Win32:Rootkit-CO [Trj]是什么木马啊?
清理系统垃圾,IE缓存就都删除了。
然后用360的IE修复对IE进行修复即可。
您好
1,Win32:Rootkit-BB [Trj]是“顽梯”病毒的一个变种,属于黑客的后门程序,用来入侵您电脑的。
2,建议您先到腾讯电脑管家官网下载一个电脑管家。
3,然后使用电脑管家——杀毒——全盘查杀,来完全清理掉该病毒。
4,电脑管家拥有基于“云查杀与微特征技术”的新一代电脑管家云查杀引擎和本地反病毒引擎,能够轻松查杀这种后门病毒。
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
要用最新360顽固木马专杀。查杀!!!
给你个我的空间地址里面有我的相关文章:http://hi.baidu.com/w%5Fs%5Fg/blog/item/2465a1aff01cfc034a36d6f5.html
是一种木马,不算病毒,瑞星18.34.31版病毒库就有这个木马了,完全删除(隔离区里也要删除)后不会有什么后遗症的
附:黑客基地原创--如何一次性删掉木马
问:现在的木马种类繁多,而且有些木马十分顽固,根本没法杀干净。有什么方法能有效的防止木马和清除它们的方法吗?
答:
什么是木马
你所说的木马,也就是一种能潜伏在受害者计算机里,并且秘密开放一个甚至多个数据传输通道的远程控制程序,一般由两部分组成:客户端(Client)和服务器端(Server),客户端也称为控制端。
木马的传播感染其实指的就是服务器端,入侵者必须通过各种手段把服务器端程序传送给受害者运行,才能达到木马传播的目的。当服务器端被受害者计算机执行时,便将自身复制到系统目录,并把运行代码加入系统启动时会自动调用的区域里,借以达到跟随系统启动而运行,这一区域通常称为“启动项”。当木马完成这部分操作后,便进入潜伏期——偷偷开放系统端口,等待入侵者连接。
阻止木马运行——查杀更彻底
任何操作系统都会在启动时自动运行一些程序,用以初始化系统环境或额外功能等,这些被允许跟随系统启动而运行的程序被放置在专门的区域里供系统启动时加载运行,这些区域就是“启动项”,不同的系统提供的“启动项”数量也不同,对于Win9x来说,它提供了至少5个“启动项”:DOS环境下的Autoexec.bat、Config.sys,Windows环境下的“启动”程序组、注册表的2个Run项和1个RunServices项,分别是:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
到了2000/XP系统时代,DOS环境被取消,却新增了一种称之为“服务”的启动区域,注册表也在保持原项目不变的基础上增加了2个“启动项”:
项目 键名
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows run
这么多的启动入口,木马自然不会放过,于是我们经常在一些计算机的启动项里发现陌生的程序名,这时候就只能交由你或者病毒防火墙来判断了,毕竟系统自身会在这里放置一些必要的初始化程序,还有一些正常工具,包括病毒防火墙和网络防火墙,它们也必须通过启动项来实现跟随系统启动。
此外还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法,那就是“系统路径遍历优先级欺骗”,Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会由系统所在盘符的根目录开始向系统目录深处递进查找,而不是精确定位的,这就意味着,如果有两个同样名称的文件分别放在C:\和C:\Windows下,Windows会执行C:\下的程序,而不是C:\Windows下的。这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件名,并复制到比原文件要浅一级以上的目录里,Windows就会想当然的执行了木马程序,系统的噩梦就此拉开序幕。这种手法常被用于“internat.exe”,因为无论哪个Windows版本的启动项里,它都是没有设置路径的。
要提防这种占用启动项而做到自动运行的木马,用户必须了解自己机器里所有正常的启动项信息,才能知道木马有没有混进来。至于利用系统路径漏洞的木马,则只能靠用户自己的细心了。
根除木马——文件并联型木马的查杀
某些用户经常会很郁闷,自己明明已经删除了木马文件和相应的启动项,可是不知道什么时候它自己又原封不动的回来了,这还不算,更悲惨的是有时候杀掉某个木马后,系统也出了故障:所有应用程序都打不开了。这时候,如果用户对计算机技术的了解仅限于使用杀毒软件,那可只能哭哭啼啼的重装系统了!
为什么会这样?难道这种木马还恶意修改了系统核心?其实答案很简单,因为这种木马修改了应用程序(EXE文件)的并联方式。
什么是“并联方式”呢?在Windows系统里,文件的打开操作是通过注册表内相应键值指定的应用程序来执行的,这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内,当系统收到一个文件名请求时,会以它的后缀名为依据在这里识别文件类型,进而调用相应的程序打开。而应用程序自身也被视为一个文件,它也属于一种文件类型,同样可以用其他方式开启,只不过Windows设置它的调用程序为“"%1" %*”,让系统内核理解为“可执行请求”,它就会为使用这种打开方式的文件创建进程,最终文件就被加载执行了,如果有另外的程序更改了这个键值,Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”,运行程序时系统就会先为“木马程序”创建进程,把紧跟着的文件名作为参数传递给它执行,于是在我们看来程序被正常启动了。因为木马程序被作为所有EXE文件的调用程序,使得它可以长期驻留内存,每次都能恢复自身文件,所以在一般用户看来,这个木马就做到了“永生不死”。然而一旦木马程序被删除,Windows就会找不到相应的调用程序,于是正常程序就无法执行了,这就是所谓的“所有程序都无法运行”的情况来源,并不是木马更改了系统核心,更没必要因此重装整个系统。
根除这种木马的最简单方法只需要查看EXE文件的打开方式被指向了什么程序,立即停止这个程序的进程,如果它还产生了其他木马文件的话,也一起停止,然后在保持注册表编辑器开启着的情况下(否则你的所有程序都会打不开了)删除掉所有木马文件,把exefile的“打开方式”项(HKEY_CLASSES_ROOT\exefile\shell\open\command)改回原来的“”%1” %*”即可。
如果删除木马前忘记把并联方式改回来,就会发现程序打不开了,这时候不要着急,如果你是Win9x用户,请使用“外壳替换大法”:重启后按F8进入启动菜单选择MS-DOS模式,把Explorer.exe随便改个名字,再把REGEDIT.EXE改名为Explorer.exe,再次重启后会发现进入Windows只剩下一个注册表编辑器了,赶快把并联方式改回来吧!重启后别忘记恢复以前的Explorer.exe。
对于Win2000/XP用户而言,这个操作更简单了,只要在开机时按F8进入启动菜单,选“命令提示符的安全模式”,系统就会自动调用命令提示符界面作为外壳,直接在里面输入REGEDIT即可打开注册表编辑器!XP用户甚至不需要重启,直接在“打开方式”里浏览到CMD.EXE就能打开“命令提示符”界面运行注册表编辑器REGEDIT.EXE了。
kms激活码怎样使用
连接到kms服务器进行windows激活。第二部分 offcie 2016Office2016 KMS激活方法1、管理员模式打开命令行,切换到Office安装路径C:\\Program Files\\Microsoft Office\\Office15(2016为Office16)(32-bit系统+32-bit Office 2013\/2016,或者64-bit系统+64-bitOffice 2013\/2016)C:\\Program Files (x86)\\...
Adobe Audition 3.0 使用时提示找不到音频设备,怎么办? 急啊~_百度...
"没有音频设备原因:一.声卡没有固定牢固,或者声卡已经损坏 二.由病毒问题引起的, ,某些安全杀毒软件在查杀病毒的时候会把被病毒木马感染的系统文件当做病毒查杀,而不给与修复造成的,例如dsound文件。三. 声卡驱动有关的程序被破坏或驱动程序安装失败。四.音频设备服务被禁用。没有音频设备解决办法:...
一个linux系统里面能有多个kernel吗?如果可以应该怎么添加呢?_百度...
能有多个 kernel 但这是启动系统的东西,只能用一个。内核在 \/boot 里面,vmlinuz 那些个就是,其他的文件都是辅助用的。其中还有用的是 initrd ,这东西是随内核一起被引导器——现在基本就是 GRUB ——一起读取到内存中,内核启动后会读取这里的文件,并且把它作为临时的根文件系统,之后再过渡...
拒绝访问explorer
[HKEY_CLASSES_ROOT\\regfile\\shell\\edit][HKEY_CLASSES_ROOT\\regfile\\shell\\edit\\mand]=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\\ 54,00...
如何解决bus error
这段程序如果用Sun Studio编译器的话,运行就没有问题。这是因为Sun Studio默认对32位编译使用的参数是-xmemalign=8i,其中i选项设置明确指明不产生SIGBUS信号。不过如果编译成64位程序,Sun Studio使用的-xmemalign=8s,其中s选项设置意味对这种非对齐访问产生SIGBUS信号,则仍旧会遇到这个错误。如果坚持在...
C\/C++编程遍历文件夹,统计当前文件个数,输出文件名
return (lstrcmp(szRoot, lpszPath) == 0);} void FindInAll(::LPCTSTR lpszPath){TCHAR szFind[MAX_PATH];lstrcpy(szFind, lpszPath);if (!IsRoot(szFind))lstrcat(szFind, "\\\\");lstrcat(szFind, "*.*"); \/\/ 找所有文件WIN32_FIND_DATA wfd;HANDLE hFind = FindFirstFile(szFin...
[HKEY_CLASSES_ROOT\\CLSID\\{871C5380-42A0-1069-A2EA-08002B30309D}\\...
[HKEY_CLASSES_ROOT\\CLSID\\{871C5380-42A0-1069-A2EA-08002B30309D}\\InProcServer32]=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,64,00,6f,...
开机时笔记本电脑出现windows root\\system32\\ntoskrnl.exe.丢失...
朋友,这是你的电脑“丢失”或“误删”了“系统文件”,或“系统文件”被病 毒和“顽固”木马“破坏”,我给你8套方案!(答案原创,严禁盗用,如有雷同,纯属山寨!)(提示:360急救箱不能联网,就先用:(5)网络修复,重启电脑,或者使 用:离线模式)1.下载个:“360系统急救箱”!(安全...
如何在Solaris系统下查看WWN
root@ sunserver:\/root# scli -i | egrep “Node Name|Port Name”Node Name : 20-00-00-1B-32-XX-XX-XX Port Name : 21-00-00-1B-32-XX-XX-XX Node Name : 20-01-00-1B-32-YY-YY-YY Port Name : 21-01-00-1B-32-YY-YY-YY For more detailed info on...
null不是有效的win32应用程序怎么解决
null不是有效的win32应用程序是设置错误造成的,解决方法为:1、右击要打开的文件,如下。2、我们点击属性,如下。3、点击更改,如下。4、找到office2010安装的路径,如下。5、我们找到适合的exe文件,如下。6、我们选定后再点击“打开”,如下。7、再点击“确定”,然后我们再双击要打开的文件就可以打...
湛莉二维: rootkit类病毒是极难处理的,采用rootkit技术的病毒可以很好的隐藏自身,资源管理器甚至查不到这个路径,就算你打开查看所有文件也是这样. 按杀毒软件提供的路径,记下来 (这种类型的病毒,杀软查杀时一般会报Windows/system32/...
安化县17778802437: RootKit.Win32这个病毒前缀什么意思??
湛莉二维: Rootkit 是一种特殊类型的 malware(恶意软件).Rootkit 之所以特殊是因为您不知道它们在做什么事情.Rootkit 基本上是无法检测到的,而且几乎不可能删除它们.虽然检测工具在不断增多,但是恶意软件的开发者也在不断寻找新的途径来掩...
安化县17778802437: RootKit.Win32是什么病毒阿,求救阿 - ?
湛莉二维: 重装系统分覆盖(不格系统盘)安装和全新(格系统盘)安装 对于病毒覆盖不会太管用,全新安装也只能清除格式化的分区中的病毒.建议:首先将所有跟目一下的私人文件归类到子目录,在纯DOS下删除所有根目录下的文件,包括隐藏的;再从光盘装系统;先装杀毒软件!
安化县17778802437: 怎么杀Win32:Rootkit - CO [Trj]? - ?
湛莉二维: 清理系统垃圾,IE缓存就都删除了.然后用360的IE修复对IE进行修复即可.
安化县17778802437: rootkit病毒win32trojan.oco 这个病毒怎么删除啊??
湛莉二维: 国产的360或金山急救箱应该可以清除已知的Rootkit病毒 win32trojan.oco个人建议用如下方法处理试试:(1)重启后,F8 进带网络安全模式(2)用360安全卫士依次进行:清除插件、清除垃圾、清除痕迹、系统修复、高级工具“开机启动项管理”一键优化、使用“木马查杀”杀木马,用360杀毒全盘杀毒.如果还没清除用下以方案:(3)重新启动,F8 进带网络安全模式(4)用360系统急救箱试一试 ,希望能帮助你
安化县17778802437: 格式化后重装可以删除win32 rootkit.co吗??
湛莉二维: rootkit,是一种隐藏的技术哦.是反病毒软件告诉你的名字吧? 貌似除了引导型病毒,其他的都可以通过格式化相应盘符而达到您的问题解决. 如果反病毒软件可以杀掉的话,就杀掉好了. 备份很麻烦的,我最讨厌备份了. 不知道你用啥反病毒软件,,,,,, 果酱爱上面包团队的队长为您回答.
安化县17778802437: win32\rootkit.agent.hco怎么杀?
湛莉二维: Rootkit级病毒木马清理方法 前言: Rootkit级病毒木马由于进入了系统底层,以驱动服务的方式在系统加载运行.因此获取到的权限通常都较高.就目前而言,对该类病毒木马,部分杀毒软件还是无法做到清理掉的.但是并不是非常难清理.下...
安化县17778802437: 出现“rootkit.win32.hplocker.80”怎么办? - ?
湛莉二维: 1、这个是一种蠕虫木马,破坏在于能查看你在浏览什么、做过什么、密码怎么输入等,可以执行远程控制,并能自动生成伪文件名等,建议你测底的查杀.建议您木马查杀时勾选界面的“强力模式”,重启2-3次即可清除木马.提高防杀毒意识...
安化县17778802437: rootkit.win32.small.uc是什么病毒 - ?
湛莉二维: 开始 运行 输regedit 看注册表里 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run的路径有没有可疑的项目.有的话删了 打开任务管理器,切换到进程,然后点查看、选择列 把PID前面的勾点开.然后...
安化县17778802437: RootKit.Win32.Agent.eoe是一种什么病毒?
湛莉二维: 此类病毒一般为感染类型蠕虫病毒,他会对你计算机全盘感染,也有可能导致EXE软件不能正常运行,解决用WIN32专杀配合常用杀软即可解决! 从常见的分析此类蠕虫病毒经常嵌入黑客软件当中,以盗取游戏账号目的为主,其次他也会冲网络下载一些盗号器等等!
