SimoneTrojan.generic
的有关信息介绍如下:问题补充说明:在别人电脑上用过我的U盘后,回来就感染了病毒。每次打开U盘,卡巴就会显示Trojan.generic风险软件,运行进程(PID:3908):H:\setup.exe,进程被用户终止,推荐恢复对系统做过的更改。查... 在别人电脑上用过我的U盘后,回来就感染了病毒。每次打开U盘,卡巴就会显示Trojan.generic风险软件,运行进程(PID:3908):H:\setup.exe,进程被用户终止,推荐恢复对系统做过的更改。查看处理历史,删除文件 C:\WINDOWS\system32\drivers\nvscv32.exe.我应该怎样救救我的U盘?谢谢!我的电脑也中招了吗?我总觉得我电脑没事,被卡巴主动防御了。我现在就是想救救我的U盘。另外,如果右键打开U盘卡巴就不会跳出来警告。 展开
特鲁伊木马病毒!
这种病毒怎么清除?特洛伊木马(Trojanhorse)
完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安屋损富厂格附各装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你技拿搞著镇电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可线言了。
木马程序不能算是一种病毒,但越来越多的新版的杀毒软件律修必罗,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。
特洛伊木严限零情余压德乙文鲜有马是如何启动的
1.在Win静况府体.ini中启动
在罪进完Win.ini的[windows]字段中有启动命令"load="和"run=",在一般情况下"="后面是空白的,如果有后跟程序,比方说是这个样子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,这个file.exe很可能是木马哦。
2.在System.ini中启动
System.ini位于W初营责刻非茶众点indows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所,木马通常的做法是将该何变为这样:投检民多shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!
另外,在System.中的[386Enh]字段,要注意检查在此段内的"driver=路径\程序名"这里也有可能被木马所利右至织劳他牛用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道了推交入零粮农也要注意这里喽。
3秋红范送造通.利用注册表加载运行
如下所示注册表位置都是木马封喜好的藏身加载之所,赶快检查一下,有什么程序在其下。
4.在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽。容易被发现,所以在Autoexec.bat和Confings中加载木马程序的并不多见,但也不能因此而掉以轻心。
5.在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Windows自动生成,值帝着在执行了***.com并加截了多数驱动程序之后
开始执行(这一点可通显欢准指尽过启动时按F8键令纸属再选择逐步跟踪启动利切措诉切罪联过程的启动方式可得知)。由于Autoexec居以活称缩火保华还.bat的功能可以由Witart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
6.启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\startmenu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
FoldersStartup="c:\windows\startmenu\programs\startup"。要注意经常检查启动组哦!
7.*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。
8.修改文件关联
修改文件关联是木马们常用手段(主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样干的."冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开,如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值,将"C:\WINDOWS\NOTEPAD.EXE%l"改为"C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l",这样,一旦你双击一个TXT文件,原本应用Notepad打开该文件,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、***.com等都是木马的目标,要小心搂。
对付这类木马,只能经常检查HKEY_C\shell\open\command主键,查看其键值是否正常。
9.捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖源文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马义会安装上去。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
10.反弹端口型木马的主动连接方式
反弹端口型木马我们已经在前面说过了,由于它与一般的木马相反,其服务端(被控制端)主动与客户端(控制端)建立连接,并且监听端口一般开在80,所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时,最新的天网防火墙(如我们在第三点中所讲的那样),因此只要留意也可在网络神偷服务端进行主动连接时发现它。
WORM_NUGACHE.G(威金)和TROJ_CLAGGE.B特洛伊木马(Trojanhorse)
的解决方案:
WORM_NUGACHE.G(威金)
病毒码发布日期:Dec8,2006
解决方案:
Note:Tofullyremoveallassociatedmalware,performthecleansolutionforTROJ_DLOADER.IBZ.
TerminatingtheMalwareProgram
Thisprocedureterminatestherunningmalwareprocess.
OpenWindowsTaskManager.
•OnWindows98andME,press
CTRL+ALT+DELETE
•OnWindowsNT,2000,XP,andServer2003,press
CTRL+SHIFT+ESC,thenclicktheProcessestab.
Inthelistofrunningprograms*,locatetheprocess:
MSTC.EXE
Selectthemalwareprocess,thenpresseithertheEndTaskortheEndProcessbutton,dependingontheversionofWindowsonyourcomputer.
Tocheckifthemalwareprocesshasbeenterminated,closeTaskManager,andthenopenitagain.
CloseTaskManager.
*NOTE:OncomputersrunningWindows98andME,WindowsTaskManagermaynotshowcertainprocesses.YoucanuseathirdpartyprocessviewersuchasProcessExplorertoterminatethemalwareprocess.
OncomputersrunningallWindowsplatforms,iftheprocessyouarelookingforisnotinthelistdisplayedbyTaskManagerorProcessExplorer,continuewiththenextsolutionprocedure,notingadditionalinstructions.IfthemalwareprocessisinthelistdisplayedbyeitherTaskManagerorProcessExplorer,butyouareunabletoterminateit,restartyourcomputerinsafemode.
EditingtheRegistry
Thismalwaremodifiesthecomputer'sregistry.Usersaffectedbythismalwaremayneedtomodifyordeletespecificregistrykeysorentries.Fordetailedinformationregardingregistryediting,pleaserefertothefollowingarticlesfromMicrosoft:
HOWTO:Backup,Edit,andRestoretheRegistryinWindows95,Windows98,andWindowsME
HOWTO:Backup,Edit,andRestoretheRegistryinWindowsNT4.0
HOWTO:Backup,Edit,andRestoretheRegistryinWindows2000
HOWTO:BackUp,Edit,andRestoretheRegistryinWindowsXPandServer2003
RemovingAutostartEntriesfromtheRegistry
Removingautostartentriesfromtheregistrypreventsthemalwarefromexecutingatstartup.
Iftheregistryentrybelowisnotfound,themalwaremaynothaveexecutedasofdetection.Ifso,proceedtothesucceedingsolutionset.
OpenRegistryEditor.ClickStart>Run,typeREGEDIT,thenpressEnter.
Intheleftpanel,double-clickthefollowing:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run
Intherightpanel,locateanddeletetheentry:
MicrosoftDomainController="%System%\mstc.exe"
(Note:%System%istheWindowssystemfolder,whichisusuallyC:\Windows\SystemonWindows98andME,C:\WINNT\System32onWindowsNTand2000,andC:\Windows\System32onWindowsXPandServer2003.)
RemovingAddedKeyfromtheRegistry
StillinRegistryEditor,intheleftpanel,double-clickthefollowing:
HKEY_LOCAL_MACHINE>SOFTWARE
Intheleftpanel,locateanddeletethefollowingkey:
GNU
CloseRegistryEditor.
ImportantWindowsME/XPCleaningInstructions
UsersrunningWindowsMEandXPmustdisableSystemRestoretoallowfullscanningofinfectedcomputers.
UsersrunningotherWindowsversionscanproceedwiththesucceedingsolutionset(s).
RunningTrendMicroAntivirus
Ifyouarecurrentlyrunninginsafemode,pleaserestartyourcomputernormallybeforeperformingthefollowingsolution.
ScanyourcomputerwithTrendMicroantivirusanddeletefilesdetectedasWORM_NUGACHE.G.Todothis,TrendMicrocustomersmustdownloadthelatestviruspatternfileandscantheircomputer.OtherInternetuserscanuseHouseCall,theTrendMicroonlinevirusscanner.
ApplyingPatch
ThismalwareexploitsknownvulnerabilityinWindows.DownloadandinstallthefixpatchsuppliedbyMicrosoft.Refrainfromusingthisproductuntiltheappropriatepatchhasbeeninstalled.TrendMicroadvisesuserstodownloadcriticalpatchesuponreleasebyvendors.
TROJ_CLAGGE.B特洛伊木马(Trojanhorse)
病毒码发布日期:Sep18,2006
解决方案:
IdentifyingtheMalwareProgram
Toremovethismalware,firstidentifythemalwareprogram.
ScanyourcomputerwithyourTrendMicroantivirusproduct.
NOTEthepathandfilenameofallfilesdetectedasTROJ_CLAGGE.B.
TrendMicrocustomersneedtodownloadthelatestviruspatternfilebeforescanningtheircomputer.OtheruserscanuseHousecall,theTrendMicroonlinevirusscanner.
EditingtheRegistry
Thismalwaremodifiesthecomputer'sregistry.Usersaffectedbythismalwaremayneedtomodifyordeletespecificregistrykeysorentries.Fordetailedinformationregardingregistryediting,pleaserefertothefollowingarticlesfromMicrosoft:
HOWTO:Backup,Edit,andRestoretheRegistryinWindows95,Windows98,andWindowsME
HOWTO:Backup,Edit,andRestoretheRegistryinWindowsNT4.0
HOWTO:Backup,Edit,andRestoretheRegistryinWindows2000
HOWTO:BackUp,Edit,andRestoretheRegistryinWindowsXPandServer2003
RemovingMalwareEntryfromtheRegistry
OpenRegistryEditor.ClickStart>Run,typeREGEDIT,thenpressEnter.
Intheleftpanel,double-clickthefollowing:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>
SharedAccess>Parameters>FiREWaLLpolicy>StAnDaRDPrOFiLe>
AUtHorizedapplications>List
Intherightpanel,locateanddeletetheentry:
{Malwarepathandfilename}="{Malwarepathandfilename}:*:ENABLED:0"
CloseRegistryEditor.
ImportantWindowsME/XPCleaningInstructions
UsersrunningWindowsMEandXPmustdisableSystemRestoretoallowfullscanningofinfectedcomputers.
UsersrunningotherWindowsversionscanproceedwiththesucceedingsolutionset(s).
RunningTrendMicroAntivirus
Ifyouarecurrentlyrunninginsafemode,pleaserestartyourcomputernormallybeforeperformingthefollowingsolution.
ScanyourcomputerwithTrendMicroantivirusanddeletefilesdetectedasTROJ_CLAGGE.BandTROJ_***.co.Todothis,TrendMicrocustomersmustdownloadthelatestviruspatternfileandscantheircomputer.OtherInternetuserscanuseHouseCall,theTrendMicroonlinevirusscanner
