中了个木马Trojan-Downloader.Win32.Hmir.b 怎么办啊

求助木马程序 Trojan-Downloader.Win32.Hmir.cgs的解决方法~

这两个木马很容易杀的。。。
这个命名为trojan-downloader.win32.hmir.的病毒，通常情况下是用于盗取用户帐号信息的木马病毒。

trojan-downloader.win32.hmir.病毒的清除方法如下：

1.首先下载安全模式杀毒软件，
下载地址：http://www.999.com.my/IT/antivirus/free-antivirus-download.htm
2.将计算机启动到安全模式(开机过程中按F8键即可)，用安全模式杀毒软件进行查杀该病毒即可。
3.用安全模式杀毒软件查杀完毕后，下载注册表修复工具进行修复，并检查启动项。

至此这个trojan-downloader.win32.hmir.病毒已经完全清除！

DLL注入木马是目前网络上十分流行的木马形式，它就像是一个寄生虫，木马以DLL文件的形式，寄宿在某个重要的系统进程中，通过宿主来调用DLL文件，实现远程控制的功能。这样的木马嵌入到系统进程中可以穿越防火墙，更让人头疼的是，用杀毒软件进行查杀，杀软即使报警提示发现病毒，但是也无法杀掉木马病毒文件，因为木马DLL文件正被宿主调用而无法删除。下面我们把杀软放到一边，通过专用工具及其手工的方法来清除DLL木马。
一、清除思路
1、通过系统工具及其第三方工具找到木马的宿主进程，然后定位到木马DLL文件。
2、结束被木马注入的进程。
3、删除木马文件。
4、注册表相关项的清除。
二、 清除方法
1、普通进程DLL注入木马的清除
有许多DLL木马是注入到“iexplore.exe”和“explorer.exe”这两个进程中的，对于注入这类普通进程的DLL木马是很好清除掉的。
如果DLL文件是注入到“iexplore.exe”进程中，此进程就是IE浏览进程，那么可以关掉所有IE窗口和相关程序，然后直接找到DLL文件进行删除就可以了。如果是注入到“explorer.exe”进程中，那么就略显麻烦一些，因为此进程是用于显示桌面和资源管理器的。当通过任务管理器结束掉“explorer.exe”进程时，桌面无法看破到，此时桌面上所有图标消失掉，“我的电脑”、“网上邻居”等所有图标都不见了，也无法打开资源管理器找到木马文件进行删除了。怎么办呢?
这时候可以在任务管理器中点击菜单“文件”→“新任务运行”，打开创建新任务对话框，点击“浏览”挖通过浏览对话框就可以打开DLL文件所在的路径。然后选择“文件类型”为“所有文件”，即可显示并删除DLL了
提示：如果你熟悉命令行(cmd.exe)的话，可以直接通过命令来清除，如：
taskkill /f /im explorer.exe
del C:\\Windows\\System32\est.dll
start explorer.exe
第一行是结束explorer.exe，第二回是删除木马文件test.dll，第三行是重启explorer.exe
2、使用IceSword卸载DLL文件调用
如果木马是插入了“svchost.exe”之类的关键进程中，就不能指望进程管理器来结束进程了，可能需要一些附加的工具卸载掉某个DLL文件的调用。
IceSword的功能十分强大，可以利用它卸载掉已经插入到正在运行的系统进程中的DLL文件。在IceSword的进程列表显示窗口中，右键点击DLL木马宿主进程，选择弹出菜单中的“模块信息”命令打开DLL模块列表对话窗口。选择可疑的模块后，点击“卸载”按钮即可将DLL木马进程中删除掉了。
如果提示不能卸载的话，可以点击“强行解除”按钮，从进程中强行删除该DLL调用。这时候就可以从“模块文件名”栏中，得到DLL文件文件的路径，然后到文件夹中将DLL木马彻底删除掉。
3、SSM终结所有DLL木马
许多木马都是注入到系统里关键进程中的，比如“svchost.exe”、“smss.exe”、“winlogon.exe”进程，这些进程使用普通方式无法结束，使用特殊工具结束掉进程或卸载掉进程中的DLL文件后，却又很可能造成系统崩溃无法正常运行等。例如一款著名的木马PCShare是注入“winlogon.exe”进程中的，该进程是掌握Windows登录的，在使用IceSword卸载时系统立刻异常重启，更本来不及清除dll文件，在重启后dll木马再次被加载。
对于这类dll木马，必须在进程运行之前阻止dll文件的加载。阻止dll文件加载要用到一个强大的安全工具“System Safety Monitor”(简称SSM)。SSM是由俄罗斯出品的一款系统监控软件，通过监视系统特定的文件和程序，达到保护系统安全的目的。这款软件功能非常强大，可以很好地配合防火墙和杀毒软件更好地保护系统的安全。
运行SSM，在程序界面中选择“规则”选项卡，右键点击中间规则列表空白处，选择“新增”命令。弹出文件浏览窗口，选择浏览文件类型为“库文件”，在其中选择指定文件路径“C:\\Windows\\system32\ejoice.dll”。确定后，即可将DLL木马文件添加到规则列表中，然后在界面下方的“规则”下拉列表中选择“阻止(F2)
添加规则设置完毕后，点击“应用设置”按钮，然后重启系统。在重启系统前要检查SSM的设置，保证SSM随系统启动而加载运行。当系统重启时，会自动阻止该进程调用rejoice.dll木马文件。由于木马文件没有任何进程调用，所以就可以直接删除了。
此外，我们还可以利用其它工具来清除DLL木马后门，例如Tiny Personnal Firewall 2005(TPF)防火墙的“balcklist”禁止运行功能等，清除的原理都是一样的，总之是在木马DLL文件被调用之前，阻止其被进程加载，从而达到结束木马进程并删除木马的目的。
4、通过系统权限法来清除DLL木马
在Windows系统中，NTFS分区格式具有强大的文件限制设置功能，可以设置某个文件是否可以被程序调用访问等。通过这个功能，我们一样可以阻止木马调用相应的DLL文件，从而彻底地清除掉DLL木马文件。
双击打开“我的电脑”，点击菜单命令“工具”→“文件夹选项”→“查看”，在高级设置的选项卡下去掉“简单文件共享”的选择。
然后定位到无法删除的DLL文件上，右键点击该文件，在弹出菜单中选择“属性”命令，单击“高级”按钮，在弹出的窗口中去掉“从父项继承那些可以应用的到子对象的权限项目，包括那些在此明确定义的项目”不被选中(如图5)。再在弹出的窗口中单击“删除”，再依次单击“确定”。这样就没有任何用户可以访问和调用这个DLL木马文件了。重新启动系统就可以删除该DLL文件了。
5、恢复系统
将DLL文件删除后，还要到注册表中找到所有与该DLL木马关联的项目，尤其是：
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
等几个与自动启动有关的项目。
另外，DLL木马不仅仅局限存在于Run、Runonce这些众所周知的子键，而有可能存在于更多的地方。例如对于后门类的DLL来说“KnownDLLs”就是再好不过的藏身之处。在注册表的“HEKY_LOCALMACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager\\KnownDLLs”子键下，存放着一些已知DLL的默认路径。假设DLL木马修改或者增加了某些键值，那么DLL木马就可以在系统启动的时候悄无声息地代替正常的DLL文件被加嵌入到相应的进程中。
三、总结
总的来说，DLL木马后门的种类极多，木马选择的注册表选项及其系统进程也不尽相同。清除DLL木马的总体思路是这样的：
在碰到DLL注入类木马时，我们可以首先考虑用procexp之类的工具，查找出DLL类木马的宿主进程。找到宿主进程后，如果是注入到普通可结束的进程中，可以直接将宿主进程结束后直接删除木马文件即可。
如果DLL木马是注入到系统关键进程中的话，可以考虑用IceSword卸载DLL文件;如若失败，那么直接用SSM建立规则或者通过阻止DLL文件的加载就可以了

装个unlock手动删除，一般中这个病毒，病毒会越来越多，不停地下载病毒。手动删了，全盘杀毒

Trojan-Downloader.Win32.Hmir.c 木马下载,上星期CCTV上都公布了......
木马下载器，从黑客指定站点下载其它木马，并在被感染的计算机上自动运行。
考虑你的病毒残留在临时文件夹里面
建议如下处理
注意清空临时文件夹

重新启动，按住F8，进入安全模式，再从安全模式中启动杀毒软件就可以轻松杀毒了。
另外请一定要清理一下你的临时文件夹
怎么清理临时文件夹？
http://zhidao.baidu.com/question/15818998.html?si=1
也可以使用超级兔子清理系统垃圾.更方便
这是因为有很多病毒主程序隐藏在临时文件夹里面,你杀毒的时候不能完全的删除
2007-1-18 超级兔子7.95
http://www.onlinedown.net/soft/2636.htm

安全模式下，卡巴就可以杀掉了。

去安全模式下可以删除它。

特鲁伊木马病毒！
这种病毒怎么清除? 特洛伊木马（Trojan horse）
完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。
木马程序不能算是一种病毒，但越来越多的新版的杀毒软件，已开始可以查杀一些木马了，所以也有不少人称木马程序为黑客病毒。
特洛伊木马是如何启动的
1. 在Win.ini中启动
在Win.ini的[windows]字段中有启动命令"load＝"和"run＝"，在一般情况下 "＝"后面是空白的，如果有后跟程序，比方说是这个样子：
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了，这个file.exe很可能是木马哦。
2.在System.ini中启动
System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所，木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!
另外，在System.中的[386Enh]字段，要注意检查在此段内的"driver＝路径\程序名"这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这3个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。
3.利用注册表加载运行
如下所示注册表位置都是木马喜好的藏身加载之所，赶快检查一下，有什么程序在其下。
4.在Autoexec.bat和Config.sys中加载运行
请大家注意，在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽。容易被发现，所以在Autoexec.bat和Confings中加载木马程序的并不多见，但也不能因此而掉以轻心。
5.在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Windows自动生成，在执行了Win.com并加截了多数驱动程序之后
开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。
6.启动组
木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
7.*.INI
即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。
8.修改文件关联
修改文件关联是木马们常用手段 (主要是国产木马，老外的木马大都没有这个功能)，比方说正常情况下TXT文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值，将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开，如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值，将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l"，这样，一旦你双击一个TXT文件，原本应用Notepad打开该文件，现在却变成启动木马程序了，好狠毒哦!请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIP.COM等都是木马的目标，要小心搂。
对付这类木马，只能经常检查HKEY_C\shell\open\command主键，查看其键值是否正常。
9.捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。
10.反弹端口型木马的主动连接方式
反弹端口型木马我们已经在前面说过了，由于它与一般的木马相反，其服务端 (被控制端)主动与客户端 (控制端)建立连接，并且监听端口一般开在80，所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时，最新的天网防火墙(如我们在第三点中所讲的那样)，因此只要留意也可在网络神偷服务端进行主动连接时发现它。
WORM_NUGACHE.G(威金)和TROJ_CLAGGE.B 特洛伊木马（Trojan horse）
的解决方案:
WORM_NUGACHE.G(威金)
病毒码发布日期: Dec 8, 2006
解决方案:
Note: To fully remove all associated malware, perform the clean solution for TROJ_DLOADER.IBZ.
Terminating the Malware Program
This procedure terminates the running malware process.
Open Windows Task Manager.
• On Windows 98 and ME, press
CTRL+ALT+DELETE
• On Windows NT, 2000, XP, and Server 2003, press
CTRL+SHIFT+ESC, then click the Processes tab.
In the list of running programs*, locate the process:
MSTC.EXE
Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your computer.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
*NOTE: On computers running Windows 98 and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process.
On computers running all Windows platforms, if the process you are looking for is not in the list displayed by Task Manager or Process Explorer, continue with the next solution procedure, noting additional instructions. If the malware process is in the list displayed by either Task Manager or Process Explorer, but you are unable to terminate it, restart your computer in safe mode.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Autostart Entries from the Registry
Removing autostart entries from the registry prevents the malware from executing at startup.
If the registry entry below is not found, the malware may not have executed as of detection. If so, proceed to the succeeding solution set.
Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry:
Microsoft Domain Controller = "%System%\mstc.exe"
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP and Server 2003.)
Removing Added Key from the Registry
Still in Registry Editor, in the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE
In the left panel, locate and delete the following key:
GNU
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as WORM_NUGACHE.G. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner.
Applying Patch
This malware exploits known vulnerability in Windows. Download and install the fix patch supplied by Microsoft. Refrain from using this product until the appropriate patch has been installed. Trend Micro advises users to download critical patches upon release by vendors.
TROJ_CLAGGE.B 特洛伊木马（Trojan horse）
病毒码发布日期: Sep 18, 2006
解决方案:
Identifying the Malware Program
To remove this malware, first identify the malware program.
Scan your computer with your Trend Micro antivirus product.
NOTE the path and file name of all files detected as TROJ_CLAGGE.B.
Trend Micro customers need to download the latest virus pattern file before scanning their computer. Other users can use Housecall, the Trend Micro online virus scanner.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Malware Entry from the Registry
Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>
SharedAccess>Parameters>FiREWaLLpolicy>StAnDaRDPrOFiLe>
AUtHorizedapplications>List
In the right panel, locate and delete the entry:
{Malware path and file name} ="{Malware path and file name}:*:ENABLED:0"
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as TROJ_CLAGGE.B and TROJ_KEYLOG.CO. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner

---

南昌市13462492507： 求如何彻底杀掉计算机重启后删除:木马程序Trojan - Downl ？
吉戚康赛： 这是中了木马病毒 首先,将系统还原,关闭. 我的电脑上点右键,选择属性.系统还原,选项. 选上,在所有硬盘上关闭系统还原. 然后 可以在爱问的共享资料中下载:...

南昌市13462492507： 如何解决电脑中了木马程序病毒? - ？
吉戚康赛： 你可以用这个软件到安全模式下去处理试试: 按杀毒软件提供的路径,记下来 (这种类型的病毒,杀软查杀时一般会报Windows/system32/drivers文件夹下的一个****.sys文件是病毒文件的) 1.下载一个软件:冰刃(http://www.ttian.net/website/...

南昌市13462492507： 我的电脑中了TROJAN.木马,从安全模式下也杀不掉.如何操作 - ？
吉戚康赛： 上网上搜索以下对应的处理方法,或者使用专杀工具、杀毒软件等.

南昌市13462492507： 电脑中了Trojan病毒怎么办?？
吉戚康赛： Windows清理系统是个不错的选择,能杀木马还能帮你清除大量的流氓软件

南昌市13462492507： 中了病毒Trojan - Downloder.js.small.js怎么办..？
吉戚康赛： 是一个木马下载者,从黑客指定站点下载其它木马,并在被感染的计算机上自动运行. 考虑你的病毒残留在临时文件夹里面 建议如下处理 注意清空临时文件夹 您好不用担心; 既然杀毒软件能查出来就一定能杀, 如果杀不了,是因为病毒在运行;正在运行的程序不能修改或删除的. 那就建议你如下处理 重新启动,按住F8,进入安全模式,再从安全模式中启动杀毒软件就可以轻松杀毒了. 另外请一定要清理一下你的临时文件夹

南昌市13462492507： 电脑中Trojan - Downloarder.win32.aqent.fdt木马病毒如何清除??？
吉戚康赛： 楼主应当注意,外来的任何东西切记不要自动打开,(用360可以禁用自动打开) 其二,切勿双击打开,必须用右键点击,弹出菜单之后选择打开. 楼主的问题可以这样解决,楼主如果用的是卡巴斯基7的话,就不用进入安全模式下查杀了. 如果不是,请楼主进入安全模式下杀,如果还是杀不掉,有可能就是感染上系统文件, 如楼主是高手的话请查明系统文件,从其他干净的电脑里将此文件在安全模式下覆盖感染的系统文件. 切记,找好驱动和系统盘,备份好文件再操作.

南昌市13462492507： 带图 电脑中了trojan木马 怎么办?高手求助 - ？
吉戚康赛： 查杀顽固垃圾软件木马需要进入安全模式,在普通模式下是查不净的,而且最好使用多种查杀软件交叉查杀.可以使用360和WINDOWS清理助手查杀比较彻底

南昌市13462492507： 今天扫描电脑查出4个文件感染了病毒Trojan - Download? ？
吉戚康赛： Trojan-Downloader表示这个病毒是木马类型的下载器,也可应通俗的理解为在用户不知不觉中下载到计算机中; Win32表示这个病毒是在Windows32位操作系统下运行; VB表示这个病毒是用Visual Basic语言编译的; ajb表示该程序的版本或变种 ...

南昌市13462492507： 中了木马trojan.generic会导致什么后果? - ？
吉戚康赛： 后果就是,你的这台电脑在木马除掉之前且在联网状态下就不属于你了,岂止文件被看到,可以上传、下载、隐藏运行等等,还有你能查看网页历史,他就能.qq什么的,密码什么的,而且最重要的是他比你会用你的电脑.所以我们坚决反对木马病毒,这是违法的! 答案补充:它能看到你的屏幕,动用你的摄像头(如果有),记录你的键盘(盗号),而且一个黑客高手能找到你电脑里的任何资料,即使在短时间内被你删除了的. 还有,我们的历史记录保存在C:\Documents and Settings\(当前用户)\Local Settings\History里,你自己看看吧. 这样的补充你满意吗,希望能帮到你.

南昌市13462492507： Trojan - Downloader.win32.agent木马怎么清除啊...?？
吉戚康赛： Trojan-Downloader.Win32.Agent.bbb病毒清除办法:通过借鉴网上一些查杀方法,已完全清除Trojan-Downloader.Win32.Agent.bbb木马病毒.现简要介绍对此病毒的处理办法: (1)采用360安全卫士对电脑进行查杀及修复,以便清除此木马...