本站招兵买马

Y8论坛-舟山东路论坛

 找回密码
 注册发帖

QQ登录

只需一步,快速开始

查看: 1374|回复: 7
打印 上一主题 下一主题

木马程序Trojan-Clicker.Win32.Agent.mz

[复制链接]
跳转到指定楼层
1#
发表于 2007-11-7 14:14:57 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<br/><table height="250" cellspacing="0" cellpadding="0" width="100%" border="0" style="TABLE-LAYOUT: fixed;"><tbody><tr><td class="centercenter" valign="top">计算机重启后删除: 木马程序 Trojan-Clicker.Win32.Agent.mz 文件: C:\WINDOWS\system32\godajx10.dll <br/><br/><br/>杀毒完,重启后还提示这个木马程序,请问怎么才能彻底杀掉捏?</td></tr><tr><td class="td_i3" valign="bottom"><br/></td></tr></tbody></table>
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 反正我信了反正我信了 反正我不信反正我不信
2#
发表于 2007-11-7 14:17:08 | 只看该作者
建议把电脑砸了
3#
发表于 2007-11-7 15:00:47 | 只看该作者
用卡巴[em01]
4#
发表于 2007-11-7 18:14:57 | 只看该作者
进入安全模式 可以杀干净
5#
发表于 2007-11-7 18:15:25 | 只看该作者
建议使用木马杀客
6#
发表于 2007-11-7 21:34:49 | 只看该作者
手动
7#
发表于 2007-11-10 13:05:30 | 只看该作者
一群人说得都是没有用的话!
如果LZ同学知道可以“卡巴、木马杀客、安全模式、手动清除”,那还问什么捏?

简单说下我的思路:
这是个dll型注入型木马,它是无法像exe可执行文件一样自运行的,它必须由可执行文件进行载入运行其中的代码!所以,想杀它,可能你就要解除它的“载入”,也就是让它失去“注入”到它之前所要“注入”的程序进程!
下面还想写的,可惜自己感觉打字太累了,就找点网上有的,反正跟我想说的同个意思

除恶务尽,清除特殊DLL注入木马

  除了以上所说的注入普通进程的DLL木马之外,还有许多木马注入到系统里关键进程中,比如svchost.exe、smss.exe、 winlogon.exe进程。这些进程使用普通方式无法结束,使用特殊工具结束掉进程后,却又很可能造成系统崩溃无法正常运行的情况。对于这些木马,我们可以通过以下两种方法进行清除。

  1.使用IceSword卸载DLL文件

  IceSword的功能十分强大,我们曾在以前作过介绍,在这里,就可以利用它卸载掉已经插入到正在运行的系统进程中的DLL文件。在 IceSword的进程列表显示窗口中,右键点击DLL木马宿主进程,选择弹出命令“模块信息”。在进程模块信息对话框中找到DLL木马文件,选择文件后点击“强制解除”命令,即可将系统进程中的DLL木马文件卸载掉了

  卸载系统进程中的DLL木马

  2.SSM终结所有DLL木马

   使用IceSword可以卸载大部分的DLL木马文件,但还有某些特殊木马在卸载时,却会造成系统崩溃重启。例如一款著名的木马PCShare采用了注入“winlogon.exe”进程的方式运行,由于该进程是掌握Windows登录的,因此在使用IceSword卸载时,系统将会立即异常重启,根本来不及清除掉DLL文件,在重启后DLL木马又被再次加载。对于这类DLL木马,必须在进程运行之前阻止DLL文件的加载。接下来,我们又要用到一款用于阻止DLL文件加载的安全工具——“System Safety Monitor”(简称SSM)。

  提示:SSM是一款俄罗斯出品的系统监控软件,通过监视系统特定的文件(如注册表等)及应用程序,达到保护系统安全的目的。这款软件功能非常强大,可以辅助防火墙和杀毒软件更好的保护系统安全。

  运行SSM,在程序界面中选择“规则”选项卡,右键点击中间规则列表空白处,选择“新增”命令,弹出文件浏览窗口,选择浏览文件类型为 “DLL files”,在其中选择指定文件路径“C:\Windows\system32\rejoice.dll”。点击“确定”按钮后,即可把 “rejoice.dll”文件添加到规则列表中,然后在界面下方的“规则”下拉列表中选择“阻止(F2)”。完成添加规则设置后,点击“应用设置”按钮,后重启系统。

  阻止DLL文件加载到进程

  提示:在重启系统前请检查SSM的设置,确保SSM随系统启动而加载运行。

  当系统重启时,SSM就会自动阻止相关进程调用“rejoice.dll”木马文件。这样,该木马文件便不会被任何程序使用,在硬盘中找到它,直接删除即可。

  雁过无声,清除木马残留垃圾

   DLL注入型木马并不会感染其它文件,只要结束木马进程并删除掉病毒文件木马,木马就没有任何危害性了。剩下的工作就是清除掉木马在注册表和其它启动文件中留下的项目。方法很简单,点击“开始→运行”,输入“regedit”命令,就会打开“注册表编辑器”,利用搜索功能,便可以清除木马在注册表中留下的垃圾;输入“mscnofig”命令,就可以打开系统配置实用程序,清除木马在启动文件中的踪影。

  编后:木马选择注入的系统进程也不尽相同。在碰到此类木马时,我们可以首先考虑用procexp之类的工具,查找出DLL文件的宿主进程。找到宿主进程后,如果是注入到普通可结束的进程中,可以直接将宿主进程终止后删除DLL木马文件即可。如果DLL文件是注入到系统关键进程中的话,可以考虑用 IceSword卸载DLL文件;如若失败,那么直接用SSM建立规则,阻止DLL文件的加载就可以了。
8#
发表于 2007-11-10 13:09:14 | 只看该作者

ps~

装个好点的杀软,有它不是万能,没它也是不行的(注意:我没说玩玩不能),我的杀毒软件每天都被我关掉了,看了看升级时间,呵呵,距离上次升级时间是:23天……还有装个防火墙,可以用天网,以前我都用破解版,后来发现国产的东西,要钱又不怎么好,所以转向了外国的免费firewall

嗯,是树大的朋友请期待吧,网管中心在做一个安全版块,到时候关于网络安全,个人PC安全会有很强大的资源给你的网络时间予以保障哦~
您需要登录后才可以回帖 登录 | 注册发帖

本版积分规则

未经书面授权 不得复制或建立镜像,舟山东路论坛所有内容,发表者自行负担版权责任,
版权纠纷请版权所有者寻找发行者自行解决,舟山东路论坛尽力协助,但不负任何法律责任!
本站原创内容,发表者拥有版权,舟山东路论坛拥有展示权,转载请注明出处!


关于Y8 | 广告服务 | 法律声明 | 联系我们

在线客服:我是Y8BBS管理员,点此联系我! (Admin) | 我是Y8BBS野叶,点此联系我! (野叶)

小黑屋|手机版|Archiver|Y8论坛-Y8bbs.com ( 浙ICP备09036201号  

GMT+8, 2024-12-1 13:37 , Processed in 0.106767 second(s), 26 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表