文章大纲：

• 1、谁能告诉我几款著名的木马病毒
• 2、这种木马病毒是什么,怎么删
• 3、话说我打开B站就出现这个，是病毒还是木马
• 4、清除用于盗号的Pwsteal.Trojan木马病毒
• 5、木马到底是什么样的病毒啊 为什么叫它木马病毒呢?
• 6、木马病毒----谁知道?

谁能告诉我几款著名的木马病毒

“灰鸽子”木马病毒

灰鸽子变种木马运行后，会自我复制到Windows目录下，并自行将安装程序删除。修改注册表，将病毒文件注册为服务项实现开机自启。木马程序还会注入所有的进程中，隐藏自我，防止被杀毒软件查杀。自动开启IE浏览器，以便与外界进行通信，侦听黑客指令，在用户不知情的情况下连接黑客指定站点，盗取用户信息、下载其它特定程序。

“特洛伊”木马病毒

特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能，如Symantec的pcAnywhere，但特洛伊木马也有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。

大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，特洛伊木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号，程序启动时机，如何发出调用，如何隐身，是否加密。另外，攻击者还可以设置登录服务器的密码、确定通信方式。

“ *** ”木马病毒

qq的间谍软件，用来盗取qq号。

通常是通过某种方式隐藏在你的电脑主机里，

在你输入qq密码时，记录并发信息给下木马的人

这种木马病毒是什么,怎么删

去华军网下载unlocker1.85

地址：

安装之后使用卡巴斯基查找病毒，（病毒有2项，全部需要删除,卡巴斯基提示重启删除，其实卡巴斯基删除不了，这时候找到病毒就关掉卡巴斯基，以免反复重启）。

*** 1：找到病毒之后(注意：关键是在C盘寻找病毒文件,根据卡巴斯基所提示的病毒路径找到毒文件），【使用右键Unlocker 解锁】，现在可以删除病毒了，直接删除（Shift+Delete）,不需要卡软件！

*** 2：关键都要找到病毒源，使用卡巴找到毒文件。(原理：卡配合冰刃 IceSword 1.22 ）

再使用冰刃 IceSword 1.22 中文版

打开IceSword.exe，点左下角的“文件”，在目录"+"找到病毒文件所在文件夹,病毒文件上右键点“强制删除”。

删除病毒之后恢复注册表！

（在运行里输入regedit打开）分别在

HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services

HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

下找到以病毒文件名命名的项并删除.

建议删除病毒之后，使用杀毒软件对系统硬盘作全面扫描，以防漏网之鱼！

根据目前调查目前所有杀毒软件都无法清掉这个毒！

不一定要卡巴斯基，其他杀毒软件只要找到病毒路径手工杀毒就OK了

还有杀毒的时候一定要杀2个，因为只杀一个的话重启会出现加载错误，实际是病毒加载错误并不是系统！

*** 3：下载Torjan木马专杀工具！TrojanHunter5.0

地址；

`````````````````````````````````````````````

分数给我哦，获得一直好评

回答者：龙纹刺青 - 一

话说我打开B站就出现这个，是病毒还是木马

请勿访问陌生链接，很可能导致设备中毒，若手机中存在木马或者病毒程序，请尝试按照以下步骤进行清除：

安装一款安全软件（例如：手机管家等）。以手机管家为例，打开手机管家，点击主界面上的一键体检即可自动检测手机中存在的病毒，点击一键清除即可删除，若提示无法删除请尝试获取ROOT权限后进行尝试。

都无法进行解决请尝试到手机品牌官网下载刷机包和工具对手机进行完整恢复，若无法自行处理请送到手机品牌官方售后进行维修。

清除用于盗号的Pwsteal.Trojan木马病毒

PWSteal.Trojan是最常见到的试图获取键入名字和密码的特洛伊病毒，密码通常被送往匿名的电子信箱。

关于PWSteal.Trojan木马病毒的查杀 ***

名称WSteal.Trojan

PWSTEAL.TROJAN查杀 ***

一、先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性

伪装，不做此设置将无法看到它，设置的 *** 如下（如果系统已经做了此设置可以跳过这一步）：

打开“我的电脑”； 依次打开菜单“工具/文件夹选项”； 然后在弹出的“文件夹选项”对话框中切换到“查看”

页； 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态； 在下面的“高级设置”列表框中

改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项； 去掉“隐藏已知文件类型的扩展名”

前面的对钩，也让它变为不选状态； 最后点击“确定”。

二、按“Ctrl+Alt+Del”键弹出任务管理器，找到EXPL0RER.EXE进

程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面

一步，只所以要迅速是因为如果动作慢的话，木马可能会自动恢复而再次运行起来，这样就无法删除掉其他木马文件

了（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）；

三、打开资源管理器进入到 “系统目录\Winnt\System32”下（如果您的win2000/nt/xp安装在C盘则就

是:\Winnt\System32）。找到EXPL0RER.EXE文件（注意第5个字母是数字0不是字母O）、SysModule32.dll文件，然后

直接删除它们。如果这时报告“文件正在使用无法删除”的类似提示则说明木马已经再次恢复了，需要从第二步开始

重复做，并且从第二步到第三步一定要迅速，这里建议可以先打开资源管理器选中这几个待删除的文件，在做第二步

即刚结束掉EXPL0RER.EXE进程后马上转过来删除这2个文件，这样一般就可以成功了；

四、同样在“系统目录\Winnt\System32”目录下找到SysModule64.dll 文件，尝试删除它，不过如果这时报告“此

文件正在使用中无法删除”等类似提示也没有关系，稍后在第七步将介绍如何删除此文件；

五、打开资源管理器进入到 “系统目录\Winnt”下，找到一个

MFCD3O.DLL 文件，手工删除它；

六、打开“开始/运行”，输入“regedit”后“确定”以打开注册

表编辑器，找到“HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}”键，把整个“{081FE200

-A103-11D7-A46D-C770E4459F2F}”键全部删除。

七、注销当前用户或重新登录或重启电脑。

之后再按第四步的 *** 删除掉 SysModule64.dll 文件，如果一切正常此时应该可以删除掉它了。

至此，如果一切顺利 PWSteal.Lemir.Gen 木马就应该完全从您

木马到底是什么样的病毒啊 为什么叫它木马病毒呢?

“特洛伊木马”这一词最早出先在希腊神话传说中。

相传在3000年前，在一次希腊战争中。

麦尼劳斯（人名）派兵讨伐特洛伊（王国），但久攻不下。

他们想出了一个主意：首先他们假装被打败，然后留下一个木马。

而木马里面却藏着最强悍的勇士！敌人却把木马当作战利品，拉进城门，最后等时间一到，木马里的勇士全部冲出来与外面的人里应外合就把敌人打败了！

这就是后来有名的“木马计”。—— 把预谋的功能隐藏在公开的功能里，掩饰真正的企图。

（这个故事中还有一个世界著名的美人叫海伦，呵呵）

木马病毒----谁知道?

所谓的木马程式 先从名字来看 木马 取自希腊神话 特洛伊木马屠城纪 是说敌人留一只木马 而你又傻傻的把他弄进城里 杀你全家

木马程式跟木马屠城很像 都是你自己把木马(病毒)迎进家门口的 但是木马程式的种类很多 最常用的就是一些腥煽色的东西 所以来路不明的东西不要下载 在来是 木马有分很多种 最基本的是测录你的纪录 最强的是远端遥控 木马应该不算病毒 他不太会造成你系统毁损 但是你的资料会不保 资源会被占用 等等后果 而且木马程式用一般的扫毒软体无法扫掉( 诺顿 趋势)而是要另外去查询 *** 用手动的 *** 去扫掉 大概就是这样吧

PWSteal.Lemir.Gen 是对一类游戏盗密木马的统称，与一般的木马病毒不同的是这个名称并不代表著一个固定的木马，而是一类木马，并且这类木马的数目极其繁多，清除 *** 也各不相同。 以前我们曾经撰写过一篇《手工彻底清除 PWSteal.Lemir.Gen(SysModule32.DLL,SysModule64.DLL) 木马的 *** 》 的文章，用来介绍清除一个档案是 SysModule32.DLL、SysModule64.DLL 的 PWSteal.Lemir.Gen 木马，但由於许多朋友没有留意到文章前面的提示，以为 PWSteal.Lemir.Gen 指的都是同一个木马，使用这个 *** 应该是可以的，结果按照指示反覆操作也无法成功，非常失望。

一般的，当您遇到这种木马时可以先尝试用自己的防毒软体来清除它，但如果防毒软体在发现这种木马后却无法成功清除掉它，总是报告清除失败或隔离失败，那该怎麼办呢？

费尔托斯特安全是一款可以清除木马和病毒的软体，它可以清除大量的 PWSteal.Lemir.Gen 木马，如果您有它的正式版可以在升级到最新病毒码后尝试用它扫瞄清除，但这里需要特别提醒一下：由於这类木马新变种层出不穷，所以不能保证费尔托斯特安全能够识别出目前所有的或者您遇到的。 那麼除此之外难道就没有其他办法了吗？有的，下方就介绍一个借助免费工具「费尔木马强力清除助手」来清除这种顽固性 PWSteal.Lemir.Gen 木马的 *** ：

使用这个 *** 前必须要先知道这个木马的档案名是什麼。防毒软体在发现木马后一般都会报告它的完整档案名，您需要先准确的记录下这个档案名。比如：如果防毒软体提示 C:\Windows\hello.dll 是 PWSteal.Lemir.Gen 木马，则记下 C:\Windows\hello.dll 这个名子。这里需要注意档案名一定要记准确，因为有许多木马会把自己的档案名故意伪装成和正常的档案名很接近，比如 svch0st.exe(木马)-svchost.exe(正常)、Expl0rer.exe(木马)-Explorer.exe(正常)、intrenat.exe / internet.exe(木马)-internat.exe(正常)等等。特别是数位0几乎和大写字母O一样，很容易让人看错，所以一定要注意区分它们，否则万一记错将有可能把正常的档案清除掉，那就麻烦了；

暂停防毒软体的即时监控，防止在清除时被它阻止造成失败。比如如果当初是你的诺顿发现了这个木马，那麼请先暂停诺顿的即时监控或即时扫瞄；

下载费尔木马强力清除助手 ；

释放 PowerRmv.zip 到一个目录，然后执行其中的 PowerRmv.exe 启动「费尔木马强力清除助手」。在「档案名」中输入要清除的 PWSteal.Lemir.Gen 木马档案名。比如如果您在第1步中记下的档案名是 C:\Windows\hello.dll，那麼这时就输入它；

按「清除」。这时程式会询问你是否要举报此病毒到费尔安全实验室，建议点「是」表示同意。接著程式会继续提示是否确定要清除它，仍然选「是」；

之后，如果此木马被成功清除程式会提示成功；或者也可能提示此木马无法被立即删除需要重新启动电脑。无论是哪种情况请点选「确定」，这时如果您在前面同意了举报此木马那麼程式会自动创建并开启一个「病毒举报」的电子邮件，其中会包含这个木马的样本档案，如果您看到了这个邮件请把它直接传送给 virus@filseclab.com 。如果您并没有看到这封邮件也没有关系，可以忽略。

最后，如果程式前面提示了重新启动电脑后才能清除那麼请一定重新启动您的电脑，在电脑重新启动后这个木马应该就被清除掉了。

重要提示： 如果您按上面的 *** 操作之后，发现不久这个木马又出现了，并且还是同样的档案名，那麼您可以用上面的 *** 再重复执行一次，不过这次操作时请选择程式中的「抑制档案再次生成」选项， 这样清除后一般木马就很难再复活了。这个功能是最新版「费尔木马强力清除助手」中提供的，如果您的没有这个选项，请从上面的位址中重新下载一次。

注意：

「费尔木马强力清除助手」有很强的档案删除能力，清除后的档案将无法再还原，所以在清除前一定要确定档案名没有输入错误。

如果您按上面的 *** 操作后仍然不能成功清除掉木马，则可能是电脑中还存在著另外一个更主要的木马程式或备份，在它被清除后会自动从另外一处还原。这时您需要用防毒软体扫瞄出所有的这些木马，然后逐一或同时清除才行。

三、rootkit 的类型：

我们可将 rootkit 分为两大类

1.Application rootkit - 建立於应用层级

Application rootkit 是最常被拿来使用的 rootkit。攻击者以 rootkit 中的木马程式来替

换系统中正常的应用程式与系统档案。木马程式会提供后门给攻击者并隐藏其踪迹，攻击者做的

任何活动都不会储存在纪录档中。下面列举了一些攻击者可能取代的档案：

‧隐藏攻击者踪迹的程式 -

(1).ls, find, du - 木马程式可以隐藏攻击者档案、欺骗系统，让系统的档案及目录泄露讯息。

(2).ps, top, pidof - 这些程式都是程序监看程式，它们可以让攻击者在进行攻击的过程中，

隐藏攻击者本身的程序。

(3).netstat - netstat 是用来检查网路活动的连结与监听，如开放的通讯埠等等。木马程式

netstat 可以隐藏攻击者的网路活动，例如 ssh daemon 或其他服务。

(4).killall - 木马程式 killall 让管理者无法停止程序。

(5).ifconfig - 当监听软体正在执行时，木马程式 ifconfig 不会显示 PROMISC flag，这样

可以隐藏攻击者，不被监听软体察觉。

(6).crontab - 木马程式 crontab 可以隐藏攻击者的 crontab 进入情况。

(7).tcpd, syslogd - 木马程式 tcpd 与 "syslog" 不会纪录攻击者的行为。

‧后门程式 -

(1).chfn - 提升使用者的权限。执行 chfn，在输入新使用者名称时，只要输入 rootkit 密码

，就可以取得 root 的权限。

(2).chsh - 提升使用者的权限。执行 chsh，在输入新 shell 时，只要输入 rootkit 密码，

就可以取得 root 的权限。

(3).passwd - 提升使用者的权限。执行 passwd，在输入新密码时，只要输入 rootkit 密码，

就可以取得 root 的权限。

(4).login - 能够纪录任何使用者名称，包含 root 登入的密码。

(5).bd2 - 木马程式 rpcbind 允许攻击者在受害主机上执行任意程式码。

‧木马程式程式 -

(1).inetd - 木马程式 inetd 可以替攻击者打开远端登入的通讯埠，只要输入密码就可以取得

root 的权限。

(2).rshd - 替攻击者提供远端的 shell。(范例：rsh [hostname] - l [rootkit password])

(3).rsh - 透过 rsh 可以取得 root 的密码。(范例：rsh [hostname] - l [rootkit password])

(4).sshd -攻击者以特定帐号密码登入就能拥有 root shell 的权限。

‧监听程式 -

(1).linsniffer - linux 小型的监听程式。

(2).sniffchk - 这个程式可以检验与确认网路监听程式是否正在执行。

(3).le - Solaris Ethernet 封包的监听程式。

(4).snif - linux 其他封包的监听程式。

(5).sniff-10mb - 这是一个设计来监听 10mbps Ethernet 的监听程式。

(6).sniff-100mb - 这是一个设计来监听 100mbps Ethernet 的监听程式。

‧其他种类 -

(1).fix - 安装木马程式时 (例如：ls) 更改的时间戳记与检验封包值的讯息。

(2).wted - wtmp 的编辑程式。可让攻击者修改 wtmp。

(3).z2 - 移除 wtmp/utmp/lastlog。

(4).bindshell - 把 rootshell 与某个通讯埠结合在一起。(预设埠号为 31337)

(5).zap3 - 攻击者会从 wtmp, utmp, lastlog, wtmpx 和 utmpx 移除他们的踪迹。zap3 通常

根据下列目录来找寻纪录档的位置，例如 /var/log, /var/adm, /usr/adm, 与 /var/run。