如何杀特洛伊木马病毒

若手机中存在木马或者病毒程序，请及时进行查杀病毒以防出现财产损失，请尝试按照以下步骤进行清除：

安装一款安全软件（例如：手机管家等）。以手机管家为例，打开手机管家，点击主界面上的一键体检即可自动检测手机中存在的病毒，点击一键清除即可删除，若提示无法删除请尝试获取ROOT权限后进行尝试。

都无法进行解决请尝试到手机品牌官网下载刷机包和工具对手机进行完整恢复，若无法自行处理请送到手机品牌官方售后进行维修。

特洛伊木马这个病毒删不掉，怎么删掉

怎么删除特洛伊木马病毒一、请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下（如果系统已经做了此设置可以跳过这一步）： 打开“我的电脑”； 依次打开菜单“工具/文件夹选项”； 然后在弹出的“文件夹选项”对话框中切换到“查看”页； 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态； 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项； 去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态； 最后点击“确定”。 二、按“Ctrl+Alt+Del”键弹出任务管理器，找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步，只所以要迅速是因为如果动作慢的话，木马可能会自动恢复而再次运行起来，这样就无法删除掉其他木马文件了（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）； 在这里注意可疑的木马程序有以下几类：（如果有下面的一种或几种，应注意在注册表里删除对应的项） C:\WINDOWS\system32\expiorer.exe C:\WINDOWS\system32\iexp1ore.exe C:\WINDOWS\system32\iexpl0re.exe C:\WINDOWS\system32\wsvbs.dll C:\DOCUME~1\HP\LOCALS~1\Temp\LgSym.dll C:\DOCUME~1\HP\LOCALS~1\Temp\LgSyzr.dll C:\WINDOWS\system32\windhcp.ocx C:\WINDOWS\system32\userspi.dll C:\WINDOWS\system32\xpdhcp.dll C:\DOCUME~1\HP\LOCALS~1\Temp\LgSyz.dll 三、打开资源管理器进入到 “系统目录\\Winnt\\System32”下（如果您的win2000/nt/xp安装在C盘则就是 C:\\Winnt\\System32）。找到EXPL0RER.EXE文件（注意第5个字母是数字0不是字母O）、SysModule32.dll文件，然后直接删除它们。如果这时报告“文件正在使用无法删除”的类似提示则说明木马已经再次恢复了，需要从第二步开始重复做，并且从第二步到第三步一定要迅速，这里建议可以先打开资源管理器选中这几个待删除的文件，在做第二步即刚结束掉EXPL0RER.EXE进程后马上转过来删除这2个文件，这样一般就可以成功了； 四、同样在 “系统目录\\Winnt\\System32”目录下找到 SysModule64.dll 文件，尝试删除它，不过如果这时报告“此文件正在使用中无法删除”等类似提示也没有关系，稍后在第七步将介绍如何删除此文件； 五、打开资源管理器进入到 “系统目录\\Winnt”下，找到一个 MFCD3O.DLL 文件，手工删除它； 六、打开“开始/运行”，输入“regedit”后“确定”以打开注册表编辑器，找到“HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}”键，把整个“{081FE200-A103-11D7-A46D-C770E4459F2F}”键全部删除。 七、注销当前用户或重新登录或重启电脑。之后再按第四步的方法删除掉 SysModule64.dll 文件

特洛伊木马程序原理及传染机制分析

木马，也称特洛伊木马，英文名称为Trojan Horse，是借自“木马屠城记”中那只木马的名字。古希腊有大军围攻特洛伊城，久久不能得手。有人献计制造一只高二丈的大木马假装作战马神，攻击数天后仍然无功，遂留下木马拔营而去。城中得到解围的消息，及得到 “木马”这个奇异的战利品，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开密门游绳而下，开启城门四处纵火，城外伏兵涌入，焚屠特洛伊城。后世称这只木马为 “特洛伊木马”，现今计算机术语借用其名，意思是 “一经进入，后患无穷”。特洛伊木马原则上和一些远程控制程序如PCanywhere等一样，只是一种远程管理工具，而且本身不带伤害性，也没有感染力；但却常常被人们视之为病毒，原因是如果有人不当地使用，破坏力可以比病毒更强。

由于很多新手对安全问题了解不多，再加上木马程序具有隐蔽性强的特点，不借助专门的监控软件，很不容易发现特洛伊木马的存在和黑客的入侵。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”，但它们并不能防范新出现的 “木马”程序，因此最关键的是要知道“木马”的工作原理，这样就会很容易发现 “木马”，并且知道怎么清除自己计算机中的 “木马”了。

木马攻击原理

木马攻击是黑客最常用的攻击方法，因此，在本章中我们将使用较大篇幅来介绍木马的攻防技术。

木马的危害性在于它对电脑系统强大的控制和破坏能力、窃取密码、控制系统操作、进行文件操作等，一台计算机一旦被一个功能强大的木马植入，攻击者就可以像操作自己的计算机一样控制这台计算机，远程监控这台计算机上的所有操作。

在使用木马的人群中菜鸟黑客居多，他们往往接触网络不久，对黑客技术很感兴趣，很想向众人和朋友显示一番，但是攻击技术却不高，不能采取别的方法攻击。于是木马这种半自动的傻瓜式且非常有效的攻击软件成为了他们的最爱，而且随着国产木马的不断出现，多数黑客的入门攻击几乎无一例外都是使用木马。当然对于那些黑客老手来说他们也并不是不使用木马了，他们通常会在得到一个服务器权限的时候植入自己编写的木马作为后门，以便将来随时方便进出这台服务器。

提示

黑客高手们自己编写的木马一般杀毒软件和木马扫描软件都不会认为是木马或病毒，具有很大的危害性。

1、木马的分类

常见的木马主要可以分为以下9大类：

（1）破坏型

这种木马唯一的功能就是破坏并且删除文件，它们非常简单，很容易使用。能自动删除目标机上的DLL、INI、

EXE文件，所以非常危险，一旦被感染就会严重威胁到电脑的安全。不过，一般黑客不会做这种无意义的纯粹

破坏的事，除非你和他有仇。

（2）密码发送型

这种木马可以找到目标机的隐藏密码，并且在受害者不知道的情况下，把它们发送到指定的信箱。有人

喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用Windows提供的密码记

忆功能，这样就可以不必每次都输入密码了。这类木马恰恰是利用这一点获取目标机的密码，它们大多数会

在每次启动Windows时重新运行，而且多使用25号端口上送E-mail。如果目标机有隐藏密码，这些木马是非

常危险的。

（3）远程访问型

这种木马是现在使用最广泛的木马，它可以远程访问被攻击者的硬盘。只要有人运行了服务端程序，客户

端通过扫描等手段知道了服务端的IP地址，就可以实现远程控制。

当然，这种远程控制也可以用在正道上，比如教师监控学生在机器上的所有操作。

远程访问型木马会在目标机上打开一个端口，而且有些木马还可以改变端口、设置连接密码等，为的是只

有黑客自己来控制这个木马。

改变端口的选项非常重要，因为一些常见木马的监听端口已经为大家熟知，改变了端口，才会有更大

的隐蔽性。

（4）键盘记录木马

这种特洛伊木马非常简单。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码，并且随

着Windows的启动而启动。它们有在线和离线记录这样的选项，可以分别记录你在线和离线状态下敲击键盘时的按键

情况，也就是说你按过什么按键，黑客从记录中都可以知道，并且很容易从中得到你的密码等有用信息，甚至是你

的信用卡账号哦!当然，对于这种类型的木马，很多都具有邮件发送功能，会自动将密码发送到黑客指定的邮箱。

（5）DoS攻击木马

随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当黑客入侵一台机器后，给

他种上DoS攻击木马，那么日后这台计算机就成为黑客DoS攻击的最得力助手了。黑客控制的肉鸡数量越多，发

动DoS攻击取得成功的机率就越大。所以，这种木马的危害不是体现在被感染计算机上，而是体现在黑客利用

它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。

还有一种类似DoS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件，对

特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。

（6）FTP木马

这种木马可能是最简单和古老的木马了，它的惟一功能就是打开21端口，等待用户连接。现在新FTP木马

还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进入对方计算机。

（7）反弹端口型木马

木马开发者在分析了防火墙的特性后发现：防火墙对于连入的链接往往会进行非常严格的过滤，但是对于

连出的链接却疏于防范。与一般的木马相反，反弹端口型木马的服务端 （被控制端）使用主动端口，客户端 （控

制端）使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的被动

端口；为了隐蔽起见，控制端的被动端口一般开在80，即使用户使用扫描软件检查自己的端口时，发现类似TCP

UserIP:1026 Controller IP:80 ESTABLISHED的情况，稍微疏忽一点，就会以为是自己在浏览网页，因为浏

览网页都会打开80端口的。

（8）代理木马

黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的肉鸡种上

代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，攻击者可以在匿名的

情况下使用Telnet，ICQ，IRC等程序，从而隐蔽自己的踪迹。

（9）程序杀手木马

上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。常

见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程

序，让其他的木马更好地发挥作用。

提示

（8）、（9）两种类型的木马实际上是其它类型的木马可能具有的功能，如很多远程访问型木马都可以使

用代理服务器的方式连接肉机，而且连上肉机上首先检查对方不是开启了防火墙，如果有，则杀掉其进程，

这样更有利于黑客隐藏身份，从而实现远程控制的目的。

2、木马是如何侵入系统的

我们知道：一般的木马都有客户端和服务器端两个执行程序，其中客户端用于攻击者远程控

制植入木马的计算机，服务器端程序就是我们通常所说的木马程序。攻击者要通过木马攻击计算机系统，所做的第一步就是要把木马的服务器端程序植入到被攻击的计算机里面。

提示

注意木马的客户端和服务器端的称谓，被置了木马的机器称为服务器端，而黑客控制的一端称为客户端。

目前木马入侵的主要途径是通过一定的方法把木马执行文件植入被攻击者的电脑系统里，如通过邮件发送、文件下载、网页浏览等，然后通过一定的提示误导被攻击者打开执行文件，比如谎称该木马执行文件是朋友的贺卡文件，用户在毫无防备的情况下打开这个文件后，确实有贺卡的画面出现，但这时木马可能已经在后台悄悄运行了。

那为什么用户一般都不会发现自己的主机运行了木马程序呢？

这主要是因为木马的执行文件一般都非常小，最大不过几十K。因此，如果把木马捆绑到其他正常文件上是很难发现的。有一些网站提供的软件下载往往是捆绑了木马文件的，在执行这些下载的文件时，也同时运行了木马。

木马在被植入主机后，它一般会通过一定的方式把入侵主机的信息，如主机的IP地址、木马植入的端口等发送给攻击者，攻击者有这些信息才能够与木马里应外合控制攻击主机。

由于任何木马都有一个服务端程序，要对一台目标机进行远程控制都必须将服务端程序送入目标机，并诱骗目标机执行该程序。这是用木马进行远程控制中的重要一步，也是很有技巧的一步。

木马的传播方式主要有两种：

① 通过E-mail，由控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件就会感染木马。

这一种方式关键的一点，就是如何让对方打开附件。一般情况可在邮件主题写一些吸引人的、易引起人好奇的内容，促使对方毫无知觉地自动种上木马，被你控制。

② 通过软件下载，一些非正规的网站以提供软件下载为名，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装了。

要想对方下载你放在网站上的软件，可以取一些特诱惑人的名称，如某某明星的图片，某某软件的破解版等让人易上当的名称，从而也让别人在不知不觉中种上木马，将端口开放给你，任你使用。

在早期的木马里面，大多是通过发送电子邮件的方式把入侵主机信息告诉攻击者，有一些木马文件干脆把主机所有的密码用邮件的形式通知给攻击者，这样攻击者就不用直接连接攻击主机即可获得一些重要数据，如攻击OICQ密码的GOP木马即是如此。

不过，使用电子邮件的方式对攻击者来说并不是最好的选择，因为如果木马被发现，就可以通过该电子邮件的地址找出攻击者。现在还有一些木马采用的是通过发送UDP或者ICMP数据包的方式通知攻击者。

除了邮件植入外，木马还可以通过Script、ActiveX及ASP、CGI交互脚本的方式植入，由于IE浏览器在执行Script脚本上存在安全漏洞，因此，木马就可以利用这些漏洞很容易植入被攻击的电脑。

此外，木马还可以利用一些系统漏洞植入，如著名的IIS服务器溢出漏洞，通过一个IISHACK攻击程序使IIS服务器崩溃，同时在服务器上执行木马程序，从而植入木马。

3、木马是如何实施攻击的

木马可以以任何形式出现，可能是任何由用户或客户引入到系统中的程序。它可能泄漏一些系统的私有信息，或者控制该系统，这样，它实际上就潜伏着很大的危险性。

通常木马采取六个步骤实施攻击：配置木马 （伪装木马）→传播木马 （通过E-mail或者下载）→运行木马 （自动安装、自启动)→信息泄漏 （E-mail、IRC或ICQ的方式把你的信息泄露出去）→建立连接→远程控制。

至此，木马就彻底掌握了主动权，而你，就坐以待毙吧！

特洛伊木马病毒的运行方式，及怎么查杀

木马，其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务 (服务器)，另一台主机接受服务 (客户机)。作为服务器的主机一般会打开一个默认的端口开进行监听(Listen)，如果有客户机间服务器的这一端口提出连接请求 (Connect Request)，服务器上的相应程序就会自动运行，应答客户机的请求，这个程序我们称为守护进程。就我们前面所讲木马来说，被控制端相当于一台服务器，控制端则相当于一台客户机，被控制端为控制端提供服务。

木马具有以下6个特性:

1.包含干正常程序中，当用户执行正常程序时，启动自身，在用户难以察觉的情况下，完成一些危害用户的操作，具有隐蔽性

由于木马所从事的是 "地下工作"，因此它必须隐藏起来，它会想尽一切办法不让你发现它。很多人对木马和远程控制软件有点分不清，还是让我们举个例子来说吧。我们进行局域网间通讯的常用软件PCanywhere大家一定不陌生吧?我们都知道它是一款远程控制软件。PCanywhere比在服务器端运行时，客户端与服务器端连接成功后，客户端机上会出现很醒目的提示标志;而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己，不可能出现任何明显的标志。木马开发者早就想到了可能暴露木马踪迹的问题，把它们隐藏起来了。例如大家所熟悉木马修改注册表和而文件以便机器在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其他程序之中。有些木马把服务器端和正常程序绑定成一个程序的软件，叫做exe-binder绑定程序，可以让人在使用绑定的程序时，木马也入侵了系统。甚至有个别木马程序能把它自身的exe文件和服务端的图片文件绑定，在你看图片的时候，木马便侵人了你的系统。它的隐蔽性主要体现在以下两个方面:

(1)不产生图标

木马虽然在你系统启动时会自动运行，但它不会在 "任务栏"中产生一个图标，这是容易理解的，不然的话，你看到任务栏中出现一个来历不明的图标，你不起疑心才怪呢!

(2)木马程序自动在任务管理器中隐藏，并以"系统服务"的方式欺骗操作系统。

2.具有自动运行性。

木马为了控制服务端。它必须在系统启动时即跟随启动，所以它必须潜人在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。

3.包含具有未公开并且可能产生危险后果的功能的程序。

4.具备自动恢复功能。

现在很多的木马程序中的功能模块巴不再由单一的文件组成，而是具有多重备份，可以相互恢复。当你删除了其中的一个，以为万事大吉又运行了其他程序的时候，谁知它又悄然出现。像幽灵一样，防不胜防。

5.能自动打开特别的端口。

木马程序潜人你的电脑之中的目的主要不是为了破坏你的系统，而是为了获取你的系统中有用的信息，当你上网时能与远端客户进行通讯，这样木马程序就会用服务器尸客户端的通讯手段把信息告诉黑客们，以便黑客们控制你的机器，或实施进一步的人侵企图。你知道你的电脑有多少个端口?不知道吧?告诉你别吓着:根据TCP/IP协议，每台电脑可以有256乘以256个端口，也即从0到65535号 "门"，但我们常用的只有少数几个，木马经常利用我们不大用的这些端口进行连接，大开方便之 "门"。

6、功能的特殊性。

通常的木马功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标等功能。上面所讲的远程控制软件当然不会有这些功能，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。

特洛伊木马是新的病毒吗?可以告诉我怎么清除吗?

找到eset的隔离日志，找出特洛伊木马的路径，手动删除，如果不能删除，打开任务管理器查看特洛伊木马进程关闭它，删除！如果在system32下就用dos删除，ok，好运！

什么是特洛伊木马病毒？

特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能，如Symantec的pcAnywhere，但特洛伊木马也有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。

大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，特洛伊木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号，程序启动时机，如何发出调用，如何隐身，是否加密。另外，攻击者还可以设置登录服务器的密码、确定通信方式。

服务器向攻击者通知的方式可能是发送一个email，宣告自己当前已成功接管的机器；或者可能是联系某个隐藏的Internet交流通道，广播被侵占机器的IP地址；另外，当特洛伊木马的服务器部分启动之后，它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系，有一点是不变的，攻击者总是利用客户程序向服务器程序发送命令，达到操控用户机器的目的。

特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的特洛伊木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。实际上，只要用一个预先定义好的关键词，就可以让所有被入侵的机器格式化自己的硬盘，或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器，然后针对某一要害主机发起分布式拒绝服务攻击（Denial of Service，即DoS），当受害者觉察到网络要被异乎寻常的通信量淹没，试图找出攻击者时，他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户，真正的攻击者早就溜之大吉。

特洛伊木马造成的危害可能是非常惊人的，由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害.

1. Trojan Remover Update 6.4.7 Date 01.27

一个专门用来清除特洛伊木马和自动修复系统文件的工具。

antivirus.pchome.net/trojan/1070.html

2. ZoneAlarm Free 6.1.737.000

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序，Trojan也是一种极为可怕的程

www.onlinedown.net/soft/1017.htm

3. Trojan Remover 6.4.7 Date 01.27

专门用来清除特洛伊木马和自动修复系统文件的工具

antivirus.pchome.net/trojan/7704.html

4. Trojan Remover 6.46(Database 6461)

是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫描

www.onlinedown.net/soft/2902.htm

5. 木马终结者 V3.5

特洛伊木马病毒一种破坏力十分强的黑客病毒，你只要中

www.skycn.com/soft/2519.html

6. LDM木马检测程序 2003钻石版

LDM木马检测程序是大部分流行特洛伊木马病毒的克星，是一个专门防制特洛伊木马病毒的

www.onlinedown.net/soft/11555.htm

7. The Cleaner Database V3887

一个专门检测和清除侵入您系统中的特洛伊木马的专业程

www.skycn.com/soft/3760.html

8. Trojan Remover V6.4.6(Database 6461) Update

Trojan Remover 是一个专门用来清除特洛伊木马和自动修

www.skycn.com/soft/3217.html

9. 木马终结者 3.33

所有特洛伊木马病毒的克星，专门防制特洛伊木马病毒的防毒软件

antivirus.pchome.net/trojan/8238.html

10. 木马杀手 Trojan System Cleaner 3.5.1117

木马杀手会检测现存的特洛伊木马程序的活动、复原被特洛伊木马修改的系统文件，杀除特

www.onlinedown.net/soft/17193.htm

11. Trojan Remover Database Update 6461

Trojan Remover 是一个专门用来清除特洛伊木马和自动修

www.skycn.com/soft/3219.html

12. ZoneAlarm Pro 6.1.737.000

保护你的电脑，防止Trojan(特洛伊木马)程序

antivirus.pchome.net/others/8104.html

13. Trojan Remover 6.4.6 Database 6461 Update

是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫描

www.onlinedown.net/soft/2903.htm

14. ZoneAlarm Security Suite V6.1.737.000

ZoneAlarm 保护你的电脑，防止Trojan(特洛伊木马)程序

www.skycn.com/soft/3769.html

15. 熊猫卫士 钛金版2.05.00

*基于极速“UltraFast”引擎，快速检测和清除所有病毒、特洛依木马、蠕虫、恶意的Java

www.onlinedown.net/soft/9066.htm

16. Trojan Remover Database 6461

是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫描

www.onlinedown.net/soft/2905.htm

17. ZoneAlarm Pro 6.1.737.000

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序，Trojan也是一种极为可怕的程

www.onlinedown.net/soft/1019.htm

18. Antiy Ghostbusters Pro 5.05

一个专业级别的特洛伊木马检测和系统安全工具

download.pchome.net/internet/safe/15974.html

19. The Cleaner Pro V4.1 Build 4252

一个专门检测和清除侵入您系统中的特洛伊木马的专业程

www.skycn.com/soft/3758.html

20. ZoneAlarm Free V6.1.737.000

ZoneAlarm 来保护你的电脑，防止Trojan(特洛伊木马)程

www.skycn.com/soft/9443.html

21. ZoneAlarm Pro V6.1.737.000

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序

www.skycn.com/soft/3770.html

22. ZoneAlarm Pro V6.1.737.000 Beta

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序，Trojan也是一种极为可怕?

download.21cn.com/list.php?id=3458

23. Antiy Ghostbusters Advanced Edition 5.04

AntiyLabs出品的专业级特洛伊木马检测工具，被网友称为“捉鬼队”。该软件可以对驱动

www.onlinedown.net/soft/7660.htm

24. Trojan Remover 木马病毒库 6072

一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫

download.21cn.com/list.php?id=5317

25. The Cleaner Pro 4 updates Database 3860

一个专门检测和清除侵入您系统中的特洛伊木马的专业程序,内置3093个木马标识。可在线

www.onlinedown.net/soft/1445.htm

26. Digital Patrol 5.00.31

专门检测系统中特洛伊木马程序的扫毒软件

antivirus.pchome.net/trojan/12504.html

27. 熊猫卫士 7.0铂金版中文测试版

*基于极速“UltraFast”引擎，快速检测和清除所有病毒、特洛依木马、蠕虫、恶意的Java

www.onlinedown.net/soft/9065.htm

28. Trojan Remover V6.4.6(Database 6457)

Trojan Remover 是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检?

download.21cn.com/list.php?id=7335

29. Trojan Remover V6.3.3 Date 12.20

Trojan Remover是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查

download.21cn.com/list.php?id=3692

30. The Cleaner V3.5.4.3519(DataBase 3359) 汉化版

一个专门检测和清除侵入您系统中的特洛伊木马的专业程

www.skycn.com/soft/3759.html

31. Anti-Trojan 5.5.421

Anti-Trojan扫描隐藏在你的系统里的具有破坏性的特洛依木马程序。它利用三重扫描来检

www.onlinedown.net/soft/1318.htm

32. TDS-3: Trojan Defence Suite 3.2.0

防特洛伊木马的软件，可以检测到360种以上的特洛伊木马和电脑蠕虫

antivirus.pchome.net/trojan/10170.html

33. ZoneAlarm Pro 4.5.594

保护你的电脑，防止Trojan(特洛伊木马)程序

antivirus.pchome.net/others/10678.html

34. 木马终结者 V3.37

特洛伊木马病毒一种破坏力十分强的黑客病毒。你只要中了毒，你的计算机将被黑客控

download.21cn.com/list.php?id=10681

35. The Cleaner (executable only) 3.54 Build 3528

一个专门检测和清除侵入您系统中的特洛伊木马的专业程序

antivirus.pchome.net/cleaner/8957.html

36. BoDetect 3.5

一个专门用来监测和删除特洛依木马之类的小工具

antivirus.pchome.net/trojan/10171.html

37. ZoneAlarm Anti-Spyware V6.1.737.000

ZoneAlarm 来保护你的电脑，防止Trojan(特洛伊木马)程

www.skycn.com/soft/9442.html

38. ZoneAlarm Free 6.0.629.000 Beta

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序，Trojan也是一种极为可怕的程

www.onlinedown.net/soft/20642.htm

39. LDM木马检测程序 Power XP Build 688C

特洛伊木马病毒一种破坏力十分强的黑客病毒，你只要中

www.skycn.com/soft/8731.html

40. Advanced Registry Tracer 2.03

具有侦测出特洛伊木马病毒功能

download.pchome.net/system/treak/10607.html

41. 木马杀手(Trojan System Cleaner) V3.5.1117

木马杀手会检测现存的特洛伊木马程序的活动、复原被特

www.skycn.com/soft/14265.html

特洛伊木马病毒的进程是什么？

不同的木马不同的进程，

另外很多木马无进程。

采用dll注入进程，也就是说没有独立的进程。

所以不能一概而论的。

如果知道一两个木马的进程查杀，

就以为可以查杀所有木马了，

那是一叶障目不见泰山。

特洛伊木马病毒

病毒名称：

Trojan-PSW.Win32.OnLineGames.jbo

病毒类型：

木马类

文件

MD5：

1B414FF11AD77F8D2C1740AECFDD5E0A

公开范围：

完全公开

危害等级：

3

文件长度：

17,408

字节

感染系统：

Windows98以上版本

工具：

Microsoft

Visual

C++

6.0

加壳类型：无

二、病毒描述：

该病毒为木马类，病毒运行后，复制自身到系统目录下，病毒文件，以批处理文件删除自身。

添加启动项，以达到随机启动的目的。该病毒由于已出现大量的生成机，因此生成一个同种病毒特别容易，这也使其大量的被生成，再加互联网的快速传播，使其在中国大陆已形成了一个木马分支――网游盗号木马类；可以盗取用户帐号

号与密码。

三、行为分析：

1、

文件运行后会释放以下文件

%WINDIR%\cmdbcs.exe

%system32%\cmdbcs.dll

2、

新建注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]

注册表值："

cmdbcs

"

类型：

REG_SZ

值：

"

C:\WINDOWS\cmdbcs.exe

"

描述：添加启动项，以达到随机启动的目的

3、释放cmdbcs.dll进驻内存，尝试插入下列进程中：

EXPLORER.EXE

IEXPLORER.EXE

应用程序进程

4、cmdbcs.dll插入进程后可以访问该进程资源，记录该进程中的敏感资料；例如帐号与密码

5、检测窗口标题为AVP的窗体，瑞星的警告窗体，如果检测到则关闭。当病毒添加注册表启动项时，如果弹出瑞星注册表监控，则自动允许并关闭监控窗体。具有反查杀能力。

注释：

%Windir%

WINDODWS所在目录

%DriveLetter%

逻辑驱动器根目录

%ProgramFiles%系统程序默认安装目录

%HomeDrive%

当前启动系统所在分区

%Documents

and

Settings%

当前用户文档根目录

%Temp%

当前用户TEMP缓存变量；路径为：

%Documents

and

Settings%\当前用户\Local

Settings\Temp

%System32%

是一个可变路径；

病毒通过查询操作系统来决定当前System32文件夹的位置；

Windows2000/NT中默认的安装路径是　C:\Winnt\System32；

Windows95/98/Me中默认的安装路径是　C:\Windows\System；

WindowsXP中默认的安装路径是　C:\Windows\System32。

四、

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：

www.antiy.com

。

2、手工清除请按照行为

分析除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址:

www.antiy.com

或

http://www.antiy.com/download/index.htm

。

(1)

使用安天木马防线或ATool中的“进程管理”关闭病毒进程

强行卸载cmdbcs.dll

(2)

强行删除病毒文件

%WINDIR%\cmdbcs.exe

%system32%\cmdbcs.dll

(3)

恢复病毒修改的注册表项目，删除病毒添加的注册表项

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]

注册表值："

cmdbcs

"

类型：

REG_SZ

值：

"

C:\WINDOWS\cmdbcs.exe

"