关于win32.troj.exebinder.17.13332

剑执三秦

[这个贴子最后由一斛酒在 2004/04/11 00:17am 第 1 次编辑]

这是一个木马程序么？怎么办？
显示此病毒可杀，但一会又会出来……

剑执三秦

我的系统是XP

剑执三秦

而且有时候电脑突然变慢，窗口无法打开或自动关闭，在我没开太多程序时cpu使用率会达到90%多

冷牧

[这个贴子最后由冷牧在 2004/04/10 10:04am 第 1 次编辑]

troj就是特洛伊, 木马, 没错D.
木马的清除.... ?好多文章都有说法啊...
酒小弟就特别有一篇详细介绍D. 去看看吧.

水中鱼儿

跪求高人：win32.troj.exebinder ...　
回复：恕直言，请教也不至于跪求吧。

剑执三秦

下面引用由冷牧在 2004/04/10 09:55am 发表的内容：
troj就是特洛伊, 木马, 没错D.
木马的清除.... ?好多文章都有说法啊...
酒小弟就特别有一篇详细介绍D. 去看看吧.

我看了，说实话没怎么看懂
我还是无法确定如何杀掉，注册表实在复杂啊，木马那么隐蔽……

冷牧

好, 等下帮你查找一篇通俗易懂的文章.
你有在安全模式下杀过毒吗? 也不行?

剑执三秦

我需要下在什么软件在安全模式下杀毒？

冷牧

木马入侵的常用手法
1、在win.ini文件中加载
　　一般在win.ini文件中的[windwos]段中有如下加载项：
run=　　 load= ，一般此两项为空。
　　如果你发现你的系统中的此两项加载了任何可疑的程序时，应特别当心，这时可根据其提供的源文件路径和功能进一步检查。我们知道这两项分别是用来当系统启动时自动运行和加载程序的，如果木马程序加载到这两个子项中之后，那么当你的系统启动后即可自动运行或加载了。当然也有可能你的系统之中确是需要加载某一程序，但你要知道这更是木马利用的好机会，它往往会在现有加载的程序文件名之后再加一个它自己的文件名或者参数，这个文件名也往往用你常见的文件，如command.exe、sys.com等来伪装。
2、在System.ini文件中加载
　　我们知道在系统信息文件system.ini中也有一个启动加载项，那就是在[BOOT]子项中的"Shell"项，如图2所示。
　　在这里木马最惯用的伎俩就是把本应是"Explorer"变成它自己的程序名，名称伪装成几乎与原来的一样，只需稍稍改"Explorer"的字母"l"改为数字"1"，或者把其中的"o"改为数字"0"，这些改变如果不仔细留意是很难被人发现的，这就是我们前面所讲的欺骗性。当然也有的木马不是这样做的，而是直接把"Explorer"改为别的什么名字，因为他知道还是有很多朋友不知道这里就一定是"Explorer"，或者在"Explorer"加上点什么东东，加上的那些东东肯定就是木马程序了。
3、修改注册表
　　如果经常研究注册表的朋友一定知道，在注册表中我们也可以设置一些启动加载项目的，编制木马程序的高手们当然不会放过这样的机会的，况且他们知道注册表中更安全，因为会看注册表的人更少。事实上，只要是"Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce 等都是木马程序加载的入口，如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run或\RunOnce]。
　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce]。
　　你只要按照其指定的源文件路径一路查过去，并具体研究一下它在你系统这中的作用就不难发现这些键值的作用了，不过同样要注意木马的欺骗性，它可是最善于伪装自己呵！同时还要仔细观察一下在这些键值项中是否有类似netspy.exe、空格、.exe或其它可疑的文件名，如有则3、修改注册表
　　如果经常研究注册表的朋友一定知道，在注册表中我们也可以设置一些启动加载项目的，编制木马程序的高手们当然不会放过这样的机会的，况且他们知道注册表中更安全，因为会看注册表的人更少。事实上，只要是"Run\Run-\RunOnce\RunOnceEx\ RunServices \RunServices-\RunServicesOnce 等都是木马程序加载的入口，如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run或\RunOnce]。
　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce]。
　　你只要按照其指定的源文件路径一路查过去，并具体研究一下它在你系统这中的作用就不难发现这些键值的作用了，不过同样要注意木马的欺骗性，它可是最善于伪装自己呵！同时还要仔细观察一下在这些键值项中是否有类似netspy.exe、空格、.exe或其它可疑的文件名，如有则立即删除。

剑执三秦

一般在win.ini文件中的[windwos]段中有如下加载项：
run=　　 load= ，一般此两项为空。
这怎么看呢？在注册表下面么？

剑执三秦

我去进安全模式试一下，需要断网么

冷牧

下面引用由剑执三秦在 2004/04/10 10:31am 发表的内容：
一般在win.ini文件中的段中有如下加载项：
run=　　 load= ，一般此两项为空。
这怎么看呢？在注册表下面么？

在开始-->运行-->键入 msconfig --> 系统配置实用程序中有。
不行的， 还可以直接到C盘windows目录下， 用记事本打开win.ini 等文件，修改后保存。

冷牧

[这个贴子最后由冷牧在 2004/04/10 01:15pm 第 1 次编辑]

下面引用由剑执三秦在 2004/04/10 10:21am 发表的内容：
我需要下在什么软件在安全模式下杀毒？

你应该有杀毒软件D， 要不然也不会查到病毒啦， 在安全模式下运行杀毒软件，查杀病毒。
建议用软盘，U盘保存好未曾染过毒的注册表文件。 regedit.exe
染毒后，拷贝回来。(当然, 可能会造成在备份注册表之后安装的软件无法使用, 需要重新安装软件的. )

冷牧

检查注册表
　　注册表一直都是很多木马和病毒“青睐”的寄生场所，注意在检查注册表之前要先给注册表备份。
　　1、 检查注册表中HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run和HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Runserveice，查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为EXE，然后记住木马程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要删除，接着到电脑中找到木马文件的藏身地将其彻底删除?比如“爱虫”病毒会修改上面所提的第一项，BO2000木马会修改上面所提的第二项)。
　　2、 检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER＼SOFTWARE＼Microsoft＼Internet Explorer＼Main中的几项(如Local Page)，如果发现键值被修改了，只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。
　　3、检查HKEY_CLASSES_ROOT＼inifile ＼shell＼open＼command和HKEY_CLASSES_ROOT ＼txtfile＼shell＼open＼command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来，很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。例如“罗密欧与朱丽叶”?BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的默认打开程序。
　　检查你的系统配置文件
　　其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe)，在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini，并且可以选择启动系统的时间。
　　1、检查win.ini文件(在C?＼windows＼下)，打开后，在?WINDOWS?下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。在一般情况下，在它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。比如攻击QQ的“GOP木马”就会在这里留下痕迹。
　　2、检查system.ini文件(在C:＼windows＼下)，在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，然后你就要在硬盘找到这个程序并将其删除了。这类的病毒很多，比如“尼姆达”病毒就会把该项修改为“shell=explorer.exe load.exe -dontrunold”。

剑执三秦

我去看看

一斛酒

用木马克星杀一下吧。置顶的病毒专杀工具下载贴跟贴里有。

剑执三秦

ok

冷牧

好像目前还没有这种病毒专杀软件.