1. Preparar herramientas afiladas. Primero debe descargar o copiar (desde otras computadoras) las mejores y más recientes herramientas para eliminar troyanos (generalmente conocidas en línea) y el software antivirus preparado (se recomienda que vaya al Blog de Soaring, que tiene todo sobre el sistema, y efectivo (también hay varios software)/guoguo6688). Además, creo que '360' es bueno.
2. ¿Estás seguro de que es un troyano? ¿Qué troyano es? Escriba el nombre del caballo de Troya que aparece al iniciar. También existen métodos:
a. Verifique si hay conexiones sospechosas en cualquier software que muestre el estado de las conexiones de red (la mayoría de los firewalls sirven) y anote los nombres. b. Presione las teclas alt+ctrl+supr en el teclado al mismo tiempo para ver los procesos sospechosos en el proceso.
Anexo 1 procesos comunes: Procesos comunes de Vista
(1)360tray.exe
Módulo de protección en tiempo real de la aplicación 360 Security Guard
(2)audiodg.exe
Aislamiento de imágenes de audio de Wingdows.
(3)bdagent.exe
Programa relacionado con el software antivirus BitDefenderProfessional. BitDefender Professional es un software antivirus rumano que brindará a su computadora la máxima protección, tiene un potente motor antivirus y tecnología de filtrado de Internet.
(4)bdmcon.exe
Es parte del producto antivirus BitDefender producido por SoftWin Company.
(5)bdss.exe
Es parte del software antivirus BitDefender.
(6)csrss.exe (2)
Es un subsistema de tiempo de ejecución cliente/servidor de Microsoft. Este proceso gestiona las tareas relacionadas con los gráficos de Windows. Este programa es muy importante para el funcionamiento normal de su sistema.
Nota: csrss.exe también puede ser creado por virus como w32.netsky.ab@mm, troyano w32.webus, win32.ladex.a, etc. El virus se propaga a través del correo electrónico y usted queda infectado cuando abre un archivo adjunto. El gusano establecerá un servicio SMTP en la máquina víctima para propagarse. El virus permite a los atacantes acceder a su computadora y robar troyanos y datos personales. Preste atención a la carpeta donde se encuentra este proceso. El proceso normal debe estar en system32 de Windows
(7)dwm.exe
Este es un proceso de la interfaz aero. .
(8)explorer.exe
Es el administrador de programas de Windows o administrador de recursos de Windows. Se utiliza para administrar el shell de gráficos de Windows, incluido el menú de inicio, la barra de tareas, el escritorio y. gestión de archivos. La eliminación de este programa hará que la interfaz gráfica de Windows deje de estar disponible.
Nota: explorer.exe también puede contener los virus w32.codered y w32.mydoom.b@mm. El virus se propaga a través de mensajes de correo electrónico y usted queda infectado cuando abre un archivo adjunto. El gusano establecerá un servicio SMTP en la máquina víctima para una mayor propagación. El gusano permite a los atacantes acceder a su computadora y robar contraseñas y datos personales. Preste atención a la carpeta donde se encuentra este proceso. El proceso normal debe estar en Windows.
(9)googletoolbarnotifier.exe
Es un producto complementario de la barra Google. Este ejecutable es necesario para habilitar la funcionalidad del notificador de configuración de búsqueda de la barra de herramientas.
(10)ieuser.exe
Proceso IE7.
(11)iexplore.exe
Es el programa principal de Microsoft Internet Explorer. Esta aplicación de Microsoft Windows le permite navegar por la web y acceder a su red de Internet local.
Este no es un programa puramente del sistema, pero si se cancela puede causar problemas desconocidos. iexplore.exe también forma parte del navegador web avant, un navegador gratuito basado en Internet Explorer.
Nota: iexplore.exe también puede ser el virus troyano .killav.b, que finalizará su software antivirus y algunas herramientas del sistema Windows. El proceso normal debe estar en \programfiles\internetexplorer y system32\dllcache
(12)livesrv.exe
Programa de actualización en línea del software antivirus BitDefenderProfessional. BitDefender Professional es un software antivirus rumano que brindará a su computadora la máxima protección, tiene un potente motor antivirus y tecnología de filtrado de Internet.
(13)lsass.exe
Es un proceso del sistema relacionado con el mecanismo de seguridad de Microsoft, que maneja principalmente algunos mecanismos de seguridad especiales y políticas de inicio de sesión.
(14)lsm.exe
Un nuevo proceso utilizado para administrar la conexión al Terminal Server de la computadora (el "Administrador de sesión local").
(15)notepad.exe
Es el programa de bloc de notas que viene con Windows. Es el programa predeterminado utilizado por Windows para abrir y editar archivos de texto.
(16)realsched.exe
Es un programa de detección de actualizaciones regular para productos Real Networks
(17)searchindexer.exe
<. p>Proporciona indexación de contenido y almacenamiento en caché de atributos para archivos, correos electrónicos y otro contenido (a través de la API de extensibilidad). El servicio responde a notificaciones de archivos y correo electrónico para indexar contenido modificado. Si el servicio se detiene o deshabilita, Explorer no podrá mostrar una vista de carpeta virtual de elementos y la búsqueda en Explorer recurrirá a una búsqueda más lenta elemento por elemento.(18)services.exe
Es parte del sistema operativo Microsoft Windows. Se utiliza para gestionar el inicio y la detención de servicios. Este proceso también maneja los servicios que se ejecutan cuando la computadora se inicia y se apaga. Este programa es muy importante para el funcionamiento normal de su sistema.
Nota: Los servicios también pueden ser troyanos w32.randex.r (almacenado en el directorio %systemroot%\system32\) y sober.p (almacenado en el directorio %systemroot%\connection Wizard\status\). . Este troyano permite a los atacantes acceder a su computadora y robar contraseñas y datos personales. El nivel de seguridad de este proceso es que se recomienda eliminarlo inmediatamente
(19)sidebar.exe
vista sidebar
(20)slsvc. exe
Servicios de licencias de software de Microsoft.
(21)smss.exe
Es parte del sistema operativo Microsoft Windows. Este proceso llama al subsistema de gestión de diálogos y es responsable de operar los diálogos de su sistema. Este programa es muy importante para el funcionamiento normal de su sistema.
Nota: smss.exe también puede ser un troyano win32.ladex.a. Este troyano permite a los atacantes acceder a su computadora y robar contraseñas y datos personales. Preste atención a la carpeta donde se encuentra este proceso. El proceso normal debe estar en system32 de Windows
(22)spoolsv.exe
Se utiliza para enviar tareas de impresora de Windows. a imprentas locales.
Nota: spoolsv.exe también puede ser el troyano backdoor.ciadoor.b. Este troyano permite a los atacantes acceder a su computadora y robar contraseñas y datos personales.
Preste atención a la carpeta donde se encuentra este proceso. El proceso normal debe estar en system32 en Windows. Si aparece en el directorio spoolsv, es posible que haya algunos archivos de complemento de IE. Se recomienda utilizar antispyware para escanear.
(23)svchost.exe (8)
Es un programa de sistema perteneciente al sistema operativo Microsoft Windows, utilizado para ejecutar archivos dll. Este programa es muy importante para el funcionamiento normal de su sistema.
Nota: svchost.exe también puede ser el virus w32.welchia.worm, que utiliza la vulnerabilidad windowslsass para crear un desbordamiento del búfer y hacer que su computadora se apague. Preste atención al nombre de este
proceso. También hay un virus llamado svch0st.exe. El número 0 en el medio del nombre no es la letra inglesa o. Preste atención a la carpeta donde se encuentra este proceso. Un proceso normal debe ser
(24)system
Es un proceso de administración de memoria de página de Windows y tiene prioridad de nivel 0.
(25)proceso inactivo del sistema
Se utiliza más para mostrar los recursos restantes de la CPU. El proceso no se puede eliminar.
(26)taskeng.exe(2)
Motor de planificación de tareas.
(27)taskmgr.exe
Para el Administrador de tareas de Windows. Muestra los procesos que se ejecutan en su sistema. El programa se abre usando Ctrl+Alt+Supr. Este no es un programa puramente del sistema, pero si lo finaliza, puede causar problemas desconocidos.
(28)vsserv.exe
Es un programa relacionado con la suite de seguridad de red Bull Guard y el software antivirus BitDefender.
(29)wininit.exe
Windows inicia la aplicación.
(30)winlogon.exe
Es un administrador de inicio de sesión de dominio de Windows. Se utiliza para manejar su proceso de inicio y cierre de sesión. El papel de este proceso en su sistema es muy importante.
Nota: winlogon.exe también puede ser el virus del gusano w32.netsky.d@mm. El virus se propaga a través del correo electrónico y usted quedará infectado cuando abra el archivo adjunto enviado por el virus. El virus creará un motor SMTP en la computadora de la víctima y enviará correos electrónicos masivos para propagarse. El virus permite a los atacantes acceder a su computadora y robar contraseñas y datos personales. Preste atención a la carpeta donde se encuentra este proceso. El proceso normal debe estar en system32 de Windows
(31)wuauclt.exe
Es un programa de administración de actualizaciones automáticas de Windows. . Este proceso busca continuamente actualizaciones en línea. Eliminar este proceso evitará que obtenga las últimas actualizaciones.
(32)xcommsvr.exe
Es un programa relacionado con el producto antivirus BitDefender
Anexo 2 procesos comunes:
agrsmsvc.exe: proceso del módem Agere.
audiodg.exe: programa de aislamiento gráfico de dispositivos de audio de Windows
BTTray.exe: el proceso de los productos relacionados con Bluetooth de Widcomm en la bandeja del sistema
btwdins.exe : Sí Un programa para que el sistema operativo Microsoft Windows admita la tecnología Bluetooth
csrss.exe: subsistema de servicio al cliente, utilizado para controlar los subsistemas relacionados con gráficos de Windows
dmhkcore.exe: se reproduce por programas relacionados con Microsoft Windows Media Player 10.
explorer.exe: el Explorador de Windows, que se puede decir que es el shell de la interfaz gráfica de Windows, es un proceso útil del sistema
ieuser.exe: especialmente diseñado para ayudar a IE a encargarse de derechos de usuario normales. Process
iexplore.exe: Es el programa principal de Microsoft Internet Explorer
IMSSync.exe: Proceso de Intel Media Player.
lsass.exe: es un proceso del sistema utilizado para el mecanismo de seguridad del sistema Microsoft Windows. Se utiliza para políticas locales de seguridad e inicio de sesión
lsm.exe: servicio de administrador de sesión local
mobsync.exe: es un programa relacionado con Internet Explorer que se utiliza para sincronizar páginas web sin conexión
MSASCui.exe: WindowsDefender (anteriormente conocido como WindowsAntiSpyware) es un producto anti-spyware producido por Microsoft
realsched.exe: es un programa de actualización automática para RealPlayer
Richvideo.exe: es el programa de software de procesamiento de vídeo de la empresa Cyberlink
rthdvcpl.exe: es el programa del panel de control de sonido searchindexer.exe: es el programa de índice de búsqueda de escritorio de Mirosoft Windows Vista
services.exe: es la parte del sistema operativo Microsoft Windows. Se utiliza para administrar el inicio y la detención de servicios
sidebar.exe: describe el programa de la barra lateral de WindowsVista
slsvc.exe: la tecnología de licencia de software (licencia) de Microsoft proporciona los servicios API necesarios
p>
smss.exe: Este es un subsistema de administración de sesiones, responsable de iniciar sesiones de usuario
spoolsv.exe: Se utiliza para enviar tareas de impresora de Windows a impresoras locales
svchost .exe: es un servicio de procesamiento de host de biblioteca de vínculos dinámicos estándar
taskeng.exe: motor de programación de tareas
taskmgr.exe: proceso del Administrador de tareas de Windows
viivmonitor.exe: ¿Proceso de visualización utilizado por las computadoras basadas en la tecnología de procesador Intel Huan Core?
aplicación de inicio de Windows wininit.exe
programa de método de entrada conime.exe (Consola IME)
Puede haber otros procesos (incluido su software antivirus) (se recomienda verificar el proceso después de encender la computadora)
Luego verifique el método de eliminación específico de este troyano. en Internet y descargarlo.
3.
Recomiendo matar en modo seguro (de esta manera el troyano puede no ejecutarse y es fácil de detectar y matar).
Método: Encienda la computadora (solo presione el botón de encendido)---presione la tecla F8 inmediatamente---seleccione el modo seguro (sin conexión de red)---confirme para ingresar. Después de ingresar, inicie---Ejecutar----msconfig---OK. En la pestaña "Inicio", desmarque todos los elementos excepto el sistema (verifique en línea cuáles son seguros) y registre los nombres de los elementos sospechosos relevantes.
Ejecuta tus herramientas especiales para matar una por una y ten paciencia.
4. Verifique los elementos de inicio.
La siguiente es la ubicación de los elementos de inicio:
Resumen de los elementos de inicio del sistema (la ubicación de los elementos de inicio que los virus suelen agregar) 2008-09-23 23:13 Herramienta de reparación del sistema : /323600.html
Process.Explorer11 ver herramienta de proceso:
/244348.html
1 Ubicación de inicio de la carpeta:
1.C:\Documentos y configuraciones\Nombre de usuario\Menú "Inicio"\Programas
2.C:\Documentos y configuraciones\Todos los usuarios\Menú "Inicio"\Programas\Inicio
2. Elementos de inicio cargados en el registro (Inicio--Ejecutar---ingrese regedit):
1.Ejecutar:
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion. \Ejecutar
b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run (donde a los virus les gusta visitar)
c.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run
d.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
e.HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run (poco común)
2.RunOnce:
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion \RunOnce
3.RunServicesOnce: (Iniciar servicio: iniciar antes de que el usuario inicie sesión)
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
4.RunServices:
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
b.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
(Nota: similar a 3: ambos son antes de que el usuario inicie sesión, pero diferentes: el programa especificado por la clave de registro de RunServices es El programa RunServicesOnce especificado inmediatamente se ejecuta después.
)
5.Cargar:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Agregue el valor de la cadena de carga en el lado derecho, el valor es la ruta del programa a iniciarse (en HKEY_LOCAL_MACHINE inútil)
6.Winlogon:
a.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (Los nuevos elementos de valor Notify y Userinit a continuación sí lo hacen. no funciona, pero el shell funciona, pero después de ejecutar el programa cargado, explorer.exe no se ejecuta y debe abrirse manualmente;)
b.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
(Nota: Derecha. El valor de "shell" en el costado es "Explorer.exe" y se carga el elemento de inicio del programa malicioso, y el valor de "userinit" es "C:\WINDOWS\system32 \userinit.exe" y se agrega el archivo de inicio del programa malicioso .userinit.exe. La pérdida o los valores incorrectos de las claves de registro relacionadas resultarán en la imposibilidad de iniciar sesión en el sistema normalmente)
c. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify puede crear un nuevo valor clave (por ejemplo: para resolver el problema de actualizar el sistema. Finalmente, el pentágono en la esquina inferior derecha de la bandeja es la clave y la base wgalogon valor de clave relacionado agregado al registro)
7.ShellServiceObjectDelayLoad:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
8.Scripts:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts (Agregue elementos de inicio automático a la derecha)
8.AppInit_DLLs:( Algunos módulos DLL de virus lo usan para iniciarse automáticamente después arrancando y, a veces, cambia el tipo de archivo (el tipo normal es REG_SZ y el valor está vacío)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
3. Algunos programas que se ejecutan automáticamente también se cargarán en el archivo de configuración de Windows (incluidos los archivos Win.ini, System.ini y wininit.ini). En Inicio--Ejecutar--ingrese cmd--OK---luego ingrese el nombre del archivo de configuración correspondiente, como win.ini----haga clic en la tecla Intro en el teclado para abrir)
1 .Win.ini:
El programa después de "cargar" se ejecutará minimizado después del inicio, mientras que el programa después de "ejecutar=" se ejecutará normalmente.
2. /p>
"shell"=Explorer.exe (normal) "shell"=Explorer.exe+otro nombre de programa o "shell"=especifique directamente la ruta del programa antivirus.
3.wininit. ini:
Se eliminará automáticamente después de ejecutarse automáticamente cuando se inicie Windows. Esto significa que los comandos de este archivo solo se ejecutarán automáticamente una vez.
Este archivo de configuración es generado principalmente por el programa de instalación del software,
(Nota: o ejecute msconfig para ver el interior)
4. Script de inicio/apagado/inicio de sesión/cierre de sesión en la política de grupo<. /p>
p>
En Windows 2000/XP, haga clic en "Inicio → Ejecutar", ingrese gpedit.msc y presione Entrar para abrir el "Editor de políticas de grupo", expanda "Política de computadora local → Configuración de usuario → Administración " en el panel izquierdo Plantilla → Sistema → Iniciar sesión", luego haga doble clic en "Ejecutar estos programas cuando el usuario inicie sesión" en el panel derecho, haga clic en el botón "Mostrar" y los programas iniciados automáticamente se mostrarán en "Elementos que se ejecutan cuando el usuario inicia sesión".
5. Plan de tareas: (puede agregar elementos de inicio automático usted mismo)
El sufijo .job en c:\windows\ La carpeta task\ es una tarea programada. Un TRABAJO representa un plan. Los virus generalmente usan archivos .JOB ocultos para ejecutar virus en secreto o dañar archivos del sistema.
Luego verifica si hay algún nombre sospechoso que hayamos notado. antes. Algunos están eliminados.
Un último recordatorio: la computadora no tendrá problemas automáticamente, ni tampoco tendrá problemas automáticamente. Tienes que intentar explorarlo y resolverlo tú mismo y buscar en Baidu. Al acumular experiencia, podrá resolver problemas de forma independiente en el futuro.
Espero que soluciones el problema.