请教高手查杀 Keyloqqer.Trojan
木马病毒,很难缠的它并不代表着固定的一个,而是一类
手工彻底清除 PWSteal.Trojan, Trojan horse 这类木马的方法 --
许多电脑用户会经常遇到自己的防毒软件报告发现 PWSteal.Trojan 或者 Trojan horse 这种病毒但却无法清除和隔离它的情况, 或者是在清除后不久它又出现了,让人非常苦恼。这时该怎么办呢?
其实 PWSteal.Trojan 和 Trojan horse 是某些防毒软件对木马的一种统称,它并不代表着固定的一个,而是一类,所以即使遇到同样名子的木马可能它们也并不相同。 费尔托斯特安全是一款可以清除木马和病毒的软件,并且有很强的清除能力,如果您有它的正式版可以在升级到最新病毒库后尝试用它扫描清除一下,但这里需要特别提醒一点: 由于这类木马新变种层出不穷,所以不能保证费尔托斯特安全能够识别出目前所有的或者您遇到的。 那么除此之外难道就没有其他办法了吗?有的,下面就介绍一个借助免费工具“费尔木马强力清除助手”(此工具已经集成到费尔托斯特安全新版本中了)来清除这种顽固性 PWSteal.Trojan, Trojan horse 木马的方法:
使用这个方法前必须要先知道这个木马的文件名是什么。防毒软件在发现木马后一般都会报告它的完整文件名,您需要先准确的记录下这个文件名。比如:如果防毒软件提示 C:\Windows\hello.dll 是 PWSteal.Trojan 或 Trojan horse,则记下 C:\Windows\hello.dll 这个名子。这里需要注意文件名一定要记准确,因为有许多木马会把自己的文件名故意伪装成和正常的文件名很接近,比如 svch0st.exe(木马)->svchost.exe(正常)、Expl0rer.exe(木马)->Explorer.exe(正常)、intrenat.exe / internet.exe(木马)->internat.exe(正常)等等。特别是数字0几乎和大写字母O一样,很容易让人看错,所以一定要注意区分它们,否则万一记错将有可能把正常的文件清除掉,那就麻烦了;
暂停防毒软件的实时监控,这一点很重要,否则在清除时可能会被阻止而无法成功。比如如果当初是你的诺顿发现了这个木马,那么请先暂停诺顿的实时监控或实时扫描;
下载费尔木马强力清除助手 http://dl.filseclab.com/down/powerrmv.zip;
释放 PowerRmv.zip 到一个目录,然后执行其中的 PowerRmv.exe 启动“费尔木马强力清除助手”。在“文件名”中输入要清除的木马文件名。比如如果您在第1步中记下的文件名是 C:\Windows\hello.dll,那么这时就输入它;
按“清除”。这时程序会询问你是否要举报此病毒到费尔安全实验室,建议点“是”表示同意。接着程序会继续提示是否确定要清除它,仍然选“是”;
之后,如果此木马被成功清除程序会提示成功;或者也可能提示此木马无法被立即删除需要重启电脑。无论是哪种情况请点击“确定”,这时如果您在前面同意了举报此木马那么程序会自动创建并打开一个“病毒举报”的电子邮件,其中会包含这个木马的样本文件,如果您看到了这个邮件请把它直接发送给 virus@filseclab.com 。如果您并没有看到这封邮件也没有关系,可以忽略。
最后,如果程序前面提示了重启电脑后才能清除那么请一定重启您的电脑,在电脑重启后这个木马应该就被清除掉了。
重要提示: 如果您按上面的方法操作之后,发现不久这个木马又出现了,并且还是同样的文件名,那么您可以用上面的方法再重复执行一次,不过这次操作时请选中程序中的“抑制文件再次生成”选项, 这样清除后一般木马就很难再复活了。这个功能是最新版“费尔木马强力清除助手”中提供的,如果您的没有这个选项,请从上面的地址中重新下载一次。
注意:
“费尔木马强力清除助手”有很强的文件删除能力,清除后的文件将无法再恢复,所以在清除前一定要确定文件名没有输入错误。
如果您按上面的方法操作后仍然不能成功清除掉木马,则可能是电脑中还存在着另外一个更主要的木马,在它被清除后会自动从另外一处恢复。这时您需要用防毒软件扫描出所有的这些木马,然后逐一或同时清除才行。
这个是顽固木马吧,找360系统急救箱帮忙,360系统急救箱(原名:“顽固木马专杀大全”)是强力查杀木马病毒的系统救援工具,对各类流行的顽固木马查杀效果极佳,如犇牛、机器狗、灰鸽子、扫荡波、磁碟机等。
进程文件: IMSCMIG.EXE进程名称: IMSCMIG.EXE
英文描述: N/A
进程分析: MicrosoftIME输入法的组件。
所以楼主所怀疑的启动项是正常的。
另外,根据描述,这类病毒一般也不会在启动项里露马脚。
一般是服务或者驱动里,或者直接加载DLL文件,嵌入EXPLORER.EXE进程。
有兴趣的话用SRENG扫描,再发报告上来比较好判断。
有问题到我空间留言。
以下所有方法均需在安全模式下进行(开机按F8进入安全模式)
方法一:
杀毒软件提示重启后删除,无法删除
现象:杀软会提示重启后删除,结果重启后还存在。
Keyloqqer.Trojan的清除方法
对于删除病毒后开机或重起时提示找不到着个文件时,可以在开始-运行中输入regedit打开注册表。
按F3搜索找不到的文件,在注册表中删除其键值
查杀办法:
使用置顶360粉碎工具或用unlocke删除相应文件
下载地址
http://bbs.360safe.com/attachment.php?aid=6827
QUOTE:
1、安装unlocker (安装完unlocker软件后会在右键菜单上自动生成一个unlocker的菜单项)
2、找到你要删除的文件,点右键,在右键菜单中选择unlocker选项。然后会弹出一个unlocker程序的界面。
3、如果你要删除的文件被进程调用,那么在界面中会看到调用的进程,选中这些进程,然后点unlocker键(在右下方的键中,好象是这个名字)。点击后,你会看到进程被杀掉了(即窗口中进程框中没有进程了)。
4、然后点击左下方的下拉选择框,选中delete选项,再点击unlocker键,文件就会被删除。
如果还会出现,说明电脑中的病毒并非就此一两个文件
(1)采用360安全卫士对电脑进行查杀及修复,以便清除此木马病毒自动下载的流氓插件。然后断开网络,进入到注册表中把关于此木马病毒的核心模块名字的各个项目清除,这样做可避免在清除过程中此木马病毒在后台下载另外的木马。
(2)进入安全模式下用杀毒软件进行全盘杀毒。要断开网络
方法二:
先找到Keyloqqer.Trojan感染的文件(杀毒软件可以找到路径)然后用XDELBOX删除。使用方法及下载地址如下:http://post.baidu.com/f?kz=158203765
删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作,删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关XDelBox的详细说明请看xdelbox1.3目录下help.chm
注意:杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
关闭QQ等应用程序。进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。
重启计算机后,用工具 SREng 修复所有错误
下载及其使用方法看下面的链接【有图解】,看懂再下手操作!
http://post.baidu.com/f?kz=247766512
最后用 下文推荐的工具清理(WINDOWS清理助手或者、360安全、金山清理助手均可) 把能检测到的全选后点清理(删除)参考
http://post.baidu.com/f?kz=149133630
如果还不行,用sreng扫描日志发到w_dawei@126.com
建议你安全模式下使用专业的杀毒软件最新版进行全盘杀毒
卡巴斯基反病毒软件 (KAV) V6.0.2.621 简体中文单机版:
http://www4.skycn.com/soft/22713.html#download
本人已经用过,真的很好用的。
欢迎来到篮球帝国:http://hi.baidu.com/gggglqwqt
参考资料:http://hi.baidu.com/gggglqwqt
以下所有方法均需在安全模式下进行(开机按F8进入安全模式)
方法一:
杀毒软件提示重启后删除,无法删除
现象:杀软会提示重启后删除,结果重启后还存在。
Keyloqqer.Trojan的清除方法
对于删除病毒后开机或重起时提示找不到着个文件时,可以在开始-运行中输入regedit打开注册表。
按F3搜索找不到的文件,在注册表中删除其键值
查杀办法:
使用置顶360粉碎工具或用unlocke删除相应文件
下载地址
http://bbs.360safe.com/attachment.php?aid=6827
QUOTE:
1、安装unlocker (安装完unlocker软件后会在右键菜单上自动生成一个unlocker的菜单项)
2、找到你要删除的文件,点右键,在右键菜单中选择unlocker选项。然后会弹出一个unlocker程序的界面。
3、如果你要删除的文件被进程调用,那么在界面中会看到调用的进程,选中这些进程,然后点unlocker键(在右下方的键中,好象是这个名字)。点击后,你会看到进程被杀掉了(即窗口中进程框中没有进程了)。
4、然后点击左下方的下拉选择框,选中delete选项,再点击unlocker键,文件就会被删除。
如果还会出现,说明电脑中的病毒并非就此一两个文件
(1)采用360安全卫士对电脑进行查杀及修复,以便清除此木马病毒自动下载的流氓插件。然后断开网络,进入到注册表中把关于此木马病毒的核心模块名字的各个项目清除,这样做可避免在清除过程中此木马病毒在后台下载另外的木马。
(2)进入安全模式下用杀毒软件进行全盘杀毒。要断开网络
方法二:
先找到Keyloqqer.Trojan感染的文件(杀毒软件可以找到路径)然后用XDELBOX删除。使用方法及下载地址如下:http://post.baidu.com/f?kz=158203765
删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作,删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关XDelBox的详细说明请看xdelbox1.3目录下help.chm
注意:杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
关闭QQ等应用程序。进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。
重启计算机后,用工具 SREng 修复所有错误
下载及其使用方法看下面的链接【有图解】,看懂再下手操作!
http://post.baidu.com/f?kz=247766512
最后用 下文推荐的工具清理(WINDOWS清理助手或者、360安全、金山清理助手均可) 把能检测到的全选后点清理(删除)参考
http://post.baidu.com/f?kz=149133630
如果还不行,用sreng扫描日志发到w_dawei@126.com
不能添加到收信任区域!Keyloqqer.Trojan是木马间谍,这是一种更新、更隐蔽的方法。通过修改虚拟设备驱动程序(VXD)或修改动态遵掇库 (DLL)来加载木马。这种方法与一般方法不同,它基本上摆脱了原有的木马模式---监听端口,而采用替代系统功能的方法(改写vxd或DLL文件),木马会将修改后的DLL替换系统已知的DLL,(viruspe.com)并对所有的函数调用进行过滤。对于常用的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些相应的操作。实际上。这样的事先约定好的特种情况,DLL会执行一般只是使用DLL进行监听,一旦发现控制端的请求就激活自身,绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到它。在往常运行时,木马几乎没有任何瘫状,且木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。
解决办法1
你要是还行的电脑就改注册表,开注册表就不说了,然后找出这三个下所有以“run”开头的键值
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下
解决办法2
再不行安全模式进去删了病毒文件和关联的
恩,可以该属性这个懂吧:后缀的
还有DLL删不掉时剪切移动下再试
最后用DEL命令去去看
不知道你是DLL还是VXD
卡吧有反应也没删掉嘛
可以的嘛这木马
解决办法3:-viruspe.com
还有个办法删不掉时用EWIDO那个升级或HUNTER的
你也别找HUNTER的破解版中文版了直接试用
再第一遍都升级后关了重开在安全模式下弄更好
最后和哇卡卡你重装吧保证行嘿嘿(MS废话)
Keyloqqer.Trojan是木马间谍,这是一种更新、更隐蔽的方法。通过修改虚拟设备驱动程序(VXD)或修改动态遵掇库 (DLL)来加载木马。这种方法与一般方法不同,它基本上摆脱了原有的木马模式---监听端口,而采用替代系统功能的方法(改写vxd或DLL文件),木马会将修改后的DLL替换系统已知的DLL,(viruspe.com)并对所有的函数调用进行过滤。对于常用的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些相应的操作。实际上。这样的事先约定好的特种情况,DLL会执行一般只是使用DLL进行监听,一旦发现控制端的请求就激活自身,绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到它。在往常运行时,木马几乎没有任何瘫状,且木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。
求救查杀办法。
现在的hips软件都有系统文件比对功能,也就是记住了系统文件的校验码,如果出现替换操作一个是会被拦截,另外就是无法通过校验。
我前一段时间好像也遇到了这类木马,特征就是文件属性依照微软的,让我郁闷了好半天。最终搞定。所用工具:autoruns、卡巴6、360安全卫士。
漕法易宁: 用javascript实现比较容易,每条记录前加一个checkbox用于标记一条记录,可以将数据标识存在checkbox的value中,全选时将所有的checkbox选中,删除时将选中的checkbox对应的数据删除即可.
京口区13943792760: 急急急!电脑中毒了,请教高手! - ?
漕法易宁: 这种病毒很顽的,是两个文件,你删除一个的时候,另外一个会自动补上你删除的那个,只能是你同时删除两个就可了,我可以说下,你找开任务管理器,找到那两个应用程序,同时关掉,然后找个系统盘进入PE,或是进入安全模式,找到它们,删除掉就可以了,谢谢!
京口区13943792760: 系统中有一个KQ82.EXE的进程,请教高手. - ?
漕法易宁: 真是个秀才,之乎者也的,巨汗!进安全模式查杀病毒,一般病毒写进了进程后,你在WINDOWS下杀了他关掉电脑再打开又会出现的,他会自动写进你的系统服务里,菜一点的病毒就写...
京口区13943792760: 电脑中了淘宝客病毒 360 金山都搜不到杀不了 怎么办啊 求高手指引 - ?
漕法易宁: 出现这问题个人建议你使用360系统急救箱(它不用安装,解压后就可使用)在带网络安全模式下查杀试试,它是强力查杀木马病毒的系统救援工具,对各类流行的顽固木马查杀效果极佳,如犇牛、机器狗、灰鸽子、扫荡波、磁碟机等.它够强力清除木马和可疑程序,并修复被感染的系统文件,抑制木马再生,是电脑需要急救时最好的帮手. 这样处理应当可以解决,希望能帮到你.
京口区13943792760: 请教高手!!!!! - ?
漕法易宁: 安全模式被破坏了.修复好安全模式后进入安全模式查,如果卡巴清除不干净,也可以用用windows清理助手、360顽固木马专杀、贝壳木马专杀、金山急救箱工具扫描清理.如果遇到难以删除的顽固可以用 1:冰刃:2:Unlocker:3:超级巡警文件...
京口区13943792760: 想请教高手 如何彻底查毒??
漕法易宁: 遇到感染类的蠕虫病毒可以这样,先下载360系统急救箱保存到D盘,重启按F8进入带网络连接的安全模式,使用360系统急救箱进行查杀 这样就查杀的比较彻底了,然后启动360杀毒 360安全卫士的木马云查杀功能查杀清除残留就可以了.
京口区13943792760: 请教高手:木马查杀不了??
漕法易宁: 用360文件粉粹机,它在“高级”/“高级工具集”里,点击“添加文件”在其中输入那木马地址:C:\WINDOWS\system32\actxprxy.dll ,再勾上阻止....再生点击粉碎选中文件.如果不行就换其他的像金山清理专家的文件粉碎机,或者一些其它强制删除工具,像XDelBox,unlocker之类的,总有一个可以删除的.
京口区13943792760: 请教电脑高手关于rootkit专杀工具的问题请教电脑高手,因为怀 ?
漕法易宁: 可能和瑞星有冲突,你可以暂是将瑞星的监控关闭,在下载你说的软件查杀试试. 建议你下载恶意软件和木马强杀工具windows清理助手查杀恶意软件和木马: 下载网址: 下载安装后,首先升级到最新版本,然后退出正常模式并重启按F8进入到安全模式.打开软件,点击“系统扫描”,对扫描结果全选,然后点击“执行清理”按钮,如果软件提示你是否“备份”,选择“是”(备份是为了防止发生清理错误,如果清理后系统没有发生异常,就删除备份),按提示进行操作即可(软件也可以在正常模式中进行查杀).
京口区13943792760: Qhost.NKJ特洛伊木马病毒该怎么样才能杀啊,之前用了360,用了ESET杀了好多次就是杀不了,请教高手. - ?
漕法易宁: 重新启动电脑按F8进入安全模式 使用杀毒软件查杀病毒 不过木马我推荐使用360顽固木马专杀工具《不是360安全卫士》 在安全模式下 应该能够帮你扫清木马的
京口区13943792760: 我的电脑中了Trojan.DL.QQHelper.eke 和Trojan.QQMsg.MsgSender.ha 的病毒,该如何杀毒?请教各位高手?
漕法易宁: 这个是病毒我也中过.用瑞星是不行的..怎么杀也杀不干净 建议你下载个ewido4.0专杀木马的..我相信大家对它的评价.ewido杀木马世界领先. 给你个地址去下吧http://www.newhua.com/index.htm 先下个英文的ewido在下个汉化补丁覆盖下就OK.记住每天要升级噢 我给你的那个网站是华军软件园的..这个肯定不会有毒的放心使用
