文本方式打开，将会开到这些程序自动运行后在自己电脑上执行的操作。在寻找并修复遭到破坏的文件时，这些内容能够提供很多线索。步骤三修复IE浏览器的设置恶意网页主要用过三种方式影响浏览器的行为。一是通过修改注册表改变默认主页或默认搜索引擎等；二是更改浏览器运行的参数，使用户每次打开浏览器时都会向特定网址发送请求；三是生成伪装的浏览器程序，替代真正的浏览器。对于第一种情况，有两种恢复方法：一是在浏览器中选择“工具->Interne选项”进行修改，二是使用注册表编辑器进行修改，步骤如下：开始运行 regedit打开注册表编辑器，找到 HKEY_CURRENT_USER->Software->Microsoft->Internet Explorer->Main 和 HKEY_LOACL_MACHINE->Software->Microsoft->Internet Explorer->Main 检查其子项，恢复为自己的设置即可。最常见的是Start Page选项被修改。对于第二种情况，需要检查每一个浏览器的快捷方式，在其上点击右键->属性->快捷方式，在目标中能够发现如下内容："C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.xxxxx.com，如果后面的网址是恶意软件添加上去的，将其删除即可。对于第三种情况，也需要检查浏览器的快键方式及其主程序。通过右键->属性查看，这些冒牌货往往会露出马脚。我遇到的两次伪装行为中，假的Internet Explorer快捷方式包含常规和Web文档选项卡；正常的快捷方式包括常规、快捷方式、兼容性三个选项卡。伪装的Internet Explorer快捷方式右键弹出菜单也和正常的快捷方式不一样，没有winrar、扫描病毒等选项。用真正的文件替换这些冒牌文件即可。步骤四清理残余最后就是还原恶意网页所做的其他改动，有些恶意网页不只是改变浏览器的行为，还干了其他一些坏事，例如修改收藏夹的内容，下载并安装其他程序，改变其他软件的启动参数，这些都需要进行相应的恢复。我第一次中的恶意网页比较棘手，它将QQ快捷方式指向它的执行脚本，这样在系统配置程序和在注册表中都看不出有什么异常，但开机时QQ不能启动。除此之外，在桌面上的伪装程序无法删除，右键中没有删除项，按delete也没反应，在命令行终端也看不到这个文件，最后使用桌面清理向导才成功删除。附录（转载）如何找回“运行桌面清理向导” 方法有二: 1.组策略方法:开始运行输入gpedit.msc打开组策略.依次找到 "用户配置"-"管理模板"-"桌面"然后在右边找到"删除桌面清理向导"双击它,将此改为"已禁用"或者是"未配置"即可. 2.注册表方法:在开始运行中输入下面的命令即可.cmd /k reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDesktopCleanupWizard /f。

Xsetc机器人#8 · 2009/12/2

学学人家周鸿伟吧用锤子把木马给砸了.. 从此木马就被消灭了.. 嗯 http://news.csdn.net/a/20090915/213722.html 此地有图有真相