木马程序检测对话框不显示_木马程序检测对话框

已检测: 木马程序 Trojan-Downloader.Win32.Agent.khj,文件: C:\WINDOWS\System32\sensnt.dll

DLL注入木马是目前 *** 上十分流行的木马形式，它就像是一个寄生虫，木马以DLL文件的形式，寄宿在某个重要的系统进程中，通过宿主来调用DLL文件，实现远程控制的功能。这样的木马嵌入到系统进程中可以穿越防火墙，更让人头疼的是，用杀毒软件进行查杀，杀软即使报警提示发现病毒，但是也无法杀掉木马病毒文件，因为木马DLL文件正被宿主调用而无法删除。下面我们把杀软放到一边，通过专用工具及其手工的 *** 来清除DLL木马。

一、清除思路

1、通过系统工具及其第三方工具找到木马的宿主进程，然后定位到木马DLL文件。

2、结束被木马注入的进程。

3、删除木马文件。

4、注册表相关项的清除。

二、 清除 ***

1、普通进程DLL注入木马的清除

有许多DLL木马是注入到“iexplore.exe”和“explorer.exe”这两个进程中的，对于注入这类普通进程的DLL木马是很好清除掉的。

如果DLL文件是注入到“iexplore.exe”进程中，此进程就是IE浏览进程，那么可以关掉所有IE窗口和相关程序，然后直接找到DLL文件进行删除就可以了。如果是注入到“explorer.exe”进程中，那么就略显麻烦一些，因为此进程是用于显示桌面和资源管理器的。当通过任务管理器结束掉“explorer.exe”进程时，桌面无法看破到，此时桌面上所有图标消失掉，“我的电脑”、“网上邻居”等所有图标都不见了，也无法打开资源管理器找到木马文件进行删除了。怎么办呢?

这时候可以在任务管理器中点击菜单“文件”→“新任务运行”，打开创建新任务对话框，点击“浏览”挖通过浏览对话框就可以打开DLL文件所在的路径。然后选择“文件类型”为“所有文件”，即可显示并删除DLL了

提示：如果你熟悉命令行(cmd.exe)的话，可以直接通过命令来清除，如：

taskkill /f /im explorer.exe

del C:\\Windows\\System32\\test.dll

start explorer.exe

之一行是结束explorer.exe，第二回是删除木马文件test.dll，第三行是重启explorer.exe

2、使用IceSword卸载DLL文件调用

如果木马是插入了“svchost.exe”之类的关键进程中，就不能指望进程管理器来结束进程了，可能需要一些附加的工具卸载掉某个DLL文件的调用。

IceSword的功能十分强大，可以利用它卸载掉已经插入到正在运行的系统进程中的DLL文件。在IceSword的进程列表显示窗口中，右键点击DLL木马宿主进程，选择弹出菜单中的“模块信息”命令打开DLL模块列表对话窗口。选择可疑的模块后，点击“卸载”按钮即可将DLL木马进程中删除掉了。

如果提示不能卸载的话，可以点击“强行解除”按钮，从进程中强行删除该DLL调用。这时候就可以从“模块文件名”栏中，得到DLL文件文件的路径，然后到文件夹中将DLL木马彻底删除掉。

3、S *** 终结所有DLL木马

许多木马都是注入到系统里关键进程中的，比如“svchost.exe”、“ *** ss.exe”、“winlogon.exe”进程，这些进程使用普通方式无法结束，使用特殊工具结束掉进程或卸载掉进程中的DLL文件后，却又很可能造成系统崩溃无法正常运行等。例如一款著名的木马PCShare是注入“winlogon.exe”进程中的，该进程是掌握Windows登录的，在使用IceSword卸载时系统立刻异常重启，更本来不及清除dll文件，在重启后dll木马再次被加载。

对于这类dll木马，必须在进程运行之前阻止dll文件的加载。阻止dll文件加载要用到一个强大的安全工具“System Safety Monitor”(简称S *** )。S *** 是由俄罗斯出品的一款系统监控软件，通过监视系统特定的文件和程序，达到保护系统安全的目的。这款软件功能非常强大，可以很好地配合防火墙和杀毒软件更好地保护系统的安全。

运行S *** ，在程序界面中选择“规则”选项卡，右键点击中间规则列表空白处，选择“新增”命令。弹出文件浏览窗口，选择浏览文件类型为“库文件”，在其中选择指定文件路径“C:\\Windows\\system32\\rejoice.dll”。确定后，即可将DLL木马文件添加到规则列表中，然后在界面下方的“规则”下拉列表中选择“阻止(F2)

添加规则设置完毕后，点击“应用设置”按钮，然后重启系统。在重启系统前要检查S *** 的设置，保证S *** 随系统启动而加载运行。当系统重启时，会自动阻止该进程调用rejoice.dll木马文件。由于木马文件没有任何进程调用，所以就可以直接删除了。

此外，我们还可以利用其它工具来清除DLL木马后门，例如Tiny Personnal Firewall 2005(TPF)防火墙的“balcklist”禁止运行功能等，清除的原理都是一样的，总之是在木马DLL文件被调用之前，阻止其被进程加载，从而达到结束木马进程并删除木马的目的。

4、通过系统权限法来清除DLL木马

在Windows系统中，NTFS分区格式具有强大的文件限制设置功能，可以设置某个文件是否可以被程序调用访问等。通过这个功能，我们一样可以阻止木马调用相应的DLL文件，从而彻底地清除掉DLL木马文件。

双击打开“我的电脑”，点击菜单命令“工具”→“文件夹选项”→“查看”，在高级设置的选项卡下去掉“简单文件共享”的选择。

然后定位到无法删除的DLL文件上，右键点击该文件，在弹出菜单中选择“属性”命令，单击“高级”按钮，在弹出的窗口中去掉“从父项继承那些可以应用的到子对象的权限项目，包括那些在此明确定义的项目”不被选中(如图5)。再在弹出的窗口中单击“删除”，再依次单击“确定”。这样就没有任何用户可以访问和调用这个DLL木马文件了。重新启动系统就可以删除该DLL文件了。

5、恢复系统

将DLL文件删除后，还要到注册表中找到所有与该DLL木马关联的项目，尤其是：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices

等几个与自动启动有关的项目。

另外，DLL木马不仅仅局限存在于Run、Runonce这些众所周知的子键，而有可能存在于更多的地方。例如对于后门类的DLL来说“KnownDLLs”就是再好不过的藏身之处。在注册表的“HEKY_LOCALMACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager\\KnownDLLs”子键下，存放着一些已知DLL的默认路径。假设DLL木马修改或者增加了某些键值，那么DLL木马就可以在系统启动的时候悄无声息地代替正常的DLL文件被加嵌入到相应的进程中。

三、总结

总的来说，DLL木马后门的种类极多，木马选择的注册表选项及其系统进程也不尽相同。清除DLL木马的总体思路是这样的：

在碰到DLL注入类木马时，我们可以首先考虑用procexp之类的工具，查找出DLL类木马的宿主进程。找到宿主进程后，如果是注入到普通可结束的进程中，可以直接将宿主进程结束后直接删除木马文件即可。

如果DLL木马是注入到系统关键进程中的话，可以考虑用IceSword卸载DLL文件;如若失败，那么直接用S *** 建立规则或者通过阻止DLL文件的加载就可以了

卡巴斯基反病毒软件6.0检测到木马程序我该怎么处理啊

再跳出的对话框中：

1.显示某个程序或文件感染病毒，而该程序或文件很重要你不想删除的话请选“清除”；

2.若纯粹是个病毒文件，就请选择“删除”；

3.若你确信杀毒软件查到的文件或程序没有病毒，即卡巴可能错把某个有用的文件或程序当成病毒，就请选择“添加到信任区域”或“跳过”；

补充：木马直接删就好啦，不会有问题的，卡巴很少出错，我一直在用卡巴感觉不错！检测到的病毒或木马不能被清除就“隔离”处理，或根据卡巴显示该病毒或木马的位置，直接找到这个病毒或木马用手动删除（有时手动无法直接删除，就重启后迅速进行删除－－我试过效果不错）！

希望能帮到你！

卡巴斯基检测到木马程序怎么办啊?

回复：---------1、 我本人的确是用卡巴的、

2、 卡巴能检测到它、是因为卡巴具有先进的“主动防御”功能、能够提早拦截并报告威胁、

3、 如果在"保护"中显示"所有威胁已经被成功处理了、-------这样就没事了、请放心！！！

4、 这些网页脚本病毒、是随你上网浏览网页时与正常的信息一起乘机混进来的、你清空IE临时文件时就可以清除它了的、（这也许就是你再安全模式下用卡巴杀毒了,却没有显示有任何病毒的原因之一吧、）

5、 已经没有病毒报告就没事了、你还有升么地方不明白么......、

打开网页的时候卡巴显示检测到木马程序弹来出来个“允许”还是“拒绝”、

应该选----“拒绝”！！！、

你点了----“允许”是错误的、有感染病毒的危险的、

你可以先清空IE临时文件夹、

*** ：

1、 IE窗口----工具----INTERNET选项-----在“浏览历史记录”下面点-----删除-----全部删除----是、 即可（可重复多操作几次）、

然后再到“安全模式”下去杀毒，

开机----按F8键------进入安全模式下去启动卡巴斯基杀毒软件杀毒。

若还有其它疑问请补充详细................可以帮你、

要是我电脑里有木马，人工的 *** 能辩认吗？

关闭所有你打开的联 *** 的程序，然后看你的本地连接是否还在继续发送和接受数据包；在msconfig中查看有无未知的自启动进程。可以试试，或者找个木马查杀工具。

查看本地连接 *** :打开桌面上的网上邻居属性,然后会出现" *** 连接",双击"本地连接",下面有"活动"的内容,分别是发送和接受,如果在关闭所有你自己打开和你知道的软件一段时间后,法相两个数据仍然在不断变化,可以怀疑有病毒或木马程序.

查看msconfig是在开始-运行,然后输入msconfig,回车就可以了,打开后会出现系统配置实用程序的对话框,查看"启动"选项卡的内容.

比较容易的 *** ,你可以下载一个木马克星,360安全卫士之类的软件来检查系统,这样比较准确.如果正常情况下不能运行这些程序,基本上可以断定电脑中毒了.可以尝试在安全模式下运行这些软件, *** 是开机后,在电脑"滴"一声后,狂按F8,直到出现windows启动选项,然后选择最上面的安全模式,进入系统后,不然进入我的电脑,也不要浏览磁盘,直接通过快捷方式运行这些软件,进行检测,杀毒.祝你好运.~

杀毒过程中出现的问题

其实找到路径后，干掉它是很简单的，病毒之所以无法删除是因为他采用了WINDOWS下不支持的命名 *** ，这时你可以进CMD 用命令 RM 来删除 如C盘的1.exe 就用命令

RM "C:\1.EXE \ " 请注意空格和冒号！

怎样使用游戏木马检测大师？？

你好!!

游戏木马检测大师使用说明

概述:本程序主要用途是检测您的系统是否被安装了游戏木马程序,可以运行于Windows 98/ME/NT/2000/XP/2003等各种操作系统.

功能描述:

1:最新消息

这里主要是显示程序的当前最新版本之类的信息,请及时关注最新版本.

2:钩子列表

这里主要显示系统已经安装的各种钩子.您可以点击鼠标右键选择"刷新"或

定位到文件位置.如果您的系统安装了键盘钩子(钩子类型为WH_KEYBOARD),那

么就要格外小心.这种类型的钩子的作用是监控键盘输入.如果您的系统出现了

此种钩子,说明您的一切键盘输入都被监控了.当然,有些系统程序,例如一些

聊天工具也会安装此种钩子,作用是当用户输入某些热键时触发程序一些功能

(例如显示主窗口等).请结合具体的文件来判断,凡是可疑的钩子类型都会以显

著颜色标记出来.各种钩子类型对应的功能请见附录.

3:自动运行

这里会列出您的电脑里面所有会随系统启动而自动运行的程序列表.

4: *** 钓鱼

这里会列出您的电脑里面Host缓存和对应的主机名称,一般情况下,如果只有

一项IP为127.0.0.1,主机为localhost,那么您的系统是安全的,否则可能会存在

被 *** 钓鱼的危险.

5:发信检测

游戏木马获取帐号信息后,肯定会发送出去.您可以利用这个特性来判断您的

电脑是否被安装了游戏木马.

使用 *** :

(1)选择网卡.您可以选择网卡后点击"网卡信息"来看选择的网卡是否正确.或

者选择网卡后点击"开始",然后随便打开Iexplorer,如果有数据包出现,说明选

择的网卡是正确的.

(2)停止其它一切会扰乱 *** 数据捕捉的程序,然后选择"只捕获 *** tp发信端口

(25)和web发信端口(80)",点击"开始",然后进入您的游戏,输入帐号密码一直进

入到游戏场地后,退出游戏,回到"发信检测"窗口.如果木马发送数据,会被捕获

下来.

注意:

(1)有些木马发信不一定会使用25或80端口(这种情况一般是对方自己拥有服务

器),这时候可以去掉"只捕获 *** tp发信端口(25)和web发信端口(80)".

(2)有些帐号信息是加密后再发送出去的,这时候我们抓下来的数据就不是明文.

但是一般来说,游戏本身除了启动时装载最新消息页面,否则是不会连接80或25端

口的.如果您连续两次都捕获到相似的数据包,那么就要格外注意了.

(3)有些游戏木马不会马上把信息发送出去,那么,我们退出游戏后,可以继续捕

捉几分钟数据包来判断.

程序版权

本程序目前处于测试阶段,所以使用是完全免费的.下一步我们可能会加入病

毒扫描引擎.如果您有更好的建议,也可以与我们联系.

2005年10月17日.

附录:钩子类型及对应功能(更详细信息请搜索"消息钩子函数入门篇")

WH_MSGFILTER: 监视菜单,滚动条,消息框的消息,以及传递到通过安装了Hook子程的应用程序建立的对话框的消息.

WH_SY *** SGFILTER:监视菜单,滚动条,消息框的消息,以及所有应用程序建立的对话框的消息.

WH_JOURNALRECORD:监视和记录输入事件.一般可以使用这个Hook记录连续的鼠标和键盘事件,然后通过使用WH_JOURNALPLAYBACK Hook来回放.

WH_JOURNALPLAYBACK:使应用程序可以插入消息到系统消息队列,可以使用这个Hook回放通过使用WH_JOURNALRECORD Hook记录下来的连续的鼠标和键盘事件.

WH_KEYBOARD:监视键盘输入.

WH_GETMESSAGE:监视从GetMessage or PeekMessage函数返回的消息.可以通过它监视鼠标和键盘输入,以及其他发送到消息队列中的消息.

WH_CALLWNDPROC,WH_CALLWNDPROCRET:监视发送到窗口过程的消息.系统在消息发送到接收窗口过程之前调用WH_CALLWNDPROC Hook子程,并且在窗口过程处理完消息之后调用WH_CALLWNDPRO.

WH_C *** :

在以下事件之前,系统都会调用WH_C *** Hook子程,这些事件包括:

1. 激活,建立,销毁,最小化,更大化,移动,改变尺寸等窗口事件;

2. 完成系统指令;

3. 来自系统消息队列中的移动鼠标,键盘事件;

4. 设置输入焦点事件;

5. 同步系统消息队列事件.

Hook子程的返回值确定系统是否允许或者防止这些操作中的一个.

WH_MOUSE:监视输入到消息队列中的鼠标消息.

WH_HARDWARE:当应用程序的前台线程处于空闲状态时,可以使用WH_FOREGROUNDIDLE Hook执行低优先级的任务.

WH_DEBUG:在系统调用系统中与其他Hook关联的Hook子程之前,系统会调用WH_DEBUG Hook子程.

WH_SHELL:外壳应用程序可以使用WH_SHELL Hook去接收重要的通知.

WH_FOREGROUNDIDLE:当应用程序的前台线程处于空闲状态时,可以使用WH_FOREGROUNDIDLE Hook执行低优先级的任务.

WH_KEYBOARD_LL:监视输入到线程消息队列中的键盘消息.

WH_MOUSE_LL:视输入到线程消息队列中的鼠标消息.