我中了trojan该怎么办???
发布网友
发布时间:2022-04-24 23:00
共4个回答
热心网友
时间:2023-10-19 13:51
ghost教程详解 Ghost是最著名的硬盘复制备份工具,因为它可以将一个硬盘中的数据完全相同地复制到另一个硬盘中,因此大家就将Ghost这个软件称为硬盘“克?gt;>惫ぞ摺J导噬希珿host不但有
硬盘到硬盘的克隆功能,还附带有硬盘分区、硬盘备份、系统安装、网络安装、升级系统等功能。1998年6月,出品Ghost的Binary公司被著名的Symantec公司购并,因此该软件的
后续版本就改称为Norton Ghost,成为Nordon系列工具软件中的一员。1999年2月,Symantec公司发布了Norton Ghost的5.1C版本,该版本包含了多个硬盘工具,并且在功能上作了
较大的改进,使之成为了一个真正的商业软件。
安装
>>>>此软件不需安装,复制即可使用。
Ghost硬盘克隆
>>>>Ghost就是克隆硬盘的程序,该程序在DOS下、Windows9.X下都可执行,所以要进行硬盘的克隆,请先进入到Ghost子目录,运行Ghost.exe程序,需要注意的是,如果是在DOS下
运行该程序时,在运行该程序前最好启动DOS的鼠标驱动程序,因为Ghost的操作画面是仿窗口画面,使用鼠标点击来选择会方便一些——虽然也可以用键盘来操作。另外在备份或
克隆硬盘前最好清理一下硬盘——删除不用文件、清空回收站、碎片整理等。
>>>>1.分区备份
>>>>使用Ghost复制备份,有整个硬盘(Disk)和分区硬盘(Partition)两种备份方式。在菜单中点击“Local”(本地)项,在右面弹出的菜单中有三个子项,其中“Disk”表示整个硬
盘备份(也就是克隆),“Partition”表示单个分区硬盘备份以及硬盘检查“Check”。“Check”项的功能是检查硬盘或备份的文件,看是否可能因分区、硬盘被破坏等造成备份或
还原失败。而分区备份作为个人用户来保存系统数据,特别是在恢复和复制系统分区具有实用价值。
>>>>?gt;>癓ocal/Partition/To Image”菜单,弹出硬盘选择窗口,开始分区备份操作。点击该窗口中白色的硬盘信息条,选择硬盘,进入窗口,选择要操作的分区(用鼠标点击)。
>>>>然后在弹出的窗口中选择备份储存的目录路径并输入备份文件名称,注意备份文件的名称带有GHO的后缀名。
>>>>接下来,程序会询问是否压缩备份数据,并给出三个选择。“No”表示不压缩,“Fast”表示小比例压缩而备份执行速度较快,“High”就是高比例压缩但备份执行速度较慢
。最后,选择“Yes”按钮即开始进行分区硬盘的备份。Ghost备份的速度相当快,不用久等就可以完成备份,备份的文件以GHO后缀名储存在设定的目录中。
>>>>2.分区备份的还原
>>>>如果硬盘中备份的分区数据受到损坏,用一般磁盘数据修复方法不能修复,以及系统被破坏后不能启动,都可以用备份的数据进行完全的复原,无须重新安装程序或系统。当
然,也可以将备份还原到另一个硬盘上。
>>>>要恢复备份的分区,就在界面中选择菜单“Local/Partition/From Image”,在弹出窗口中选择还原的备份文件,再选择还原的硬盘和分区,点击“Yes”按钮即可。
>>>>恢复还原时要注意的是,硬盘分区的备份还原是要将原来的分区一成不变地还原出来,包括分区的类型、数据的空间排列等。
>>>>3.硬盘的克隆
>>>>硬盘的克隆就是对整个硬盘的备份和还原,选择菜单“Local/Disk/To Disk”,在弹出的窗口中选择源硬盘(第一个硬盘),然后选择要复制到的目的硬盘(第二个硬盘)。注意
,可以设置目的硬盘各个分区的大小,Ghost可以自动对目的硬盘按设定的分区数值进行分区和格式化。选择“Yes”开始执行。
>>>>Ghost能将目的硬盘复制得与源硬盘几乎完全一样,并实现分区、格式化、复制系统和文件一步完成。只是要注意目的硬盘不能太小,必须能将源硬盘的内容装下。
>>>>Ghost还提供了一项硬盘备份功能,就是将整个硬盘的数据备份成一个文件保存在硬盘上(菜单“Local/Disk/To Image”),然后就可以随时还原到其它硬盘或原硬盘上。这对
要安装多个系统硬盘很方便。使用方法与分区备份相似。要注意的是,备份成的文件不能大于2GB。
注意事项
Ghost使用注意事项使用过电脑的人都知道,最快速恢复系统的软方法就是利用Norton Ghost,那么你知道在使用Ghost的时候要注意哪些方法吗?如何才能避免Ghost的系统没有
缺陷?
一.用Ghost制作IMG文件时的注意事项:
1.1 制作C盘镜像文件时的注意事项
首先必须对C盘进行大扫除,清理所有临时文件和不必要的文件。
a) 清理IE的临时文件
■ Cookies:为了彻底清除所有Cookies,就必须利用到DOS,在DOS方式下进入C:\Windows\Cookies文件夹,使用删除命令deltree /y *.*就可以全部清空。这样做最为干净
、彻底。
■历史纪录:为了彻底清除所有历史纪录,还是需要进入DOS,在DOS方式下进入C:\Windows\History文件夹,使用删除命令deltree /y *.*就可以全部清空。
■ IE临时文件:为了彻底清除所有临时文件,也需要进入DOS,在DOS方式下进入C:\WINDOWS\Temporary Internet Files文件夹,使用删除命令deltree /y *.*就可以全部
清空。注意:由于文件很多,使用前最好加载smartdrv.exe以加快处理速度。
■ 清理Windows临时文件
TEMP文件夹:这个文件夹位于C:\Windows里面,是Windows的默认临时文件夹,也是众多软件的默认临时文件夹,如果不清理这个文件夹会造成很大的空间浪费。清理方法:
直接进入这个文件夹删除全部文件就可以了。
■ Recent文件夹:这个文件夹位于C:\Windows里面,是Windows用来察看最近文件的。清理方法:直接进入这个文件夹删除全部文件就可以了。
■ 清除开始--文档里面的快捷方式:在任务栏上右键,选择属性--开始菜单程序--按下清除按钮就可以清除了
b)清理注册表中的
>>>>>>>>>>对C盘进行磁盘扫描,修复损坏的簇,避免Ghost失败。 对C盘进行磁盘碎片整理程序:这里推荐使用Windows自带的,虽然速度很慢,但是效果比用VoptME好。 在对c盘
进行镜像制作/还原的时候千万注意:务必使用DOS启动盘引导系统,因为系统在C盘,如果用硬盘启动容易造成Ghost不成功或者是镜像文件损坏。
Ghost详细使用方法 在帮你添点
-CLONE:克?gt;>?br>-IA:对所有分区中的扇区进行映象。
-ID:对整个磁盘(包括未分区空间)进行复制。
-IR:和ID一样,但不将分区调整为扇区界限。
-IB:只复制磁盘的启动扇区。
-IAL:对LINUX分区进行整个复制,对其它分区则用正常方法。
-OR:覆盖空间并进行完整性检查。
-NOLILO:复制后不要试图去修正LILO启动调入器。
-BOOTCD:当使用-SURE直接制作CD-R映象时,期望找到可启动软盘。
-FDSZ:清除目标磁盘上的标志性字节。
-FDSP:保留目标磁盘上的标志性字节。(优先级高于-FSSZ)
-LPM:LPT主并行连接模式。
-LPS:LPT从并行连接模式。
-TCPM:TCP/IP主连接模式。
-TCPS:TCP/IP从连接模式。
-USBM:自动进入USB主模式。
-USBS:自动进入USB从模式。
-JL:记录多点传送会话诊断消息到文件。
-JS:设置最大的多点传送值。
-JA:设置多点传送会话的名称。
-AUTO:不要提示输入文件名,使用默认值。
-CHKIMG:检查映象文件的完整性。
-PWD:指定密码。
-SKIP:指定需要跳过的FAT文件系统中的文件或目录。
-PMBR:当进行任何磁盘复制操作时,保留目标磁盘中的主引导记录。
-SPAN:允许存取多个卷。
-SPLIT:当创建映象时将映象分成数块。
-Z:压缩映象文件。
-F64:当调入旧映象文件时允许64K的簇大?gt;>?br>-FATLIMIT:防止FAT分区大小超过2兆。
-F32:将FAT16转换为FAT32。
-NTD:允许NTFS内部诊断检查。
-NTC-:禁止NTFS连续簇分配。
-NTCHKDSK:强制CHKDSK在下一个NTFS卷启动。
-NTIC:忽略NTFS卷上的CHKDSK位。
-NTIL:忽略非空的NTFS日志文件检查位。
-NTIID:忽略分区系统标识符的复制。
-TAPEBUFFERED:默认的磁带模式。
-TAPESAFE:当使用旧的或不可的磁带时有用。
-TAPESPEED:允许控置磁带速度。
-TAPEUNBUFFERED:强制非缓冲的磁带输入输出。
-TAPEEJECT:强制磁带操作完后弹出。
-TAPEBSIZE:磁带块大?gt;>?br>-RB:强制复制完成后自动重新启动。
-FX:当完成复制后退出程序。
-QUIET:安静模式。
-SURE:和-CLONE选项一起使用来避免提问。
-BATCH:批处理模式,一切操作由程序自动完成。
-NOFILE:禁止文件询问。
-SCRIPT:自动按照脚本文件中的命令来运行程序。
-DL:指定存在的硬盘号。
-FIS:使用检测出的硬盘最大值。
-FNX:禁止扩展13号中断支持。
-FFX:使用扩展13号中断。
-FNI:禁止直接IDE硬盘存取支持。
-FFI:使用直接IDE硬盘存?gt;>?br>-FNS:禁止直接ASPI/SCSI硬盘存取支持。
-FFS:使用直接ASPI/SCSI硬盘存?gt;>?br>-NOSCSI:禁止使用ASPI存取SCSI设备。
-BFC:处理坏的FAT簇。
-VDM:写入前使用使用磁盘校验命令来检查磁盘上的每个扇区。
-FRO:强制即使有坏的簇也继续复制。
-CRC32:使用CRC32校验。
-CRCIGNORE:尽量忽略映象文件中的错误。
-FCR:当建立文件时创建校验文件。
-AFILE:使用指定的中止记录文件。
-DI:显示诊断。
-MEMCHECK:诊断内存。
-DD:记录磁盘信息到GHSTSTAT.TXT
-DFILE:使用指定的信息日志文件。
-FINGER:显示详细的指纹信息。
-VER:显示程序版本号。
--------------------------------------------------------------------------------
二.进行DISK to DISK时的注意事项
2.1 两个硬盘必须完全一样,否则最好不用这个方法
2.2 这种方法容易导致分区表出错,请谨慎用之。一旦分区表出错,恢复方法有:手工修改、重新分区、低级格式化
三.特别注意事项
3.1 Ghost只能用于自身的Ghost,不能把Ghost想做万能工具,要知道,在不同硬件环境下使用一个Ghost的IMG文件轻则导致系统受损,重则导致硬件受损。Ghost的IMG文件只能用
于本机,不能到处流传。现在D盘上的许多Ghost大全是不能使用的。
3.2 新机子最好先用98的安装程序安装,让系统在安装中检查有没有错误,不推荐在新机子上用Ghost。
3.3 在恢复C盘备份的时候,必须对C盘进行格式化操作,否则容易导致恢复失败。
1、硬盘间的复制:
>>>>有些朋友可能遇到这种情况,比如有两个容量一致的硬盘,其中一个有可以正常运行的操作系统,另一个则为空盘,那么你无需在第二块硬盘上安装WIN98,只需要使用GHOST
在很短的时间内就可以完成这项工作。
>>>>首先将两块硬盘安装在同一个机器上,设好主从状态,在DOS状态下(有些时候,GHOST也可以WIN98下运行,但为了防止意味的情况发生,建议你运行在DOS环境下)运行GHOST
,然后选择LOCAL、DISK、TO DISK,此时GHOST就会显示有两个磁盘的情况,然后点击第一个磁盘(原盘),按GHOST提示进行确认,然后再点击第二个磁盘(目标盘),再进行确
认之后GHOST就开始复制的工作。屏幕上方将有蓝色进度条显示其进行的状态,一般1G左右的数据在10分钟左右就可以完成。
>>>>操作此功能,注意的是选择原盘和目标盘时千万不要搞错,如果你选择反了,等到复制完之后你就只能得到两个空盘了。
>>>>对于不同容量的两个硬盘,这个方法只能使用在从小硬盘复制到大硬盘之上,反之则不行。进行复制后的大硬盘,你还可以通过分区软件来将剩余的空间找出来(因为GHOST为
将剩余的空间做为空闲处理)。
>>>>对于其中有坏道的硬盘来说,这种复制操作后,系统运行会变得不稳定,所以要注意。
2、从硬盘到镜像:
>>>>有的朋友手中可能有闲置的硬盘,这样就可以使用他来备份你使用中的硬盘的数据。这样,你就可以使用到这个功能。
>>>>安装两个硬盘在一台机器上,运行GHOST,选择LOCAL、DISK、TO IMAGE。此时GHOST就会显示两个磁盘的情况,然后选定要备份的硬盘,再选定镜像文件放置在什么位置(往往
是第二块硬盘的某一个目录中,目录要事先建立好的!)然后在屏幕下端的提示栏中输入一个名字,比如DISKIMG,再按回车,就可以进行备份的工作了,同样有一个进度条演示进
度过程。
3、从镜像恢复到硬盘:
>>>>经过了上一步骤的备份之后,也许你有一天硬盘就坏掉了,不要紧,咋不是有GHOST吗!赶快拿出来备份的硬盘,安装在同一机器上,使用系统盘启动(软盘也可),运行GHOS
T,然后选择LOCAL、DISK、FROM IMAGE,再选择你所备份的镜像文件存放在位置,上例中是DISKIMG,然后指定要向哪一块硬盘恢复。确认之后,恢复工具就开始了。庞大的系统将
会在十几分钟内就搞定了。是不是很方便!
4、从分区到分区:
>>>>你可能有这种要求,两个不同的硬盘,只想有相同的系统和工具软件,但其它的分区不同。这样的工作也可以通过GHOST来完成。
>>>>首先将两块硬盘安装在同一机器上(同一硬盘复制分区的意义好像不大吧!),运行GHOST。选择LOCAL,PARTITION,TO PARTITION。然后选择原分区(因为是安装了两个硬盘
,所以分区可能会非常多,所以在此处一定要弄清你两块硬盘的分区排列顺序,是交错的还是顺序的,不可搞混),确认后再选择目标分区(第二块硬盘的第一个分区)。确认之
后,GHOST就开始工作了,进度条可以展示进度的进程。待完毕之后,你就有两块都可以启动的硬盘了。
>>>>因为是分区的复制,所以此处要求两个硬盘进行复制的分区必须大小一致,如果不一致,目标盘其它分区将被删除!请注意。
5、从分区到镜像:
>>>>这个功能可以说是我们最可能用到的功能了。也就是备份操作系统WIN98的操作。如今的朋友硬盘都比较大的吧!这样就会有多个分区,又因为习惯上的原因,C盘往往都安装
着WIN98系统和一些常用的工具!对于天生脆弱的WIN98来说,备份整个系统的意义是非常重要的。所以这个功能无需第二块硬盘,只要将镜像放在其它分区中就可以了。
>>>>执行GHOST.EXE,屏幕上就可以出现GHOST的主界面。选择LOCAL、PARTIION、TO IMAGE,然后选定硬盘、分区,确认之后,输入一个备份的名字,例如WIN98BAK,然后按回车
。这时屏幕会提示三个选择项,分别是NO,FAST和HIGH。这三种的意思是:NO:备份时不进行压缩处理,所以速度最快,FAST:备份中进行一定的压缩处理,速度比较快。HIGH:
备份时压缩,压缩后体积小,但进行速度较慢。这三个选择项可以根据你的爱好来选择。最后确认即可,GHOST就开始了备份的工作。>>>>
>>>>
6、从镜像恢复分区:
>>>>如果你的WIN98坏掉了,乱了,文件错误了,则再也不用费劲的重新安装WIN98了,只要有GHOST一切好办了。
>>>>运行GHOST,选择LOCAL、PARTITION、FROM IMAGE,选定你备份文件的存放位置(GHOST的扩展名为GHO)。然后选定你要恢复的分区(这往往是你硬盘的第一个分区!)确定后
,GHOST就开始恢复工作了,就是这么简单。只需几分钟,你的系统就恢复了。
>>>>因为GHOST备份时使用的是原有系统,所以建议你备份之前一定要保证系统的完整性、所使用的软件全都完整,清理好回收站,安装好各个设备的驱动程序,再进行备份。另外
在恢复备份之前也别忘了备份你近一段时间的重要数据,因为GHOST的镜像中可不包括这些。>>
7、检查功能:
>>>>GHOST还具有检查功能,以检查你的镜像文件及磁盘的工作状态是否良好,这些功能应用的场合不太多,所以老安也就不多介绍了。
8、LPT传输功能:
>>>>GHOST还可以支持LPT并口的数据传输功能,可以通过并口线方便的连接笔记本电脑和台式机,进行数据的交换!因为条件所限,老安没有使用此功能方面的经验,其中的奥秘
还是等你自己去探索吧!
>>>>GHOST的确够COOL的,用他来复制及备份你的数据,我想一定会得心应手的!
热心网友
时间:2023-10-19 13:51
这种病毒怎么清除? 特洛伊木马(Trojan horse)
完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。
木马程序不能算是一种病毒,但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。
特洛伊木马是如何启动的
1. 在Win.ini中启动
在Win.ini的[windows]字段中有启动命令"load="和"run=",在一般情况下 "="后面是空白的,如果有后跟程序,比方说是这个样子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,这个file.exe很可能是木马哦。
2.在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所,木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!
另外,在System.中的[386Enh]字段,要注意检查在此段内的"driver=路径\程序名"这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
3.利用注册表加载运行
如下所示注册表位置都是木马喜好的藏身加载之所,赶快检查一下,有什么程序在其下。
4.在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽。容易被发现,所以在Autoexec.bat和Confings中加载木马程序的并不多见,但也不能因此而掉以轻心。
5.在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Windows自动生成,在执行了Win.com并加截了多数驱动程序之后
开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
6.启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
7.*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。
8.修改文件关联
修改文件关联是木马们常用手段 (主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开,如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值,将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l",这样,一旦你双击一个TXT文件,原本应用Notepad打开该文件,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、ZIP.COM等都是木马的目标,要小心搂。
对付这类木马,只能经常检查HKEY_C\shell\open\command主键,查看其键值是否正常。
9.*文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序*在一起,然后上传到服务端覆盖源文件,这样即使木马被删除了,只要运行*了木马的应用程序,木马义会安装上去。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
10.反弹端口型木马的主动连接方式
反弹端口型木马我们已经在前面说过了,由于它与一般的木马相反,其服务端 (被控制端)主动与客户端 (控制端)建立连接,并且监听端口一般开在80,所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时,最新的天网防火墙(如我们在第三点中所讲的那样),因此只要留意也可在网络神偷服务端进行主动连接时发现它。
WORM_NUGACHE.G(威金)和TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
的解决方案:
WORM_NUGACHE.G(威金)
病毒码发布日期: Dec 8, 2006
解决方案:
Note: To fully remove all associated malware, perform the clean solution for TROJ_DLOADER.IBZ.
Terminating the Malware Program
This procere terminates the running malware process.
Open Windows Task Manager.
• On Windows 98 and ME, press
CTRL+ALT+DELETE
• On Windows NT, 2000, XP, and Server 2003, press
CTRL+SHIFT+ESC, then click the Processes tab.
In the list of running programs*, locate the process:
MSTC.EXE
Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your computer.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
*NOTE: On computers running Windows 98 and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process.
On computers running all Windows platforms, if the process you are looking for is not in the list displayed by Task Manager or Process Explorer, continue with the next solution procere, noting additional instructions. If the malware process is in the list displayed by either Task Manager or Process Explorer, but you are unable to terminate it, restart your computer in safe mode.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Autostart Entries from the Registry
Removing autostart entries from the registry prevents the malware from executing at startup.
If the registry entry below is not found, the malware may not have executed as of detection. If so, proceed to the succeeding solution set.
Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry:
Microsoft Domain Controller = "%System%\mstc.exe"
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP and Server 2003.)
Removing Added Key from the Registry
Still in Registry Editor, in the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE
In the left panel, locate and delete the following key:
GNU
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as WORM_NUGACHE.G. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner.
Applying Patch
This malware exploits known vulnerability in Windows. Download and install the fix patch supplied by Microsoft. Refrain from using this proct until the appropriate patch has been installed. Trend Micro advises users to download critical patches upon release by vendors.
TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
病毒码发布日期: Sep 18, 2006
解决方案:
Identifying the Malware Program
To remove this malware, first identify the malware program.
Scan your computer with your Trend Micro antivirus proct.
NOTE the path and file name of all files detected as TROJ_CLAGGE.B.
Trend Micro customers need to download the latest virus pattern file before scanning their computer. Other users can use Housecall, the Trend Micro online virus scanner.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Malware Entry from the Registry
Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>
SharedAccess>Parameters>FiREWaLLpolicy>StAnDaRDPrOFiLe>
AUtHorizedapplications>List
In the right panel, locate and delete the entry:
{Malware path and file name} ="{Malware path and file name}:*:ENABLED:0"
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as TROJ_CLAGGE.B and TROJ_KEYLOG.CO. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner.
热心网友
时间:2023-10-19 13:51
按杀毒软件提供的路径,记下来
1.下载一个软件:冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件,下载解压缩后即可使用。
如果杀软提供的病毒文件是一个dll的话,点击:进程 逐个右击右侧的进程--模块信息,仔细查看这个dll到底对哪些进程进行了插入(特别是那些系统进程),尝试用右侧的“强制解除”试试,能不能将这个dll文件从进程中解除出来(可能会碰上在某个进程中强制解除时机器会重启的现象)。
如果不行,请先运行regsvr32 /u 这个dll文件,将它从系统中反注册。
2.如果杀软提供的病毒文件是一个非dll文件的话,直接在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件(木马文件一般在system32下)
3.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。
4.搜索注册表里这些文件的键值,删除搜索到的。
5.重启电脑,这个东西应该清除干净了。
热心网友
时间:2023-10-19 13:52
