请教高手查杀 Keyloqqer.Trojan

以下所有方法均需在安全模式下进行（开机按F8进入安全模式）

方法一:

杀毒软件提示重启后删除，无法删除

现象：杀软会提示重启后删除，结果重启后还存在。
Keyloqqer.Trojan的清除方法

对于删除病毒后开机或重起时提示找不到着个文件时，可以在开始－运行中输入regedit打开注册表。
按F3搜索找不到的文件，在注册表中删除其键值

查杀办法：

使用置顶360粉碎工具或用unlocke删除相应文件
下载地址
http://bbs.360safe.com/attachment.php?aid=6827

QUOTE:
1、安装unlocker （安装完unlocker软件后会在右键菜单上自动生成一个unlocker的菜单项）
2、找到你要删除的文件，点右键，在右键菜单中选择unlocker选项。然后会弹出一个unlocker程序的界面。
3、如果你要删除的文件被进程调用，那么在界面中会看到调用的进程，选中这些进程，然后点unlocker键（在右下方的键中，好象是这个名字）。点击后，你会看到进程被杀掉了（即窗口中进程框中没有进程了）。
4、然后点击左下方的下拉选择框，选中delete选项，再点击unlocker键，文件就会被删除。

如果还会出现，说明电脑中的病毒并非就此一两个文件
（1）采用360安全卫士对电脑进行查杀及修复，以便清除此木马病毒自动下载的流氓插件。然后断开网络，进入到注册表中把关于此木马病毒的核心模块名字的各个项目清除，这样做可避免在清除过程中此木马病毒在后台下载另外的木马。
（2）进入安全模式下用杀毒软件进行全盘杀毒。要断开网络

方法二：

先找到Keyloqqer.Trojan感染的文件（杀毒软件可以找到路径）然后用XDELBOX删除。使用方法及下载地址如下：http://post.baidu.com/f?kz=158203765
删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作，删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关XDelBox的详细说明请看xdelbox1.3目录下help.chm

注意：杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。

关闭QQ等应用程序。进行如下操作前，请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。
重启计算机后，用工具 SREng 修复所有错误
下载及其使用方法看下面的链接【有图解】，看懂再下手操作！
http://post.baidu.com/f?kz=247766512

最后用 下文推荐的工具清理（WINDOWS清理助手或者、360安全、金山清理助手均可） 把能检测到的全选后点清理（删除）参考
http://post.baidu.com/f?kz=149133630

如果还不行，用sreng扫描日志发到[email protected]

建议你安全模式下使用专业的杀毒软件最新版进行全盘杀毒

卡巴斯基反病毒软件 (KAV) V6.0.2.621 简体中文单机版：
http://www4.skycn.com/soft/22713.html#download
本人已经用过，真的很好用的。
欢迎来到篮球帝国：http://hi.baidu.com/gggglqwqt

参考资料：http://hi.baidu.com/gggglqwqt
以下所有方法均需在安全模式下进行（开机按F8进入安全模式）

方法一:

杀毒软件提示重启后删除，无法删除

现象：杀软会提示重启后删除，结果重启后还存在。
Keyloqqer.Trojan的清除方法

对于删除病毒后开机或重起时提示找不到着个文件时，可以在开始－运行中输入regedit打开注册表。
按F3搜索找不到的文件，在注册表中删除其键值

查杀办法：

使用置顶360粉碎工具或用unlocke删除相应文件
下载地址
http://bbs.360safe.com/attachment.php?aid=6827

QUOTE:
1、安装unlocker （安装完unlocker软件后会在右键菜单上自动生成一个unlocker的菜单项）
2、找到你要删除的文件，点右键，在右键菜单中选择unlocker选项。然后会弹出一个unlocker程序的界面。
3、如果你要删除的文件被进程调用，那么在界面中会看到调用的进程，选中这些进程，然后点unlocker键（在右下方的键中，好象是这个名字）。点击后，你会看到进程被杀掉了（即窗口中进程框中没有进程了）。
4、然后点击左下方的下拉选择框，选中delete选项，再点击unlocker键，文件就会被删除。

如果还会出现，说明电脑中的病毒并非就此一两个文件
（1）采用360安全卫士对电脑进行查杀及修复，以便清除此木马病毒自动下载的流氓插件。然后断开网络，进入到注册表中把关于此木马病毒的核心模块名字的各个项目清除，这样做可避免在清除过程中此木马病毒在后台下载另外的木马。
（2）进入安全模式下用杀毒软件进行全盘杀毒。要断开网络

方法二：

先找到Keyloqqer.Trojan感染的文件（杀毒软件可以找到路径）然后用XDELBOX删除。使用方法及下载地址如下：http://post.baidu.com/f?kz=158203765
删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作，删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关XDelBox的详细说明请看xdelbox1.3目录下help.chm

注意：杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。

关闭QQ等应用程序。进行如下操作前，请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。
重启计算机后，用工具 SREng 修复所有错误
下载及其使用方法看下面的链接【有图解】，看懂再下手操作！
http://post.baidu.com/f?kz=247766512

最后用 下文推荐的工具清理（WINDOWS清理助手或者、360安全、金山清理助手均可） 把能检测到的全选后点清理（删除）参考
http://post.baidu.com/f?kz=149133630

如果还不行，用sreng扫描日志发到[email protected]

不能添加到收信任区域！Keyloqqer.Trojan是木马间谍，这是一种更新、更隐蔽的方法。通过修改虚拟设备驱动程序(VXD)或修改动态遵掇库 (DLL)来加载木马。这种方法与一般方法不同，它基本上摆脱了原有的木马模式---监听端口，而采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，(viruspe.com)并对所有的函数调用进行过滤。对于常用的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些相应的操作。实际上。这样的事先约定好的特种情况，DLL会执行一般只是使用DLL进行监听，一旦发现控制端的请求就激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的方法监测不到它。在往常运行时，木马几乎没有任何瘫状，且木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作。

解决办法1
你要是还行的电脑就改注册表，开注册表就不说了，然后找出这三个下所有以“run”开头的键值
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下

解决办法2
再不行安全模式进去删了病毒文件和关联的
恩，可以该属性这个懂吧：后缀的
还有DLL删不掉时剪切移动下再试
最后用DEL命令去去看
不知道你是DLL还是VXD
卡吧有反应也没删掉嘛
可以的嘛这木马

解决办法3：-viruspe.com
还有个办法删不掉时用EWIDO那个升级或HUNTER的
你也别找HUNTER的破解版中文版了直接试用
再第一遍都升级后关了重开在安全模式下弄更好
最后和哇卡卡你重装吧保证行嘿嘿(MS废话)

Keyloqqer.Trojan是木马间谍，这是一种更新、更隐蔽的方法。通过修改虚拟设备驱动程序(VXD)或修改动态遵掇库 (DLL)来加载木马。这种方法与一般方法不同，它基本上摆脱了原有的木马模式---监听端口，而采用替代系统功能的方法(改写vxd或DLL文件)，木马会将修改后的DLL替换系统已知的DLL，(viruspe.com)并对所有的函数调用进行过滤。对于常用的调用，使用函数转发器直接转发给被替换的系统DLL，对于一些相应的操作。实际上。这样的事先约定好的特种情况，DLL会执行一般只是使用DLL进行监听，一旦发现控制端的请求就激活自身，绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的方法监测不到它。在往常运行时，木马几乎没有任何瘫状，且木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作。

求救查杀办法。

现在的hips软件都有系统文件比对功能，也就是记住了系统文件的校验码，如果出现替换操作一个是会被拦截，另外就是无法通过校验。

我前一段时间好像也遇到了这类木马，特征就是文件属性依照微软的，让我郁闷了好半天。最终搞定。所用工具：autoruns、卡巴6、360安全卫士。