特洛伊变异木马病毒如何解决?

这个病毒不稀奇

你把它现实对应的那个文件删掉就好了

因为ESET杀毒软件对有些文件是不会删除的

如果已经删除那就没事情了

关于特洛伊木马病毒

木马病毒(特洛伊 后门等)一般情况下都比较顽固，常规模式下不好清除。(容易隐藏病毒文件 容易与其他系统文件关联，以DLL注入或者系统关键进程注入等方式发作等)

首先重启电脑，进入安全模式，再启动你的杀毒软件扫描一遍就可以了。

安全模式：启动的时候按住 F8 键，出现选择的时候 选“进入安全模式”

可以试试下面几款,因为都是免安装的绿色版本

,不用担心冲突问题,不可能冲突,且都能升级的

顶级木马间谍查杀软件应该是Spy Emergency了

Spy Emergency2005 （一款顶级木马间谍查杀软件）2.0.320 汉化版 下载：http://www.e666.cn/Software/Catalog102/2367.html

专杀木马的应该是木马克星

木马克星iparmor V5.50 Build 2206清爽去广告增强版下载：

http://www.e666.cn/Software/Catalog101/2249.html

还有就是木马分析专家也不错

木马分析专家2006 V7.09 特别版＆02月06日木马库下载：

http://www.e666.cn/Software/Catalog101/1744.html

木马杀客 5.2 绿色特别版 Build 0120 （更新02月21日病毒库）

http://www.e666.cn/Software/Catalog101/1751.html

Autoruns (查木马病毒解决系统启动太慢的工具)v8.43 汉化修正版

http://www.e666.cn/Software/Catalog30/2124.html

推荐采用功能强大的木马专杀工具：ewido （这是目前非常有效、强大的反木马工具，玩马者的克星）

这是绿色版，网站里面也有安装版，随你选择

http://www.orsoon.com/Software/catalog184/2727.html

特洛伊木马病毒

病毒名称：

Trojan-PSW.Win32.OnLineGames.jbo

病毒类型：

木马类

文件

MD5：

1B414FF11AD77F8D2C1740AECFDD5E0A

公开范围：

完全公开

危害等级：

3

文件长度：

17,408

字节

感染系统：

Windows98以上版本

工具：

Microsoft

Visual

C++

6.0

加壳类型：无

二、病毒描述：

该病毒为木马类，病毒运行后，复制自身到系统目录下，病毒文件，以批处理文件删除自身。

添加启动项，以达到随机启动的目的。该病毒由于已出现大量的生成机，因此生成一个同种病毒特别容易，这也使其大量的被生成，再加互联网的快速传播，使其在中国大陆已形成了一个木马分支――网游盗号木马类；可以盗取用户帐号

号与密码。

三、行为分析：

1、

文件运行后会释放以下文件

%WINDIR%\cmdbcs.exe

%system32%\cmdbcs.dll

2、

新建注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]

注册表值："

cmdbcs

类型：

REG_SZ

值：

C:\WINDOWS\cmdbcs.exe

描述：添加启动项，以达到随机启动的目的

3、释放cmdbcs.dll进驻内存，尝试插入下列进程中：

EXPLORER.EXE

IEXPLORER.EXE

应用程序进程

4、cmdbcs.dll插入进程后可以访问该进程资源，记录该进程中的敏感资料；例如帐号与密码

5、检测窗口标题为AVP的窗体，瑞星的警告窗体，如果检测到则关闭。当病毒添加注册表启动项时，如果弹出瑞星注册表监控，则自动允许并关闭监控窗体。具有反查杀能力。

注释：

%Windir%

WINDODWS所在目录

%DriveLetter%

逻辑驱动器根目录

%ProgramFiles%系统程序默认安装目录

%HomeDrive%

当前启动系统所在分区

%Documents

and

Settings%

当前用户文档根目录

%Temp%

当前用户TEMP缓存变量；路径为：

%Documents

and

Settings%\当前用户\Local

Settings\Temp

%System32%

是一个可变路径；

病毒通过查询操作系统来决定当前System32文件夹的位置；

Windows2000/NT中默认的安装路径是　C:\Winnt\System32；

Windows95/98/Me中默认的安装路径是　C:\Windows\System；

WindowsXP中默认的安装路径是　C:\Windows\System32。

四、

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：

www.antiy.com

2、手工清除请按照行为

分析除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址:

www.antiy.com

或

http://www.antiy.com/download/index.htm

(1)

使用安天木马防线或ATool中的“进程管理”关闭病毒进程

强行卸载cmdbcs.dll

(2)

强行删除病毒文件

%WINDIR%\cmdbcs.exe

%system32%\cmdbcs.dll

(3)

恢复病毒修改的注册表项目，删除病毒添加的注册表项

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]

注册表值："

cmdbcs

类型：

REG_SZ

值：

C:\WINDOWS\cmdbcs.exe

特洛伊木马病毒是什么?有什么危害??

木马病毒

一般情况下，杀毒软件只要能告诉你木马病毒的名称，肯定就能识别并删除，只是要注意方式 *** 。

原因：木马病毒(特洛伊 后门等)一般情况下都比较顽固，常规模式下不好清除。(容易隐藏病毒文件 容易与其他系统文件关联，以DLL注入或者系统关键进程注入等方式发作等)

*** ：首先重启电脑，进入安全模式，再启动你的杀毒软件扫描一遍就可以了。

安全模式：启动的时候按住 F8 键，出现选择的时候 选“进入安全模式”

杀毒前关闭系统还原：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。

救命～特洛伊木马病毒杀不掉啊～

中了病毒、木马不要着急，我来帮你：

这里的 *** 是总结的前辈们的经验，在此感谢他们！！！！！

其实中毒后的处理 *** 就是那么几种，但是借助杀毒软件用手工 *** 处理是最为

有效的！！！！

木马的查杀，可以采用自动和手动两种方式。最简单的删除木马的 *** 是安装杀

毒软件(自动)，现在很多杀毒软件能删除 *** 最猖獗的木马，建议安装金山毒霸

或安全之星XP，它们在查杀木马方面很有一套！

由于杀毒软件的升级多数情况下慢于木马的出现，因此学会手工查杀非常必要。

*** 是：

1.)检查注册表

看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curren Version和

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有

以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的

键值，再删除相应的应用程序。

2.)检查启动组

木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场

所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:＼windows＼

start menu＼programs＼startup，在注册表中的位置：HKEY_CURRENT_USER＼

Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell

Folders Startup="C:＼windows＼start menu＼programs＼startup"。要注意经

常检查这两个地方哦！

3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方

比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么

程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的

Shell=Explorer.exe后面也是加载木马的好场所，因此也要注意这里了。当你看

到变成这样：Shell=Explorer.exe wind0ws.exe，请注意那个wind0ws.exe很有可

能就是木马服务端程序！赶快检查吧。

4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里

C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。

5.)如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否

打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木

马程序，只好再找一个这样的程序，重新安装一下了。

6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动

所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分

木马应该没问题的。

另外，你也可以试试用下面的办法来解决：

从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件，可以放心使用

这个是下载地址。

http://www.ttian.net/website/2005/0829/391.html

这个是它的详细用法。

http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm

一般来说，不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服

务、隐文件的，利害的能将杀毒软件有实时监控给杀死！但在这个冰刃里，它是

无法遁身的。开启的非法进程会以红色显示出来。

至于杀毒软件，应该说各人有各人的喜好，下面给出的链接上你看看比较一下：

六款主流杀毒软件横向评测

http://it.sohu.com/2004/05/19/39/article220183986.shtml

消费者该如何选择？六款杀毒软件横向评测(这个要详细些)

http://tech.tom.com/1380/1383/2005513-197230.html