win32.GamePsw.WOW.bdko 这是什么病毒,用哪款杀毒能杀掉
2024-05-14
1. win32.GamePsw.WOW.bdko 这是什么病毒,用哪款杀毒能杀掉
win32.GamePsw.WOW.bdko,从名称上看,这是一个盗号木马! 建议楼主安装专业的杀毒软件,升级病毒库,重启机器,然后按F8进入安全模式下断网查杀! 至于使用哪款杀毒软件,这个倒无法确定,也不能保证哪款杀毒软件一定就能查杀该木马。 国产免费的有瑞星、金山。 国外免费的有小红伞、AVAST。 这四个软件楼主可以参考一下!
2. 怎么删除病毒Trojan-PSW.Win32.WOW.LI
手动吧!不行就把染病毒的盘给格了。
3. Trojan-PSW.Win32.WOW.em
打开windows任务管理器,察看是否有可疑的进程在运行,如果有把它结束。(Rundll32.exe本身不是病毒,有可能一个dll文件在运行,他可能是病毒或恶意程序之类的东西。) 若提示无法结束,再察看控制面板〉管理工具〉服务,看有没有与之相关的 服务在运行,把它停止。同时设法查找这些恶意程序文件(如system32文件夹中是否有不明dll或exe文件,C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或染毒文件),然后删去,注意别删了系统文件!
4. 关于Trojan-PSW.Win32.WOW.jh(jg)盗号木马
这位朋友, 首先回答你的第一个问题:你的病毒是不可能来自官网的,而可能是在你点击一些网站的图片或连接时被植入了木马。 第二个问题:帐号,密码是最容易被盗的了,既然他能够盗走你的WOW,当然可以顺手牵羊盗走你的邮箱,而且密保卡现在也并不安全。请看这篇文章: “酷狮子”系列木马攻破WOW密保 1. 感染 盗号者一般把盗号木马放在网页上,或者利用网页的JS脚本、ActiveX插件等功能把木马下载到用户电脑上,强一点的还把木马绑定到图片、动画、视频里,然后诱骗用户点击。还有就是把木马绑定到一些程序中,尤其是外挂程序。甚至很多外挂程序本身就是盗号木马。 中招的用户,一般是浏览过一些八卦网站,被诱惑点击过某些图片、动画、视频,或者运行过某些来历不明的程序。 2. 潜伏与激活 现在的新型木马会把自身功能模块(或者自身程序代码)写入WINDOWS的系统文件中,例如资源管理器EXPLORER.EXE,声卡、显卡的驱动程序等,就这样潜伏了下来。而且就算是安全模式,一开机木马都会被XP系统加载,比以前的木马通过修改注册表来启动加载高明多了。 木马被加载后就被激活了。现在的新型木马,激活后是没有独立的内存进程的,查看内存进程是看不到它的。那么它躲藏在哪里呢???它把自身注入到正常的系统进程SVCHOST.EXE中去了,XP系统起码有5个SVCHOST.EXE进程,是负责用户上网功能的(不要随便关闭这些进程哦,会上不了网滴),木马随便找个进程都能躲藏进去。 3. 监视与窃取 木马会监视用户的活动,监视用户电脑内存的特定进程----例如游戏程序的进程(魔兽世界的WOW.EXE),并记录用户在该进程输入的账号、密码等信息。 多数木马会偷偷地主动连接网络和向外发送记录到的信息,但这样容易被某些杀毒软件和防火墙发现。所以有一些设计巧妙的木马它会静静地等,一直等到接到盗号者的指令才会把记录的信息发送出去。 不管怎么样,用户的账号、密码是被盗号者偷到手了。 4. 木马诈骗密保卡 对于绑了密保卡的用户,盗号者偷到了账号、密码还是没用。盗号者会怎么做呢?木马+骗术。 先看骗术,用虚假中奖信息诈骗是常见手段,还有什么打折充值、代练之类,目的是骗用户说出盗号者想要的密保卡随机密码,然后登录上来洗劫,等被踢下线的用户再登录上来,身上已经光溜溜的了(前后不到一分钟)。 再看木马, 以魔兽世界为例,说说盗号者是怎么把绑了密保卡的账号盗取的。 盗号者用盗到的账号、密码登录9C的账号管理中心,改密码,再选择换密保卡。换卡要先输入原密保卡的三组密码。于是盗号者对木马发出指令,这时 密保卡用户会在玩游戏时突然掉线(不关网络和9C的事,是木马搞的鬼),然后出现要求用户输入密保卡上的三组密码的提示,而这个输入密保卡密码的界面是木马程序弄出来的,不是游戏程序的,但是因为弄得跟真的一样,一般用户难分真假,而要求输入的三组密码正是……。 不明底细的用户,稀里糊涂地输入了密保卡密码,结果就是盗号者用他手上的密保卡替换绑定了这个账号,账号彻底易主。 上文引用 魔登驿站作者“乃尔” 所以,我分析,你的电脑可能是以前中了WOW的盗号木马,在你安装后WOW被感染,接着木马使你反复掉线,获得你多组密保卡数字,之后盗走你的号. 最后说点防范小常识 1、洁身自爱,不要受诱惑点击不明连接,不要访问那些杂七杂八的网站,不使用外挂。 2、杀毒软件+防火墙、密保卡仍然是必不可少,能大大降低你被盗号的机会。 呵呵,希望对你有帮助,我刚申的号,记得给分哈。
5. Win32.Troj.ClearPsw.a.55891怎么杀啊?
特鲁伊木马病毒!
这种病毒怎么清除? 特洛伊木马(Trojan horse)
完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。
木马程序不能算是一种病毒,但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。
特洛伊木马是如何启动的
1. 在Win.ini中启动
在Win.ini的[windows]字段中有启动命令"load="和"run=",在一般情况下 "="后面是空白的,如果有后跟程序,比方说是这个样子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,这个file.exe很可能是木马哦。
2.在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所,木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!
另外,在System.中的[386Enh]字段,要注意检查在此段内的"driver=路径\程序名"这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
3.利用注册表加载运行
如下所示注册表位置都是木马喜好的藏身加载之所,赶快检查一下,有什么程序在其下。
4.在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽。容易被发现,所以在Autoexec.bat和Confings中加载木马程序的并不多见,但也不能因此而掉以轻心。
5.在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Windows自动生成,在执行了Win.com并加截了多数驱动程序之后
开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
6.启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
7.*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。
8.修改文件关联
修改文件关联是木马们常用手段 (主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开,如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值,将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l",这样,一旦你双击一个TXT文件,原本应用Notepad打开该文件,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、ZIP.COM等都是木马的目标,要小心搂。
对付这类木马,只能经常检查HKEY_C\shell\open\command主键,查看其键值是否正常。
9.捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖源文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马义会安装上去。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
10.反弹端口型木马的主动连接方式
反弹端口型木马我们已经在前面说过了,由于它与一般的木马相反,其服务端 (被控制端)主动与客户端 (控制端)建立连接,并且监听端口一般开在80,所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时,最新的天网防火墙(如我们在第三点中所讲的那样),因此只要留意也可在网络神偷服务端进行主动连接时发现它。
WORM_NUGACHE.G(威金)和TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
的解决方案:
WORM_NUGACHE.G(威金)
病毒码发布日期: Dec 8, 2006
解决方案:
Note: To fully remove all associated malware, perform the clean solution for TROJ_DLOADER.IBZ.
Terminating the Malware Program
This procedure terminates the running malware process.
Open Windows Task Manager.
• On Windows 98 and ME, press
CTRL+ALT+DELETE
• On Windows NT, 2000, XP, and Server 2003, press
CTRL+SHIFT+ESC, then click the Processes tab.
In the list of running programs*, locate the process:
MSTC.EXE
Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your computer.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
*NOTE: On computers running Windows 98 and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process.
On computers running all Windows platforms, if the process you are looking for is not in the list displayed by Task Manager or Process Explorer, continue with the next solution procedure, noting additional instructions. If the malware process is in the list displayed by either Task Manager or Process Explorer, but you are unable to terminate it, restart your computer in safe mode.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Autostart Entries from the Registry
Removing autostart entries from the registry prevents the malware from executing at startup.
If the registry entry below is not found, the malware may not have executed as of detection. If so, proceed to the succeeding solution set.
Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry:
Microsoft Domain Controller = "%System%\mstc.exe"
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP and Server 2003.)
Removing Added Key from the Registry
Still in Registry Editor, in the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE
In the left panel, locate and delete the following key:
GNU
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as WORM_NUGACHE.G. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner.
Applying Patch
This malware exploits known vulnerability in Windows. Download and install the fix patch supplied by Microsoft. Refrain from using this product until the appropriate patch has been installed. Trend Micro advises users to download critical patches upon release by vendors.
TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
病毒码发布日期: Sep 18, 2006
解决方案:
Identifying the Malware Program
To remove this malware, first identify the malware program.
Scan your computer with your Trend Micro antivirus product.
NOTE the path and file name of all files detected as TROJ_CLAGGE.B.
Trend Micro customers need to download the latest virus pattern file before scanning their computer. Other users can use Housecall, the Trend Micro online virus scanner.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Malware Entry from the Registry
Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>
SharedAccess>Parameters>FiREWaLLpolicy>StAnDaRDPrOFiLe>
AUtHorizedapplications>List
In the right panel, locate and delete the entry:
{Malware path and file name} ="{Malware path and file name}:*:ENABLED:0"
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as TROJ_CLAGGE.B and TROJ_KEYLOG.CO. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner
6. Trojan-PSW.Win32.WOW.bs
您好不用担心; 如果杀毒软件能查出来就一定能杀,所谓杀不了,是因为病毒在运行;正在运行的程序不能修改或删除的。 重新启动,按住F8,进入安全模式,再从安全模式中启动杀毒软件就可以轻松杀毒了。 另外请一定要清理一下你的临时文件夹 建议你安全模式下使用主流杀毒软件的最新版杀毒 祝您好运。
7. 请问win32.troj.pswgame.bv.9421这个病毒该如何解决掉!! 谢谢了
这个病毒工作于Windows 32平台,它会偷取被感染机器的密码。 Win32.Troj.PSWGame.bv.9421 用金山毒霸的话,升级到06.07.28日病毒库就可以查杀了 如果用的别的杀毒软件或者没有杀毒软件,就用下面的东西: http://xdowns.com/soft/8/21/2006/Soft_31607.html Ewido Anti-Spyware V4.0.0.172C简体中文语言绿色特别版+Ewido病毒库升级程序 V3.0 RC 这个我用过,很不错 软件介绍: 许多的反木马程序中,Ewido 是最好的。国内的木马x星等和它比简直是小儿科了。最近在http://www.anti-trojan-software-reviews.com/上的测试里表明,它可以有效地检测出多形态和进程注入式木马,这些甚至完全不能被像诺顿和AVG等杀毒软件所查杀。不过它没有TDS-3 或Trojan Hunter有效.但TDS-3目前还没推出支持中文操作系统的版本,Trojan Hunter是英文的没汉化版。但对于个人而言Ewido足够强大了,和kaspersky结合使用加上ZoneAlarm防火墙,可以使得系统坚若磐石。推荐所有没有安装反木马扫描器的个人计算机用户下载这个软件,并每周定期扫描。我猜你可能在你会为所得到的结果感到惊讶,看见评论中有的朋友需要支持右键的,就做了个放上!想打开常驻护盾(实时监控)的朋友,请先运行设置.bat 可用到2007.2的KEY: 70EW-TH17Q1-PM-C01-S1W2QD-MEM-NUYY Ewido V4.0.0.172C病毒库升级程序 V3.0 RC:已经集成在压缩包内,先下载后解压!然后运行根目录下update.exe进行升级,即可!现已经更新到最新病毒库376069!需要监控的朋友请运行设置.bat
8. win32.pswtroj.tlonline.c.14897
木马清道夫应该可以解决你的问题. 木马清道夫注册码:89K4-97982-7987-12U5 (不知道还不可以用 呵呵,先试试吧) 华军软件园下载地址:http://www.onlinedown.net/soft/37369.htm Windows木马清道夫是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品,是全新一代的木马克星!《Windows木马清道夫》可自动查杀近10万种木马,配合手动分析可近100%对未知木马进行查杀!它不仅可以查木马,还可以分析出后门程序,黑客程序等等。它专业的分析功能,完美的升级功能,使你不再惧怕木马,让你远离木马的困扰! ============ AVG Anti-Spyware 7.5、超级巡警 V3.5 、360安全卫士请看全文。有原版下载地址AVG原Ewido中文版 AVG Anti-Spyware 7.5简体中文绿色版(原Ewido) AVG Anti-Spyware -- 极致安全 完美防护. 针对因特网上传播的新一代安全威胁的有效解决方案. 确保您的数据安全,保护您的隐私,抵御间谍软件,广告软件,木马,拨号程序,键盘记录程序和蠕虫的威胁. 在易于使用的界面之下,我们为您提供了高级的扫描和探测方式以及时下最尖端的技术. 反病毒程序只能提供针对危急爆发的威胁如木马,蠕虫,拨号程序,劫持程序,间谍软件和键盘记录程序的有限的保护.而这正是AVG Anti-Spyware保护的出发点,它能补充现有的安全应用程序从而创建一个完整的安全系统 -- 因为只有完整的安全系统才能有效地工作. AVG Anti-Spyware 7.5是ewido anti-spyware 4.0的全新高度改进的版本. ewido anti-spyware 4.0已经被AVG Anti-Spyware 7.5代替并且不再可供(以旧名称)销售和下载. AVG Anti-Spyware 7.5含有相同的ewido技术,但是带有更为增强的特性: 高度改进的清除性能 更低的资源使用 支持附加的语言 AVG Anti-Spyware的特性 新 完全复新的用户界面 新 可以创建例外 新 安全删除文件的粉碎器 新 XP反间谍 新 浏览器帮助程序对象查看器 新 分层服务提供器查看器 启发式探测未知威胁 扫描和清除Windows注册表 支持扫描NTFS交换数据流 每日更新数据库 通过使用强特征码防止补丁 分析工具(启动,连接和进程) 智能联机更新 在压缩文档内扫描 安全探测和删除动态链接库木马 通过模拟探测通用加密器 探测通用捆绑程序 免费电子邮件支持 自动清除引擎 可疑文件隔离 多语言用户界面 加强版的附加特性 新 计划扫描 实时监视整个系统 内存扫描探测活动的威胁 核心层自我保护保证了无缝监视 自动联机更新 ewido 的杀马效力无可替代,新一代产品更添加几百处更新和更全样本库,占用内存明显减少,启动更快,带来更多惊喜,几个月前ewido被捷克的Grisoft(AVG)收购,继而发布最新平台,简而言之,就是AVG Internet Security Suite 的组件。 原版下载http://download.ewido.net/ewido-setup.exe汉化包下载:http://www.newpaid.com/down/ewido/hanhua.rar 附件内还有二个注册机简体中文版下载:http://guru0.grisoft.cz/softw/70/filedir/inst/ewido-setup_4.0.0.172b.exe 超级巡警 V3.5 专门查杀并可辅助查杀各种木马、流氓软件、利用Rootkit技术的各种后门和其它恶意代码(间谍软件、蠕虫病毒)等等。提供了多种专业工具,提供系统 /IE修复、隐私保护和安全优化功能,提供了全面的系统监测功能,使你对系统的变化了如指掌,配合手动分析可近100%的查杀未知恶意代码! 升级改动: 1.安全优化-系统修复中加入修复磁盘文件关联功能 2.初步解决软件启动时写屏造成的闪烁问题 3.增强监控功能,在病毒库更新后智能对敏感位置检测 4.升级模块将主动下载KEY,用户不用在担心KEY过期或者损坏的问题。 5、文件粉碎机的UI小调整 6、信任列表增加全选菜单 7、修正在内存扫描时仍然可以点击快速扫描的BUG。 8、进程管理增加强制使用微软数字签名校验菜单,钩选后将只使用微软签名来验证进程和模块文件。 8、服务管理增加强制使用微软数字签名校验菜单,钩选后将只使用微软签名来验证服务文件和对应的DLL模块。 9、进程管理增加隐藏已知DLL的选项,默认开启,方便一目了然的查找... http://www.skycn.com/soft/29107.html#download =============== 360安全卫士v3.4版 漏洞补丁集中分发功能,网管批量安装补丁好帮手 new! · 支持局域网共享下载漏洞补丁,更可自定义漏洞补丁保存目录 · 提供U盘病毒免疫功能,阻止U盘病毒入侵 · 漏洞补丁扫描更精准,更新更及时,为各类突发漏洞提供及时有效的解决方案 增量升级,更快速升级特征库 new! · 支持增量升级,更新特征库更快速 · 首页显示最新特征库信息,更了解查杀最新动向 扫描更多可疑位置,诊断报告更精确 new! · 扫描更多恶意软件隐匿位置,更多列出系统可疑内容 · 诊断报告更精确,更准确更快速定位系统问题 超强查杀 · “破冰”技术,追击查杀广告软件asn.2、灰鸽子等最新变种。 · 查杀9000余款流行木马,1000余款恶意软件,每日增加中 免费杀毒 · 赠送价值320元的正版卡巴斯基杀毒V6.0,病毒库每小时更新,7*24小时全面服务 · 第一时间推出各类免费病毒专杀工具,熊猫烧香、灰鸽子尽数杀除 http://dl.360safe.com/setup.exe
最新文章
热门文章
推荐阅读