木马分析专家木马专家2015好不好

Trojan.Win32.Bho.vdz 是什么病毒？有什么后果？

一、 病毒标签： 　　病毒名称： Trojan.Win32.BHO.af 　　病毒类型： 木马类 　　文件 MD5： F0A34C166CA8A24DE169C20F4D9D05E1 　　公开范围： 完全公开 　　危害等级： 3 　　文件长度： 53,760 字节 　　感染系统： windows 98以上版本 　　开发工具： Microsoft Visual C++ 6.0 　　加壳类型： 无 　　二、 病毒描述： 　　病毒运行后，复制自身到系统目录下，衍生病毒文件，并删除自身。

修改注册表，添加启动项，以达到随IEXPLORER.EXE进程的启动而启动的目的。

helper.dll随IEXPLORER.EXE进程的启动而启动，进行劫持浏览器，键盘记录等相关病毒行为。

主动连接网络，下载相关病毒文件信息。

该病毒通过恶意网站、其它病毒/木马下载传播，可以盗取用户敏感信息。

　　三、 行为分析： 　　1、病毒运行后衍生病毒文件： 　　%System32%helper.dll 　　%System32%helper.xml 　　2、添加启动项，以达到随IEXPLORER.EXE进程的启动而启动的目的： 　　HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8}InprocServer32@ 　　键值: 字符串: "C:WINDOWSsystem32helper.dll" 　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8} 　　3、helper.dll随IEXPLORER.EXE进程的启动而启动，进行劫持浏览器，键盘记录等相关病毒行为。

　　4、主动连接网络，下载相关病毒文件信息 　　5、该病毒通过恶意网站、其它病毒/木马下载传播，可以进行劫持浏览器，键盘记录,盗取用户敏感信息等。

　　注释： 　　%Windir% WINDODWS所在目录 　　%DriveLetter% 逻辑驱动器根目录 　　%ProgramFiles% 系统程序默认安装目录 　　%HomeDrive% 当前启动系统所在分区 　　%Documents and Settings% 当前用户文档根目录 　　%Temp% 当前用户TEMP缓存变量；路径为： 　　%Documents and Settings%当前用户Local SettingsTemp 　　%System32% 是一个可变路径； 　　病毒通过查询操作系统来决定当前System32文件夹的位置； 　　Windows2000/NT中默认的安装路径是　C:WinntSystem32； 　　Windows95/98/Me中默认的安装路径是　C:WindowsSystem； 　　WindowsXP中默认的安装路径是　C:WindowsSystem32。

　　四、 清除方案： 　　1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载： 。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

推荐使用ATool（安天安全管理工具），ATool下载地址: 或/download/index.htm 。

　　(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程 　　(2) 强行删除病毒文件 　　%System32%helper.dll 　　%System32%helper.xml 　　(3) 删除病毒添加的注册表项 　　HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8}InprocServer32@ 　　键值: 字符串: "C:WINDOWSsystem32helper.dll" 　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8}

桌面右键有启用木马分析专家扫描选项，如何删除？

运行 regedit 命令 会弹出注册表编辑器 在左边框里访问如下目录 [HKEY_CLASSES_ROOTFoldershell] [HKEY_CLASSES_ROOTFoldershellexContextMenuHandlers] 看看这两个目录里有没有 启用木马分析专家扫描 文件夹，有的话删除即可。

没有的话爱莫能助

查杀木马是什么？

手工查杀木马的通用方法 　　去年可以说是木马活动非常频繁的一年，一篇篇针对这些木马的查杀文章也先后登场，但是这些文章都是对某一个木马讲的，大家如果碰到新的木马就又没有办法了。

另一方面，反病毒、反黑客软件的反应速度远没有木马出现的速度快，通常情况下都是木马已经悄悄地出现许久，这些厂商才会有反应，如果在这段时间你中了木马又该怎样清除呢？如果自己懂得手工查杀木马的方法就可以应付自如了。

　　 　　一、关于木马 　　 　　木马，其实质只是一个网络客户/服务程序。

网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。

作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序称为守护进程。

就我们前面所讲的木马来说，被控制端相当于一台服务器，控制端则相当于一台客户机，被控制端为控制端提供服务。

　　 　　二、发现木马 　　 　　由于木马是基于远程控制的程序，因此中木马的机器会开有特定的端口。

一般一台个人用的系统在开机后最多只有137、138、139三个端口。

若上网冲浪会有其他端口，这是本机与网上主机通讯时打开的，IE一般会打开连续的端口:1025，1026，1027……，QQ会打开4000、4001……等端口。

　　 　　在DOS命令行下stat -na命令可以看到本机所有打开的端口。

如果发现除了以上所说的端口外，还有其他端口被占用（特别是木马常用端口被占用），那可要好好查查了，你很有可能“中彩”了！比方说木马“冰河”所占用的端口是7626，黑洞2001所占用的端口是2001，网络公牛用的是234444端口……如果发现这些端口被占用了，基本上就可以判定: 你中木马了！ 　　 　　三、查找木马 　　 　　首先要使你的系统能显示隐藏文件，因为一些木马文件属性是隐藏的。

　　 　　多数木马都会把自身复制到系统目录下并加入启动项（如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马就不执行了），启动项一般都是加在注册表中的，具体位置在： 　　 　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion 下所有以“run”开头的键值; 　　 　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion 下所有以“run”开头的键值; 　　 　　HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“Run”开头的键值。

　　 　　如木马冰河的启动键值是: 　　 　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] 　　@="C:\WINDOWS\SYSTEM\KERNEL32.EXE" 　　 　　广外女生1.51版的启动键值是: 　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices] 　　"Diagnostic Configuration"="C:\WINDOWS\SYSTEM\DIAGCFG.EXE" 　　 　　蓝色火焰0.5的启动键值是: 　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] 　　"Network Services"="C:\WINDOWS\SYSTEM\tasksvc.exe"

木马专家2015好不好

木马专家是一款木马查杀软件，软件除采用传统病毒库查杀木马以外，还能智能查杀未知木马，自动监控内存非法程序，实时查杀内存和硬盘木马。

第二代查杀内核，支持脱壳分析木马.软件本身还集成了内存优化，网络入侵拦截，IE修复，恶意网站拦截，系统文件修复，注册表备份和供高级用户使用的系统进程管理和启动项目管理等。

有效查杀各种流行QQ盗号木马，网游盗号木马,冲击波,灰鸽子,黑客后门等十多万种木马间谍程序。

【软件特色】 界面简洁，占用资源少，不影响系统速度。

同类软件中占用内存资源及CPU资源最少，绝不影响系统速度。

同类产品中抗AV终结者木马能力最强!