木马程序 Trojan.Win32.StartPage.amg和Trojan-Downloader.Win32...

发布网友 发布时间：2024-10-21 20:28

我来回答

共5个回答

热心网友 时间：2024-11-05 20:43

1.打开windows任务管理器，察看是否有可疑的进程（可以根据杀毒软件的报告或者在网上搜索相关信息来判定）在运行，如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒，有可能一个dll文件在运行，他才可能是病毒或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径，因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件（主要是你所中止的病毒进程文件，另外先在资源管理器的文件夹选项中，设置显示所有文件和文件夹、显示受保护的文件，再察看如system32文件夹中是否有不明dll或exe文件，C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或病毒程序文件），然后删去，搞清楚是否是系统文件再动手。
2.有些病毒进程终止不了，提示“拒绝访问”，或者出现“屡禁不止”的情况。根据我的经验，有三种办法供尝试：
A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是：察看控制面板〉管理工具〉服务，看有没有与之相关的服务(特别是“描述”为空的)在运行，把它停止。再试著中止病毒进程并删除。
B.你可以尝试安全模式下（开机后按F8选安全模式）用杀毒软件处理，不行则再按步骤1和2A试一试。
C.（慎用）使用冰刃等工具，察看病毒进程的线程信息和模块信息，尝试结束线程和解除模块，再试著删除病毒进程文件和相应的模块。（慎用）
3.如果稍微懂得注册表使用的，可以再把相关的注册表键值删除。一般方法：开始〉运行，输入regedit，确定，打开注册表编辑器。编辑〉查找，查找目标为病毒进程名，在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒，还应尝试使用步骤2中方法。
4.某些病毒会劫持IE浏览器，导致乱弹网页的状况。建议用金山毒霸的金山反间谍 2006等修复工具。看浏览器辅助对象BHO是否有可疑项目。有就修复它。修复失败时参照1、2来做。
5.其他提示：为了更好的操作，请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件。一般病毒往往在临时文件夹Temp中，这样做可以帮你更快找到病毒文件。
开始〉运行，输入msconfig，确定，可以打开“系统配置实用程序”。选择“启动”，察看开机时加载的程序，如果在其中发现病毒程序，可以禁止它在开机时加载。不过此法治标不治本，甚至对某些程序来说无效。还是要按步骤1、2办。
6.说了这么多，不过有时还是不能解决。只好请教高人或格式化重做系统了，当然不推荐后者

热心网友 时间：2024-11-05 20:40

http://berrykwok.hits.io/MY123Killer2.zip

该病毒会恶意篡改用户首页为my123.com

使用方法：
打开My123Killer.exe,会自动检测系统是否被my123.com病毒感染

若是，可以点清除，将其清除之

杀完后推荐使用360安全卫士修复一下
下载地址
http://220.181.34.241/setup.exe

如果用上述软件无法查杀,就再试试我这个方法吧
首先你要确定你那里的病毒名称,肯定是8位的,最后2位为数字
再下载一个procexp这个软件
菜单栏 点击查找－句柄或Dll
在搜索框中输入那个驱动的名称 我这里是dngxcm52.sys
搜索出来了
单击那个搜索结果 软件会自动定位到那个 驱动的位置
然后在那个上面点右键——关闭句柄
然后同理 查找与那个启动同名的dll文件 我这里是dngxcm52.dll
再用同样的方法搞定它
然后删除掉这2个文件
一个在c:\windows\system32\drivers\XXXXXXXX.sys
一个在c:\windows\system32\XXXXXXXX.dll

然后进入注册表 查找XXXXXXXX这个文件名(后边不用带扩展名),把所有找到的都删除
再查找www.my123.com 都删除
然后重起

再用专杀杀一下,安全卫士修复一下
这里提醒一下,在装安全卫士的时候最好改一下安装文件夹的名字

转自360安全论坛的病毒特征

病毒的核心部分是一个驱动程序
该驱动程序是随机文件名的.sys文件
疑似是之前piaoxue驱动的修正版
该驱动会在操作系统加载时作为System Bus Extend驱动加载
然后 会将自身以独占方式打开，导致任何Windows下程序也无法读写及删除它
系统启动后，驱动开始分多个模块工作（分别建立多个线程）
1.服务保护模块:该模块会检测驱动自身的注册表服务项，不停地暴力重写自身服务项，使得无法删除其服务项
2.自身文件独占及句柄检测保护模块等:
会将自身文件以独占方式打开，这样若不解除独占，任何windows下使用常规访问文件方法的程序包括杀毒软件都无法读写或者删除它的驱动程序文件
文件句柄检测保护模块则是为了针对之前我的piaoxue类专杀而进行的保护
之前我的专杀会强制解除piaoxue类驱动对自身文件的独占，从而将其清除
但该驱动增加了这个保护，会不停检测自身文件的独占是否被强制解除，如果检测到，立即再次独占

2.篡改首页模块:该模块会不停暴力重写注册表中首页设置为www.my123.com，导致无法对该项进行修复

下面来看看为什么这个流氓会在11月11日这天突然大面积爆发
该篡改模块会检测当前时间是否在2006年11月1日到2006年11月10日之间
如果在这段时间之内，那么则潜伏下来，只有模块1和模块2运行，不修改主页
到了11月11号这天，则启动模块3,强行篡改用户主页
也就是说 11月开始，该流氓早已在大量用户的机器上潜伏下来
（去看了下各个可能感染源的连接，每个都有数百万乃至数千万的下载量，有些更是在一些知名的下载网站上）
然后一直不发作，等到11日，就会突然发作，造成“my123流氓不明原因大面积爆发”的现象，既使反流氓组织措手不及，又使得查出流氓感染源变得困难重重

从piaoxue,feixue,再到现在的my123，其流氓手段已经同病毒无异
此次的my123已经完全具备了衡量病毒的三大特征： 潜伏性、传播性、破坏性
在我们在道德上对这些病毒作者及网站站长进行谴责的同时，这些人更应受到法律的制裁

热心网友 时间：2024-11-05 20:46

我重装了系统，格了C盘，终于清净了，建议你也照办吧，这上面说的方法我基本都用过了，都没用

热心网友 时间：2024-11-05 20:44

你的电脑中木马了！
用ewido anti-spyware~：
系统支持:WinXP/Win2000/WinMe/Win98
软件授权：共享
更新日期 2006年07月03日
介绍：由于杀毒软件无法对电脑提供足够的保护，来避免木马、蠕虫、Dialers、Hijackers、 广告软件以及键盘记录者所带来的威胁，ewido anti-spyware 正是针对此点设计的，它会给你的电脑提供全方位的安全保护，使你的电脑工作得更有效率。ewido anti-spyware，名副其实的电脑安全专家！
网址：http://download.zol.com.cn/detail/16/153146.shtml
再不行就用Ghost或重装系统！

热心网友 时间：2024-11-05 20:42

请参考以下回答的最佳答案:
http://zhidao.baidu.com/question/13416312.html