Cómo eliminar Win32.Troj

Es un caballo de Troya malicioso. La serie win32.troj es en realidad una serie de virus troyanos, que generalmente se instalan mediante guía. Por ejemplo, los más famosos Win32.Troj.QQPASS×××× y Win32.Troj.newsuper.×××× son todos de. esta serie. La variante "Hunter" (Win32.Troj.QQpass.ak.29696) es una de ellas.

Método de propagación: ser guiado maliciosamente para instalar programas virales/usar vulnerabilidades de IE para propagar

Sistemas infectados: Win9x/WinMe/WinNT/Win2K/WinXP/Win2003

El virus envía algunos enlaces a sitios web muy engañosos a través de QQ, como "¡Vengan aquí, mis compañeros recién registrados!", engañando a la otra parte para que haga clic en el enlace y luego lo descarga y ejecuta automáticamente explotando la vulnerabilidad del marco oculto sin parche. IE después de hacer clic en el enlace. También lanzará el troyano Legend, que intentará robar las contraseñas de Legend y otros juegos y enviarlas al buzón designado. Sus características principales son las siguientes:

1. A. Se instala en %Temp%, con el nombre de archivo "main.exe"

B. Copia varias copias del virus; a %System %, los nombres de los archivos son: "SYSTARY.EXE", "sysnot.exe", "Updater.exe"

C. Libere otro troyano legendario a %System%, llamado "INTRENAT . EXE", "mm.exe", "WinSocks.dll", y se copia otra copia a %SystemRoot%, denominada: "intrenat.exe";

2. La clave principal en el registro:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

Agregue el siguiente valor clave: "Intrenat"="%SystemRoot%intrenat.exe"

p>

Agregue el siguiente valor de clave en la clave principal del registro:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunSerives

="%SystemRoot%intrenat.exe"

"actualización de Windows"="%System%\\updater.exe"

3. En la sección "System.ini" [arranque] : shell=Explorer.exe %System%systary.exe

4. Modifique la asociación del archivo .txt - la clave principal en el registro:

HKEY_CLASS_ROOT\\txtfile \\ shell\\open\\command

Modifique el siguiente valor clave: "Default="%System%SYSNOT.EXE "%1"

5. El troyano lanzado intentará robar contraseñas para juegos como Legend y enviarlos al buzón designado

Método de eliminación manual:

1 Ingrese al modo seguro o finalice el proceso del virus: Windows 95/98/Me: reinicie la computadora. y entrar en modo seguro.

Windows NT/2000/XP/2003: abra el administrador de procesos, busque el proceso llamado "intrenat.exe" y finalícelo (puede haber otros programas sospechosos que también deben eliminarse. Si no está seguro de qué programas son sospechosos, finalice todos los programas que no estén incluidos en el sistema (porque muchos troyanos tienen dos programas en la computadora y se ejecutan automáticamente cada vez).

2. Eliminación completa de virus. Hay tres cosas a las que prestar atención al matar virus. Primero, debes desconectarte de Internet para eliminar los virus, lo que significa no conectarte a Internet.

En segundo lugar, elimine todos los discos duros, no sólo el disco C. En tercer lugar, debe utilizar una herramienta especial para eliminar la serie de troyanos win32.troj.

3. Limpiar el registro:

Abra el registro (regedit) y busque las claves principales HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run y

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Runservice

Compruebe si hay claves sospechosas debajo de estas dos claves. Si lo hay, elimínelo.

Si no se encuentran puntos sospechosos en el registro, o no desea limpiar el registro, puede ejecutar msconfig, ingresar y hacer clic en Inicio, y cerrar todos los archivos durante el inicio (es decir, eliminar todos los marcas entre paréntesis). En este punto, el sistema le pedirá que reinicie nuevamente, haga clic en Aceptar. Luego reinicie la computadora. ¡Todo está bien!

3. Eliminar archivos de virus: Elimina archivos generados por virus en el directorio correspondiente.

Recordatorio especial:

1. Asegúrese de eliminar todos los programas sospechosos. De lo contrario, si abre algunos programas en el futuro, el virus puede atacar nuevamente, dependiendo de la computadora personal.

2. No haga clic en enlaces desconocidos en QQ fácilmente. Aplique el último parche para IE e instale software a prueba de fuego para correos electrónicos.

3. Si los métodos anteriores están agotados y el virus aún resiste obstinadamente, formatee el disco duro.

4. En caso de que no quieras calificar, también puedes hacer esto: instalar otro sistema directamente en tu disco que no sea del sistema (por ejemplo, instalar WIN98 en el disco D). Una vez completada la instalación, reinicie e ingrese al nuevo sistema (este nuevo sistema no necesita instalar ningún controlador ni software, por lo que será muy simple y rápido de instalar en este nuevo sistema, use software antivirus para combatir). -virus el disco de su sistema (es decir, en D Verifique y elimine la unidad C cuando se inicie la unidad). Una vez completado el antivirus, use la unidad C para iniciar y desinstalar el sistema recién instalado (pero esto parece ser más problemático que formatear).

------------------------------------------- ----- ---------------------------------------------

1. Vaya a buscarlo primero. El sistema está configurado para "Mostrar archivos ocultos" porque el virus está disfrazado de atributo oculto. No podrá verlo sin esta configuración. es el siguiente (si el sistema ya ha realizado esta configuración, puede omitir este paso):

Abra "Mi PC"

Abra el menú "Herramientas/Opciones de carpeta"; gire;

Luego cambie a "Ver" en la página del cuadro de diálogo emergente "Opciones de carpeta";

Desmarque "Ocultar archivos protegidos del sistema operativo (recomendado)" y déjelo. sin marcar;

En "Configuración avanzada", cambie la opción "No mostrar archivos y carpetas ocultos" en el cuadro de lista a la opción "Mostrar todos los archivos y carpetas"

Elimine la opción; marque "Ocultar extensiones para tipos de archivos conocidos" y déjelo sin seleccionar.

Finalmente haga clic en "Aceptar".

2. Abra "Inicio/Ejecutar", ingrese "regedit" y luego "Aceptar" para abrir el editor de registro, ingrese la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, en la columna de la derecha. busque un valor llamado ";Rundll". Si lo encuentra, haga doble clic para abrirlo. Verifique y escriba el nombre del archivo y la ruta indicados en "Datos del valor", generalmente "C:\WINNT\System32\XXXX.exe". " (pero no es fijo, cambiará según el entorno específico). Tenga en cuenta que "XXXX.exe" representa un valor arbitrario, que no es fijo, en lugar de 4 X, por lo que debe recordar esto claramente en este momento. Escriba el nombre del archivo representado por "XXXX.exe" y luego elimine el valor ";Rundll" del registro

3. Presione las teclas "Ctrl+Alt+Supr" para que aparezca la tarea. Manager. Busque el proceso de "XXXX.exe" indicado en el segundo paso anterior (tenga en cuenta que XXXX.exe aquí es el nombre específico y no las cuatro X). Después de encontrar el mismo proceso, selecciónelo y haga clic en "Finalizar proceso" para finalizar el proceso troyano;

Abra el administrador de recursos e ingrese "Directorio del sistema\Winnt\System32" (si es win2000/If). nt/xp está instalado en la unidad C, es C:\Winnt\System32). Busque los archivos XXXX.exe y XXXX.dll y elimínelos directamente (por supuesto, XXXX aquí todavía no representa las cuatro X, sino el nombre específico si durante el proceso de eliminación se descubre que XXXX.dll no se puede eliminar); , pero si informa "El archivo está en uso y no se puede eliminar", puede cerrar sesión o reiniciar la computadora y luego seguir este método para encontrarlo y eliminarlo.

En este punto, si todo va bien deberías poder eliminar este troyano.