电脑被木马病毒损坏了COMRes.dll文件的问题
“comres.dll”染毒了,需要查杀和重新替换。
1、下载“360顽固木马专杀大全”运行查杀,
http://www.360.cn/killer/360compkill.html
2、下载comres.dll文件,
http://download.360safe.com/comres.dll
,重启(按F8)进入安全模式,把comres.dll文件然后复制到
\window\system32
目录,重启完成。
3、开始运行输入regsvr32
comres.dll然后确定,如果显示无法加载的话,就重启电脑就可以了。
dll文件的作用和dll木马的原理及使用
DLL木马的实现原理是编程者在DLL中包含木马程序代码,随后在目标主机中选择特定目标进程,以某种方式强行指定该进程调用包含木马程序的DLL,最终达到侵袭目标系统的目的。
正是DLL程序自身的特点决定了以这种形式加载木马不仅可行,而且具有良好的隐藏性:
(1)DLL程序被映射到宿主进程的地址空间中,它能够共享宿主进程的资源,并根据宿主进程在目标主机的级别非法访问相应的系统资源;
(2)DLL程序没有独立的进程地址空间,从而可以避免在目标主机中留下"蛛丝马迹",达到隐蔽自身的目的。
DLL木马实现了"真隐藏",我们在任务管理器中看不到木马"进程",它完全溶进了系统的内核。与"真隐藏"对应的是"假隐藏","假隐藏"木马把自己注册成为一个服务。虽然在任务管理器中也看不到这个进程,但是"假隐藏"木马本质上还具备独立的进程空间。"假隐藏"只适用于Windows9x的系统,对于基于WINNT的操作系统,通过服务管理器,我们可以发现系统中注册过的服务。
DLL木马注入其它进程的方法为远程线程插入。
远程线程插入技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。将木马程序以DLL的形式实现后,需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间,即利用该线程通过调用Windows API LoadLibrary函数来加载木马DLL,从而实现木马对系统的侵害。
DLL木马注入程序
这里涉及到一个非常重要的Windows API――CreateRemoteThread。与之相比,我们所习惯使用的CreateThread API函数只能在进程自身内部产生一个新的线程,而且被创建的新线程与主线程共享地址空间和其他资源。而CreateRemoteThread则不同,它可以在另外的进程中产生线程!CreateRemoteThread有如下特点:
(1)CreateRemoteThread较CreateThread多一个参数hProcess,该参数用于指定要创建线程的远程进程,其函数原型为:
HANDLE CreateRemoteThread(
HANDLE hProcess, //远程进程句柄
LPSECURITY_ATTRIBUTES lpThreadAttributes,
SIZE_T dwStackSize,
LPTHREAD_START_ROUTINE lpStartAddress,
LPVOID lpParameter,
DWORD dwCreationFlags,
LPDWORD lpThreadId
);
(2)线程函数的代码不能位于我们用来注入DLL木马的进程所在的地址空间中。也就是说,我们不能想当然地自己写一个函数,并把这个函数作为远程线程的入口函数;
(3)不能把本进程的指针作为CreateRemoteThread的参数,因为本进程的内存空间与远程进程的不一样。
(4)利用Windows API VirtualAllocEx函数在远程线程的VM中分配DLL完整路径宽字符所需的存储空间,并利用Windows API WriteProcessMemory函数将完整路径写入该存储空间;
(5)利用Windows API GetProcAddress取得Kernel32模块中LoadLibraryW函数的地址,这个函数将作为随后将启动的远程线程的入口函数;
(6)利用Windows API CreateRemoteThread启动远程线程,将LoadLibraryW的地址作为远程线程的入口函数地址,将宿主进程里被分配空间中存储的完整DLL路径作为线程入口函数的参数以另其启动指定的DLL;
(7)清理现场。
DLL木马的防治
从DLL木马的原理和一个简单的DLL木马程序中我们学到了DLL木马的工作方式,这可以帮助我们更好地理解DLL木马病毒的防治手段。
一般的木马被植入后要打开一网络端口与攻击程序通信,所以防火墙是抵御木马攻击的最好方法。防火墙可以进行数据包过滤检查,我们可以让防火墙对通讯端口进行限制,只允许系统接受几个特定端口的数据请求。这样,即使木马植入成功,攻击者也无法进入到受侵系统,防火墙把攻击者和木马分隔开来了。
对于DLL木马,一种简单的观察方法也许可以帮助用户发现之。我们查看运行进程所依赖的DLL,如果其中有一些莫名其妙的DLL,则可以断言这个进程是宿主进程,系统被植入了DLL木马。"道高一尺,魔高一丈",现如今,DLL木马也发展到了更高的境界,它们看起来也不再"莫名其妙"。在最新的一些木马里面,开始采用了先进的DLL陷阱技术,编程者用特洛伊DLL替换已知的系统DLL。特洛伊DLL对所有的函数调用进行过滤,对于正常的调用,使用函数转发器直接转发给被替换的系统DLL;对于一些事先约定好的特殊情况,DLL会执行一些相应的操作。
COMRes.dll有木马病毒,我删除不掉,怎么办啊
呵呵,刚刚我把这个病毒删掉!我找了一下午方法都不管用,从别人电脑中复制此目录下的comres.dll至你的电脑
这个方法也不能用!他会提示你无法替换的!
comres.dll病毒我清除了一下午!我的电脑比较可怜,因为个别原因进不了安全模式,所以只有在正常模式下删除了!但是病毒会开机加载,所以你必须取消开机加载。我用的是ESET!这个不停的报病毒,但是无法删除!可怜进不了安全模式~
切记!断网!
首先:开始-运行-msconfig-启动-找到哪个是乱码的把前面的对号去掉,如果没有,就用360查一下!(一般会查到的)再启动重新查!
然后从新启动,他会提示你找不到%……%(乱玛)这时,再查,又会发现有病毒,删除后再查,还会有一个!
360多查几遍!
如果你可以进入安全模式查就好查了!
这个是系统内存病毒!360查比较好!其他专业的不大相信!
因为我用ESET,巡警,查了,都查的到删除不了!
自己打的!不是复制别人的!
MSIMG32.DLL是什么木马病毒,如何清除!
这是一个盗号木马导致,其感染 Drix的相关文件并加载起来,一旦杀毒软件删除被感染的文件,就会导致相关组件缺失,游戏及浏览器等常用软件运行不起来。此时如果用户自行下载一个版本不对的文件手工修复是不太安全的,最好使用权威安全软件修复此问题。建议下载最新版的360系统急救箱恢复丢失的DLL文件,打开程序,点击开始急救等出现“引擎初始化完成”字样后点击“恢复丢失的DLL文件”,立即修复即可!也可以手动添加进行修复。
木马病毒里的dll文件怎么引发的?
由于直接使用一些命令,返回的数据可能会有所丢失,导致病毒不能正常发作,因此,很多病毒选择了建立数据库文件(dll文件),来帮助储存数据。
病毒木马在执行操作之前,会首先将获取的数据储存在数据库文件中,再将操作日志储存在数据库中。需要数据时,病毒木马将会直接调用数据库中的数据进行操作。
因此,如果在关键位置发现了可疑的dll文件,建议直接进行杀毒,防止病毒利用该文件进行破坏。
木马病毒 C:windowssystem32sfc-os.dll,怎么也删不掉,怎么办啊 ?
给你几种方法:
1.下载个“360急救箱”原名:“360顽固木马专杀”,急救系统!
2。用“360安全卫士”的“扫描插件”,然后再“清理插件”,把它删除!
3。再用“360杀毒双引擎版”,“全盘扫描”,病毒木马,再点删除!
4。重启电脑后,来到“隔离区”,点“彻底删除”!
电脑里怎么多了很多.dll的木马病毒
您好:
建议您安装瑞星杀毒软件V16版本升级到最新病毒库后,重启计算机按F8键选择安全模式,进行全盘病毒扫描查杀,之后使用瑞星安全助手进行电脑修复,下载地址:http://pc.rising.com.cn/
如何分析DLL木马病毒
你好建议你安装360安全卫士,用它扫描一下,是木马 它会提示你处理的,目前360安全卫士的木马查杀功能比较强,它运用云安全技术,在拦截和查杀木马的效果、速度以及专业性上表现出色,能有效防止个人数据和隐私被木马窃取,被誉为“防范和查杀木马的第一选择”。