文章大纲：

• 1、特洛伊木马病毒
• 2、电脑中了特洛伊木马怎么办？
• 3、什么是特洛伊木马病毒？
• 4、特洛伊木马病毒是什么?有什么危害??
• 5、我中了特洛伊木马病毒，急急，如果解决啊

特洛伊木马病毒

病毒名称：

Trojan-PSW.Win32.OnLineGames.jbo

病毒类型：

木马类

文件

MD5：

1B414FF11AD77F8D2C1740AECFDD5E0A

公开范围：

完全公开

危害等级：

3

文件长度：

17,408

字节

感染系统：

Windows98以上版本

工具：

Microsoft

Visual

C++

6.0

加壳类型：无

二、病毒描述：

该病毒为木马类，病毒运行后，复制自身到系统目录下，病毒文件，以批处理文件删除自身。

添加启动项，以达到随机启动的目的。该病毒由于已出现大量的生成机，因此生成一个同种病毒特别容易，这也使其大量的被生成，再加互联网的快速传播，使其在中国大陆已形成了一个木马分支――网游盗号木马类；可以盗取用户帐号

号与密码。

三、行为分析：

1、

文件运行后会释放以下文件

%WINDIR%\cmdbcs.exe

%system32%\cmdbcs.dll

2、

新建注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]

注册表值："

cmdbcs

"

类型：

REG_SZ

值：

"

C:\WINDOWS\cmdbcs.exe

"

描述：添加启动项，以达到随机启动的目的

3、释放cmdbcs.dll进驻内存，尝试插入下列进程中：

EXPLORER.EXE

IEXPLORER.EXE

应用程序进程

4、cmdbcs.dll插入进程后可以访问该进程资源，记录该进程中的敏感资料；例如帐号与密码

5、检测窗口标题为AVP的窗体，瑞星的警告窗体，如果检测到则关闭。当病毒添加注册表启动项时，如果弹出瑞星注册表监控，则自动允许并关闭监控窗体。具有反查杀能力。

注释：

%Windir%

WINDODWS所在目录

%DriveLetter%

逻辑驱动器根目录

%ProgramFiles%系统程序默认安装目录

%HomeDrive%

当前启动系统所在分区

%Documents

and

Settings%

当前用户文档根目录

%Temp%

当前用户TEMP缓存变量；路径为：

%Documents

and

Settings%\当前用户\Local

Settings\Temp

%System32%

是一个可变路径；

病毒通过查询操作系统来决定当前System32文件夹的位置；

Windows2000/NT中默认的安装路径是　C:\Winnt\System32；

Windows95/98/Me中默认的安装路径是　C:\Windows\System；

WindowsXP中默认的安装路径是　C:\Windows\System32。

四、

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：

。

2、手工清除请按照行为

分析除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址:

或

。

(1)

使用安天木马防线或ATool中的“进程管理”关闭病毒进程

强行卸载cmdbcs.dll

(2)

强行删除病毒文件

%WINDIR%\cmdbcs.exe

%system32%\cmdbcs.dll

(3)

恢复病毒修改的注册表项目，删除病毒添加的注册表项

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]

注册表值："

cmdbcs

"

类型：

REG_SZ

值：

"

C:\WINDOWS\cmdbcs.exe

"

电脑中了特洛伊木马怎么办？

既然是中毒了，就杀毒呗。

首先进行全盘杀毒操作，确认是否有病毒。可以尝试 *** 在线杀毒。

如果无法杀毒，建议使用PE系统盘启动电脑，备份重要的数据后，对硬盘进行快速分区，重建主引导记录，彻底清除可能的病毒隐患，然后重新安装系统。

系统安装完成，记得安装杀毒软件，并升级病毒库，再对备份数据杀毒。

什么是特洛伊木马病毒？

特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能，如Symantec的pcAnywhere，但特洛伊木马也有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。

大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，特洛伊木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号，程序启动时机，如何发出调用，如何隐身，是否加密。另外，攻击者还可以设置登录服务器的密码、确定通信方式。

服务器向攻击者通知的方式可能是发送一个email，宣告自己当前已成功接管的机器；或者可能是联系某个隐藏的Internet交流通道，广播被侵占机器的IP地址；另外，当特洛伊木马的服务器部分启动之后，它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系，有一点是不变的，攻击者总是利用客户程序向服务器程序发送命令，达到操控用户机器的目的。

特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的特洛伊木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。实际上，只要用一个预先定义好的关键词，就可以让所有被入侵的机器格式化自己的硬盘，或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器，然后针对某一要害主机发起分布式拒绝服务攻击（Denial of Service，即DoS），当受害者觉察到 *** 要被异乎寻常的通信量淹没，试图找出攻击者时，他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户，真正的攻击者早就溜之大吉。

特洛伊木马造成的危害可能是非常惊人的，由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害.

1. Trojan Remover Update 6.4.7 Date 01.27

一个专门用来清除特洛伊木马和自动修复系统文件的工具。

antivirus.pchome.net/trojan/1070.html

2. ZoneAlarm Free 6.1.737.000

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序，Trojan也是一种极为可怕的程

3. Trojan Remover 6.4.7 Date 01.27

专门用来清除特洛伊木马和自动修复系统文件的工具

antivirus.pchome.net/trojan/7704.html

4. Trojan Remover 6.46(Database 6461)

是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫描

5. 木马终结者 V3.5

特洛伊木马病毒一种破坏力十分强的黑客病毒，你只要中

6. LDM木马检测程序 2003钻石版

LDM木马检测程序是大部分流行特洛伊木马病毒的克星，是一个专门防制特洛伊木马病毒的

7. The Cleaner Database V3887

一个专门检测和清除侵入您系统中的特洛伊木马的专业程

8. Trojan Remover V6.4.6(Database 6461) Update

Trojan Remover 是一个专门用来清除特洛伊木马和自动修

9. 木马终结者 3.33

所有特洛伊木马病毒的克星，专门防制特洛伊木马病毒的防毒软件

antivirus.pchome.net/trojan/8238.html

10. 木马杀手 Trojan System Cleaner 3.5.1117

木马杀手会检测现存的特洛伊木马程序的活动、复原被特洛伊木马修改的系统文件，杀除特

11. Trojan Remover Database Update 6461

Trojan Remover 是一个专门用来清除特洛伊木马和自动修

12. ZoneAlarm Pro 6.1.737.000

保护你的电脑，防止Trojan(特洛伊木马)程序

antivirus.pchome.net/others/8104.html

13. Trojan Remover 6.4.6 Database 6461 Update

是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫描

14. ZoneAlarm Security Suite V6.1.737.000

ZoneAlarm 保护你的电脑，防止Trojan(特洛伊木马)程序

15. 熊猫卫士 钛金版2.05.00

*基于极速“UltraFast”引擎，快速检测和清除所有病毒、特洛依木马、蠕虫、恶意的Java

16. Trojan Remover Database 6461

是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫描

17. ZoneAlarm Pro 6.1.737.000

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序，Trojan也是一种极为可怕的程

18. Antiy Ghostbusters Pro 5.05

一个专业级别的特洛伊木马检测和系统安全工具

download.pchome.net/internet/safe/15974.html

19. The Cleaner Pro V4.1 Build 4252

一个专门检测和清除侵入您系统中的特洛伊木马的专业程

20. ZoneAlarm Free V6.1.737.000

ZoneAlarm 来保护你的电脑，防止Trojan(特洛伊木马)程

21. ZoneAlarm Pro V6.1.737.000

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序

22. ZoneAlarm Pro V6.1.737.000 Beta

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序，Trojan也是一种极为可怕?

download.21cn.com/list.php?id=3458

23. Antiy Ghostbusters Advanced Edition 5.04

AntiyLabs出品的专业级特洛伊木马检测工具，被网友称为“捉鬼队”。该软件可以对驱动

24. Trojan Remover 木马病毒库 6072

一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查系统登录文件、扫

download.21cn.com/list.php?id=5317

25. The Cleaner Pro 4 updates Database 3860

一个专门检测和清除侵入您系统中的特洛伊木马的专业程序,内置3093个木马标识。可在线

26. Digital Patrol 5.00.31

专门检测系统中特洛伊木马程序的扫毒软件

antivirus.pchome.net/trojan/12504.html

27. 熊猫卫士 7.0铂金版中文测试版

*基于极速“UltraFast”引擎，快速检测和清除所有病毒、特洛依木马、蠕虫、恶意的Java

28. Trojan Remover V6.4.6(Database 6457)

Trojan Remover 是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检?

download.21cn.com/list.php?id=7335

29. Trojan Remover V6.3.3 Date 12.20

Trojan Remover是一个专门用来清除特洛伊木马和自动修复系统文件的工具。能够检查

download.21cn.com/list.php?id=3692

30. The Cleaner V3.5.4.3519(DataBase 3359) 汉化版

一个专门检测和清除侵入您系统中的特洛伊木马的专业程

31. Anti-Trojan 5.5.421

Anti-Trojan扫描隐藏在你的系统里的具有破坏性的特洛依木马程序。它利用三重扫描来检

32. TDS-3: Trojan Defence Suite 3.2.0

防特洛伊木马的软件，可以检测到360种以上的特洛伊木马和电脑蠕虫

antivirus.pchome.net/trojan/10170.html

33. ZoneAlarm Pro 4.5.594

保护你的电脑，防止Trojan(特洛伊木马)程序

antivirus.pchome.net/others/10678.html

34. 木马终结者 V3.37

特洛伊木马病毒一种破坏力十分强的黑客病毒。你只要中了毒，你的计算机将被黑客控

download.21cn.com/list.php?id=10681

35. The Cleaner (executable only) 3.54 Build 3528

一个专门检测和清除侵入您系统中的特洛伊木马的专业程序

antivirus.pchome.net/cleaner/8957.html

36. BoDetect 3.5

一个专门用来监测和删除特洛依木马之类的小工具

antivirus.pchome.net/trojan/10171.html

37. ZoneAlarm Anti-Spyware V6.1.737.000

ZoneAlarm 来保护你的电脑，防止Trojan(特洛伊木马)程

38. ZoneAlarm Free 6.0.629.000 Beta

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序，Trojan也是一种极为可怕的程

39. LDM木马检测程序 Power XP Build 688C

特洛伊木马病毒一种破坏力十分强的黑客病毒，你只要中

40. Advanced Registry Tracer 2.03

具有侦测出特洛伊木马病毒功能

download.pchome.net/system/treak/10607.html

41. 木马杀手(Trojan System Cleaner) V3.5.1117

木马杀手会检测现存的特洛伊木马程序的活动、复原被特

特洛伊木马病毒是什么?有什么危害??

木马病毒

一般情况下，杀毒软件只要能告诉你木马病毒的名称，肯定就能识别并删除，只是要注意方式 *** 。

原因：木马病毒(特洛伊 后门等)一般情况下都比较顽固，常规模式下不好清除。(容易隐藏病毒文件 容易与其他系统文件关联，以DLL注入或者系统关键进程注入等方式发作等)

*** ：首先重启电脑，进入安全模式，再启动你的杀毒软件扫描一遍就可以了。

安全模式：启动的时候按住 F8 键，出现选择的时候 选“进入安全模式”

杀毒前关闭系统还原：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。

我中了特洛伊木马病毒，急急，如果解决啊

有一些病毒杀毒软件提示“重启之后才能删除”，可是重启了它还在那里造成许多用户的困惑。下面我就简单总结下造成这些问题的

原因以及简单的解决办法：

1.病毒正在运行

由于Windows保护正在运行的程序，所以杀毒软件是无法杀死正在运行的病毒。即使是真的杀死了病毒，电脑正常关机时内存中活动的病毒还会再复制一个病毒到硬盘上。

2.病毒隐藏在系统还原的文件夹“_restore”中。

策略：对于上面的问题，进入系统的安全模式，然后再用卡巴来杀，一般都能杀掉；（进安全模式的 *** 很简单，就是在电脑刚启动时拼命按F8，然后选择安全模式(safe

mode)即可）

3.

疑似电脑病毒

有时杀毒软件会出现黄色叹号提示：提示有病毒或者广告程序，但是做全盘扫描却没有病毒或者杀不掉。

策略：如果出现类似的提示的话说明病毒并不在本机，是有可能曾经浏览的网页上带有病毒，现在没有。对于广告程序，可以用一些第三方工具清理下恶评软件即可解决问题。

4.

ex_文件感染病毒

以.ex_为扩展名称的文件是软件安装程序的部分文件，其中的病毒不能直接清除。

策略：只有在软件完全安装成功后，方可清除。这有点类似于在COPY文件时发现了病毒的处理 ***

5.一些网页中的木马、病毒，如果杀毒软件提示不能清除

策略：请将浏览器的临时文件夹清空后即可。