常见病毒清理办法
接下几天,我会每天更新常见病毒的清理办法,希望对菜区的朋友有用。[size=5][b][size=6]删除 msifr80.exe msime80.exe sal.xls.exe 杀毒[/size]
[/b][size=3]中毒原因分析:
1.可能由带有病毒U盘,移动硬盘(双击,感染病毒U盘自动运行隐藏autorn.inf,自动运行sal.xls.exe),导[/size]
[b]致电脑每个驱动盘根目录下都有sal.xls.exe(双击自动运行autorn.inf).
解决方法:[/b]
[b]1.Alt+shift+Del调出任务管理器,结束alg.xls.exe msfir80.exe msime80.exe这三个进程[/b]
[b]2.删除注册表里的所有有关 msfir80.exe sal.xls.exe 的字眼。搜索以上关键字就可找到所有的数据[/b]
[b]项,直接删除即可。[/b]
[b]3.到c:\windows\system32 下面删除以下exe文档
algssl.exe
msfir80.exe
msime80.exe[/b]
[b]3、删除每个盘符根目录上的两个隐藏文档
AUTOINF.EXE
sal.xls.exe[/b]
[b]这个时候如果你没有办法通过工具-文件夹选项-查看里选显示隐藏文件
那么你可以试着在注册表中修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
explorer\Advanced\Folder\Hidden\
其下的两个键NOHIDDEN、SHOWALL的键值都改为1[/b]
[b]还有更简单的方法,你可以用winrar打开磁盘的根目录,将这两个文件删除[/b]
[b]更新杀毒软件,可以很轻松查杀掉.[/b]
[/size] 清除tfidma.exe severe.exe sos.exe 病毒
状况:
进程发现tfidma.exe,severe.exe都位于system32下
禁止反病毒软件
修改系统时间到2004年
禁止运行注册表
结束进程后继续运行
这种病毒很厉害,当它存在于进程中的时候,它将关闭各类杀毒软件,还使得一些正常的系统优化软件不能正常运行。如果你不断的用任务管理器关闭它,它将每一秒启动一次自己,让你的系统资源耗尽,最后死机。(比较麻烦的病毒)
删除方法: (推荐使用Autoruns)
在system32中找到regedit.EXE,然后改名字为 regedit1.EXE或其他名字。运行regedit1.EXE,可以进入注册表 ,然后再windows\current version\run 中找到病毒的位置,将它去掉 ,然后再到各个盘中去删除以上所说的各个病毒。
如果不能显示隐藏文件,那么可以到注册表中把健值 改过来,把注册表里的HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
Hidden\SHOWALL 下 CheckedValue这个值给改了 应该为1
CheckedValue应该为双字节值,中毒以后会被改掉,所以你只要把这个删了重行建一个双字节的CheckedValue,把值改为1就OK。
杀毒软件和一些安全工具不能运行其实是给映像劫持了,运行杀毒软件和安全工具其实是运行病毒文件C:\WINDOWS\system32\tfidma.exe。像KAP,瑞星,360,冰刃都在劫持之列。但可以进入Autoruns的“映照劫持”项把劫持的项删除了,再运行杀毒软件就行(还不运行就进安全模式运行)。最好先把系统日期改回来,把杀毒软件升级到最新。我是用卡巴的,最新的卡巴能够完全消灭病毒!杀毒软件的升级程序也被劫持,所以也要用Autoruns把劫持的项删除了。杀完把注册表启动项清理下就OK了。。
(如果Autoruns能用就不用考虑下面的问题)
(二)
重新启动,然后在开机是进入DOS,可以用光盘或者虚拟软盘引导,然后输入命令 (以下部分我没试过,不知道可行否?)
cd c:\windows或winnt\system32 ( 进入到c盘的系统目录)
attrib -s -h c:\windows\system32\tfidma.exe (把tfidma.exe的系统和隐藏属性去掉)
attrib -s -h c:\windows\system32\severe.exe (把severe.exe的系统和隐藏属性去掉)
del c:\windows\system32\tfidma.exe
del c:\windoiws\system32\severe.exe (删除这两个文件)
md tfidma.exe md severe.exe (建立两个文件夹,文件夹的名称和病毒的名称一样,这样这种病毒就不会自动复制到这个文件夹了 )
[url]http://www.soft2cn.com/ddn/r/HA_Autoruns8.61_LRH.rar[/url] (Autoruns) svohost.exe木马病毒的彻底查杀方法
方法一:
病毒的删除
1.打开CMD.输入命令tasklist回车查看一下..果然发现了这个进程:svohost.exe(虽然他禁用了任务管理器,但在CMD下用tasklist命令还是可以查看到进程信息的)
2.关了他.输入命令taskkill /f /im svohost.exe
提示成功.
3.搜索svohost.exe这个文件(把搜索隐藏文件也勾上)搜索到后删除!似乎有两个.一个是完全大写的.一个是完全小写的.事实上还有一个程序叫lsasa.exe的也得删除.他模仿的是WINDOWS的正常进程lsass.exe.操作到这里大家应该可以打开注册表 任务管理器了但是 请马上去这个地址下载这2个工具
txt.reg 3.9KB 恢复TXT文件关联
exefiles.rar 1.4KB 恢复EXE文件关联
备注 部分会员出现结束进程后病毒 暂时失效 但是重起后死灰复燃 请注意在造作成功后 马上利用自己的杀毒工具 或者 QQ专杀进行杀毒 因为这个时候病毒的壳被去掉了 我们可以抓住这个时机做下杀毒
4.本以为没问题了.后来还发现一个问题.他还修改了注册表的一处,使文件夹选项中对隐藏文件的设置始终为不显示隐藏文件,这么做的主要目的在于让你在WINDOWS环境下找不到被设定隐藏属性的病毒源文件.但这里还有几种手段可以找到他.1.用WINDOWS的搜索.只要在高级选项里把搜索隐藏的文件和文件夹勾上就可以找到了.2.在命令提示符里用dir /a命令也可以查看到.麻烦一点罢了.由于WINDOWS和SYSTEM32目录下文件太多.用dir命令的时候.最好再加一个参数.dir /a /p这样会更好.
我们到注册表里去把他改回正常状态.
打开注册表.找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL这个键.看右边.找到一个CheckedValue的值.我注意到这个该死的病毒居然把他改成了字符串值.如果你不小心的话.也许会认为改了也没用.把这个值删除.重建一个DWORD的值为CheckedValue.把他的值设为1.
方法二:
瑞星已出了专杀工具,不幸中此病毒的朋友可以去下面地址,下载“橙色八月专用提取清除工具”
[url]http://it.rising.com.cn/Channels[/url] ... 4786729d36873.shtml
引用
说明:
8月初出现了大量针对主流杀毒软件编写的恶性病毒。它们除了具有常见危害外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。
瑞星“橙色八月专用提取清除工具”专门针对此类病毒编写,可清除“QQ通行证(Trojan.PSW.QQPass)”、“传奇终结者(Trojan.PSW.Lmir)”、“密西木马(Trojan.psw.misc)”等病毒及其变种。没有安装瑞星杀毒软件的用户可免费下载使用。
注:建议您重新启动计算机,按住F8键,选择“安全模式”,进入后使用此工具杀毒。
附:病毒列表上的病毒主要针对以下安全软件
卡巴斯基
Symantec AntiVirus
瑞星
江民杀毒软件
天网防火墙个人版
噬菌体
木马克星
金山毒霸 如何清除shualai.exe病毒
病毒分析:
这是个利用ANI漏洞传播的木马群,其“动态插入进程”的功能是导致中招后杀毒困难的原因之一。
另:中招后,系统分区以外的.exe全被感染。这也是中此毒后的麻烦之处。
中招后的“症状”:进程列表中可见shualai.exe进程。
建议:用SRENG扫份日志保存,以便弄清基本情况,便于后面的手工杀毒操作。
手工查杀流程如下(用IceSword操作):
顽固文件杀灭工具-冰刃Icesword(3月30日增加冰刃使用教程) [url]http://www.91kb.cn/read-htm-tid-81.html[/url]
1、禁止进程创建。
2、根据SRENG日志,先结束病毒进程shualai.exe以及所有被病毒模块插入的进程(病毒插入了哪些进程,取决于你当时运行的程序。以下是我运行该样本后的例子。)
[PID: 484][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]
[C:\windows\system32\cmdbcs.dll] [N/A, N/A]
[PID: 2252][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]
[PID: 3880][C:\WINDOWS\system32\shadow\ShadowTip.exe] [PowerShadow, 1, 0, 0, 1]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]
[PID: 2760][C:\Program Files\SREng2\SREng.exe] [Smallfrogs Studio, 2.3.13.690]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy1.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Gjzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Rav30.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\fyzo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\Msxo0.dll] [N/A, N/A]
[C:\DOCUME~1\baohelin\LOCALS~1\Temp\LgSy0.dll] [N/A, N/A]
[PID: 2548][C:\windows\shualai.exe] [N/A, N/A]
3、删除病毒文件(图1);清空IE临时文件夹。
4、删除病毒启动项(图2)。
5、取消IceSword的“禁止进程创建”。
6、修复hosts文件。
注:系统分区以外的那些被病毒感染的.exe——估计是没救了 常见可疑DLL文件汇总
很多时候我们就是被那该死的DLL文件搞得头晕眼花,包括俺。不知道什么是病毒,流氓软件的DLL文件,相信看了这片文章之后能够清楚了解到DLL文件的真面目,在绞杀病毒和流氓软件的时候能够更加的得心应手。
DLL文件的基本概念
【走进中关村消息 记者:海洋】稍微了解操作系统知识的朋友都知道,DLL是windows系统赖以运行的一类重要文件,如果系统缺少了DLL文件的话,轻的系统运行不稳定,部分功能不能用,重的根本不能运行。
DLL文件英文Dynamic Link Library的缩写,DLL的中文意思是动态链接库。DLL是一个作为共享函数库的可执行文件,它使进程可以调用不属于本身可执行代码中的函数。函数的可执行代码位于一个独立的动态链接库文件中,这样可以节省内存和磁盘的存储空间,同时使程序更易于升级。
来个例子:我们编写了A,B,C,D这4个程序,每种程序执行一种操作。为了使用方便,我们将它们集成在一个叫E.DLL文件中,使用中只需要调用这个E.DLL文件即可,省时省力。很多程序都有自己的DLL文件,而WINDOWS系统也提供了很多DLL文件当公共文件使用,这些系统提供的DLL文件可非同小可,它们包含了很多重要的功能,如果系统没了它们就完蛋了。
遗憾的是,DLL文件系统用起来方便,但病毒用起来也很顺手,很多流氓软件和病毒都是透过DLL文件作恶的。这里,我们这里为大家介绍一些常见可疑DLL文件,大家可以来参考。
常见可疑DLL文件清单1
请注意,以下列出的文件请您务必进行进一步的操作。建议您使用升级的杀毒软件进行检查。
CnsHook.dll 文件描述: CnsHook.dll是网络实名客户端相关文件,用于Hook地址栏消息。
所属软件: 3721实名上网
清除方法: 使用置顶的流氓软件清除工具进行清除
■SPTED.dll 文件描述: 这是一个PE木马病毒,目前还不清楚是装设了什么软件后带来的 清除方法: 进入安全模式后删除。
■IRJIT.dll 文件描述: 这个是 9991.com 上带的一个流氓软件 装设了QQ多多表情后,就会自动装上这个软件,请大家注意 现在多家杀毒软件都将此文件定义成病毒 清除方法: 使用F8进入安全模式后,进行删除
■update.exe 文件描述: 这个是 9991.com 上的一个流氓软件 经常出现的目录是 C:\Program Files\Common Files\UPDATE\ 清除方法: 使用F8进入安全模式后,进行删除
■wc98pp.dll 文件描述: 网络协议处理器 - 电子书编译工具Web Compiler相关。 wc98pp.dll文件本身并没有影响,很多计算机上都有此文件,但是当explorer.exe出错的时候,删除此文件可以解决问题,然后从注册表中搜索相关键值 删除。 usign.dll,有人提到这个文件与wc98pp.dll两个文件类似,删除这两个文件可以清除IE中不断跳出小广告。
■stdup.dll 文件描述: 超级无聊恶毒的广告插件 很难彻底删除
1:进入安全模式 2:删除系统里所有的stdup.dll 3:注册表搜索stdup.dll,全删除之
除了stdup.dll外,还有一个类似叫做stdsver.dll,也要一并删除。
日tnnd,透过rundll32.exe偷偷在后台加载!
另外注意是否有一个target.dll,也是一个流氓插件。
■res.exe 描述: Downloader.win32.Sma (木马病毒 ) 该病毒修改注册表实现自启动,用于下载其它病毒或修改主页为9991.com等,并可能造成计算机关机缓慢,甚至无法正常关机。
■yasbar.dll 文件描述: 这个因为装设了雅虎工具条后产生的文件。属于流氓软件了,强烈建议使用置顶的流氓软件清除工具清除。
■BDSrHook.dll 文件描述: 这个是因为装设了百度的插件后产生的文件, 也属于流氓软件, 因为系统中有一个 bdguard.sys在保护这个文件, 所以用普通的方法很难删除掉这个文件, 强烈建议使用置顶的流氓软件清除工具清除
■cdnns.dll 文件描述: 装设了3721中文上网后就会有这个垃圾文件, 属于流氓软件, 经常发现上网会不成功,最终查到是因为这个文件导致的。 强烈建议使用置顶的流氓软件清除工具清除
■advsc.dll 文件描述: advsc.dll是Adware.Win32.Newweb.c木马相关文件,建议删除。
■HelperService.dll 文件描述: HelperService.dll是Adware.Win32.Delf.g木马相关文件,建议删除。
■cdnup.exe 文件描述: cdnup.exe是中国互联网信息中心CNNIC出品的中文网域名称及中文邮件客户端,建议到添加/删除程序中删除。
■hbhelper.dll 文件描述: hbhelper.dll是很棒小秘书广告软件相关文件,该软件随一些软件捆绑,建议立即删除。
■lup.dll 文件描述: lup.dll是广告程序的文件,建议使用反间谍软件进行扫描或将其删除。
■miniserver.exe 程序名称: QQ视频木马或Trojan-Downloader.Win32.Delf.ca 程序用途: 木马病毒 用于窃密 32位的Windows病毒,可以在所有32位的Windows平台上进行感染。
■MMSASS~1.dll 文件描述: MMSASS~1.dll是一款广告软件相关程序,建议立即删除。
常见可疑DLL文件清单2
■msdc32.dll 文件描述: msdc32.dll是Trojan-Downloader.Win32.Small.crw木马相关文件,建议立即删除。
■obwbkya.dll 文件描述: obwbkya.dll是一个国内Adware广告软件相关文件,建议立即删除。
■Service.exe 文件描述: 木马病毒,Service.exe用于数十种蠕虫木马病毒,危害各异。大部分以窃取密码为主,恶意攻击者用来实现远程控制。
■usrinit.exe 程序名称: W32.Kedebe.E@mm或W32.Maddis.B 程序用途: 木马病毒 破坏系统、程序 进程分析: 从带有特定附档名的文件中收集邮件地址,向收集到的地址发送自身副本。试图终止带有某些文本的进程并删除相关文件以降低安全设定。向hosts文件增加条目以阻止对一些与安全相关网站的访问。删除一些安全程序的文件。病毒随机打开一个连接埠, 使用HTTP和SOCKS协议代理。病毒还将扫描局域网络,透过网络共享传播
■win32bootcfg.exe 程序名称: Troj_ADWARE.cku 程序用途: 木马病毒 进程分析: 病毒修改注册表实现自启动,启动后运行C:\iexplorer.exe。这是一个用于下载或广告目的木马病毒,可能会在用户上网时下载其它病毒和显示广告。建议立即进行删除。
■winscntrl.exe 文件描述: Backdoor/AimBot蠕虫的最新变种,可以利用多种系统漏洞传播。
■wmpdrm.dll 文件描述: wmpdrm.dll是Trojan.DL.Small.ibr木马相关文件,建议立即删除。
■syssmss.exe 程序名称: QQRobber变种n”(Troj.QQRobber.n) 病毒特征: 这是一个盗取QQ号码和密码的木马病毒。 发作症状: 病毒先释放文件到以下目录:C:\Program Files\Internet Explorer\syssmss.exe,并增加到注册表项,使开机自启动。该病毒透过搜索目前打开的QQ窗口,读取敏感信息,随即把盗取的敏感信息发送到指定邮箱或提交到指定网页,还将关闭大量安全软件,对用户系统安全造成很大的影响。
■cnsminkp.sys 文件描述: cnsminkp.sys是3721网络实名的相关文件。
■vfp02.exe 程序名称: Troj_Backdoor.msService 程序用途: 后门病毒病毒,监听和远程控制。 进程分析: 该病毒修改注册表实现自启动,病毒运行后打开始口,恶意攻击者进行监听和远程控制。
■win.exe 程序名称: W32/Sdbot-QI 程序用途: 蠕虫病毒,包含后门木马,远程控制。 进程分析: 该病毒修改注册表创建系统服务win-xp实现自启动win.exe,同时修改注册表创建系统服务COM+ System 实现自注入病毒模块System Volume Information er.dll,病毒利用计算机网络与利用弱密码共享活页夹传播,包含的后门木马功能,能够让非法入侵者远程控制。病毒会尝试删除网络共享,参予Dos攻击,窃取计算机信息下载和管理档案,并可能窃取密码。
■system.exe 文件描述: system.exe是netcontroller木马病毒产生的文件,出现在c:\windows目录下,建议将其删除。但要系统的system进程区分开来。
■msinfo.exe 文件描述: msinfo.exe是Gator的广告软件。这个进程监视你的浏览习惯,并将相关数据回传到其服务器上用于分析。这个程序也会弹出广告窗口,建议立即删除。
■SVKP.sys 程序名称: W32/Spybot-FB 程序用途: p2p蠕虫病毒,IRC后门木马,远程控制。 进程分析: 该病毒创建SVKP系统服务实现自启动,运行后开启后门连接某IRC服务器,为恶意攻击者提供远程控制。
■KakaTool.dll 文件描述: KakaTool.dll是卡卡安全助手工具条软件相关程序。
■ntdhcp.exe 进程文件: ntdhcp 或者 ntdhcp.exe 进程名称: Trojan-PSW.Win32.QQRob.218 文件描述: ntdhcp.exe是Trojan-PSW.Win32.QQRob.218木马相关程序,建议立即删除。
■pp6.dll DLL 文件: pp6 或者 pp6.dll DLL 名称: Trojan.PWS.Gamania 文件描述: pp6.dll是Trojan.PWS.Gamania木马相关文件,建议立即删除。
■obwbkya.dll 文件描述: obwbkya.dll是一个国内Adware广告软件相关文件,建议立即删除。
常见的系统DLL文件可在此网页查看[url]http://www.2dll.com/[/url] 手工删除Rdriv.sys病毒
前两天,在Symantec系统中心中看到接受我服务器管理的机器日志显示,病毒文件rdriv.sys无法彻底删除。今天查了一些资料,整理后放在这里,需要的时候参考一下。下面的方法还未经证实,请慎重使用。
1.病毒现象
打开“网上邻居”显示“服务器没有设置事务处理”,将文件服务器的工作组改一下,就可以打开工作组了,但是没有10分钟,又出现上述故障!
2.病毒描述
这是一个Rootkit内核木马,它会把自己的进程、在注册表中的键值、创建的文件、创建的服务都隐藏起来,尽量不被受感染机器的用户发现,以便木马长久驻留在受害者机器中。该病毒会窃取用户的系统和个人资料,记录用户的键盘输入后保存在文件rt_passfile.txt中,并会通过该木马泄露出去。同时,该病毒可以接收外界发送的预定义指令,如上传下载文件、运行程序、更新木马和配置文件、设置访问密码、对指定网址发动DDOS攻击等,用户一旦中了该木马就很难清除掉,对用户造成的危害是比较大的。
Rootkit特殊性就在于隐藏了自己的进程,甚至是注册表键值都会隐藏起来看不到。这里说的隐藏是完全式的,打个比方:病毒有两个文件,一个*.exe和*.sys,它们同时运行于内存中,可是反病毒软件却是无论如何查杀内存都找不到病毒,尤其是那个*.exe(但是当这两个病毒文件没有运行时反病毒软件能够在硬盘中找到并清除)
3.查杀方法
建议关闭系统还原、清理缓存文件。重新启动到安全模式,或者用光盘启动,能读硬盘数据就行。
3.1.需要删除的文件
%Windows%\image.exe(带有Rootkit的bot病毒)
%Windows%\extel.exe
%Windows%\edit.exe (本来这是个正常文件,如果同时存在mapi32.exe,则可怀疑被感染)
%Windows%\System32\rdriv.sys(bot病毒所带Rootkit文件)
%Windows%\System32\mapi32.exe
%Windows%\System32\msdirectx.sys
%Windows%\system32\SSMS.EXE
bling.exe
netwmon.exe
wuamgrd.exe
3.2需要删除的服务
到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]里查找是否有与删除文件同名的服务,如果有则删除。
3.3修复网上邻居
如果杀毒后不Windows XP不能访问网上邻居,那么请修复-组策略--Windows设置-安全设置-本地策略--用户权利指派--从网络访问此计算机中加上全部用户。 卤猪病毒盛行!使用电脑要小心!
一个叫“熊猫烧香”的病毒把电脑用户折腾得苦不堪言,在人们心目中,“熊猫”这个国宝似乎不再可爱,却成了人人喊打的过街老鼠。而“熊猫烧香”这场大风却还未完全散去,各种“熊猫烧香”的变种更是表现的异常活跃,近半数的网民深受其害。目前已经有许多用户反映遭遇 “卤猪病毒”(win32.iuhzu.a)这款变种病毒重度感染,眼看此款病毒就要大面积肆虐,挑战互联网的安全。
卤猪病毒(win32.iuhzu.a)和“熊猫烧香”有很多相同的地方,传播方式相同,都利用移动设备以及局域网共享传播,都将病毒的感染性、流行性、选择性、抗反病毒软件性发挥的淋漓尽致,但是这种变毒比“熊猫烧香”危害更大,用户中毒后,病毒会感染电脑上运行的软件,导致系统软件崩溃。
而一些常用的杀毒软件、360卫士、超级兔子等抗杀防御病毒的软件也在所难免,电脑操作系统运行时如老牛拖车,严重时还会出现蓝屏死机、系统崩溃,想修复系统却进不了安全模式,启动项里永远都是杀不完的危险进程,此类病毒杀毒软件厂商还未研究出专杀工具,所以大家一定要做好病毒防御工作,保证系统安全。
对于这个病毒我们要提高警惕,做好防御工作,除了为一个完全干净无毒系统做个备份,还需要做到以下几点:
1.关闭所有默认共享(net share admin$ /del)不要使用任何共享。
2.很多病毒都是利用漏洞传播,所以要及时更新最新补丁,并将补丁备份在移动硬盘中,以防系统中毒后无法上网升级。
3.不接受任何陌生人的邮件、网址、视频等网络文件或信息,如遇好友网络上发送文件,最好使用杀毒软件查杀再打开,以免由于对方电脑已经中毒而感染。
4.使用闪存、移动硬盘、存储卡、MP3等移动存储设备时,要开启杀毒软件实时监控功能。
6.利用专业的杀毒软件和防火墙的功能提高系统安全,及时升级杀毒软件病毒库,有条件的情况下将升级包备份到移动硬盘中。
7.平时不但要将一些常用系统检测修复工具以及木马查杀工具保存在移动硬盘中,还要经常对电脑进行定期检测和修复杀毒。
8.为本机管理员帐号设置较为复杂的密码,预防一些变种病毒通过密码猜测进行传播。
掐断病毒传播途径
在这个病毒的传播途径中,闪存、移动硬盘、存储卡、MP3等移动存储设备是重要传播媒介,如果闪存中感染了此病毒,会在闪存的驱动器里建立多个隐藏的文件,其中会有一个名为autorun.inf的文件,这个文件会为闪存添加一个自动运行的菜单,如果把默认“打开”操作改成关联病毒程序,那么在你双击闪存的时候,就会感染闪存所带的病毒,通常情况下无法看到这些文件就没办法删除,我们可以利用CMD命令来解决这一问题(这种杀毒方法也适用于硬盘驱动器):
1.在用杀毒软件全面查杀过后,大部分移动存储设备中的病毒都可以被杀掉,接下来在计算机中右击移动存储装备,看快捷菜单中的显示,如果有“auto”,则表示移动存储设备还是处于中毒状态。
2.单击“开始→运行”命令,在命令行中输入CMD并“确定”,打开CMD窗口。
3.在命令行模式下,输入移动存储装备盘符名称,比如移动硬盘是K,那就输入K:按回车进入K盘根目录。
4.在命令行下输入attrib按回车,这时在下方列出来文件中看到有一个名为SH autorun.inf的文件(图1)。(attrib指令:用于修改文件的属性。文件的常见属性有只读、存档、隐藏和系统)[attach]60745[/attach]
提示:也可以使用dir/a 这个命令来查看当前目录全部的文件,包括有隐藏属性的,可以用来查看是否有autorun.inf等文件。
5.在命令行中输入“attrib空格-s空格-h空格autorun.inf”,更改autorun.inf文件的隐藏属性,这样利用右键打开移动存储设备,看到在根目录下有一个autorun.inf文件显示出来,将它删除。
最后拔掉硬盘存储设备,当再一次连接的时候自动运行菜单就没有了,同理,其他的病毒程序也可以如此操作。
注意:各种工具的使用、手工查杀与杀毒软件相互配合可以达到最好的效果。
系统中毒后 尽快清除
如果你不幸中了“卤猪病毒”(win32.iuhzu.a)或是类似的变种病毒,可以利用下面的方法进行清除。
初级方法
适用人群:初学者,电脑中没有重要资料
操作难度:★
如果你电脑中没有重要的资料,并且不会使用DOS命令,不会使用杀毒软件,不会手工查杀,那么就只好使用傻瓜级的“杀毒”方法,把硬盘整个都格式化,重新分区(注意在安装系统时一定要断开网络连接)。
这样做的结果就是能完全保证硬盘上的病毒被清除干净,但是硬盘上所有的数据都不见了,对于我们这些使用电脑频繁,硬盘中数据资料较多的人来说,这种方法会毁了辛辛苦苦保存了下来的资料或文档。
进阶方法
适用人群:电脑操作熟悉者,在C盘下没有重要资料
操作难度:★★★
1.在断开网络的安装环境下利用光盘引导将C盘格式化后重新安装系统,安装杀毒软件,然后升级补丁升级病毒库,如果备份有一键Ghost或还原精灵之类的,你要做的就是将系统还原(或重装操作系统)。推荐安装系统后先用360安全卫士先打好系统补丁和做好清理流氓软件的工作。
提示:装完系统后,不要马上打开其他盘符(切记),如果非要打开,就用WinRAR或资源管理器进行查看。
2.重启后进入安全模式,利用杀毒软件再进行查杀,一些杀毒软件杀不掉就按照杀毒软件对应的路径找到后手工删除,手工删除不掉,就先结束进程再删。
高级方法
适用人群:电脑高手,系统中存有重要资料者
操作难度:★★★★★
准备好需要的工具:SREng、Autoruns、修复安全模式.REG、恢复显示隐藏文件.REG(以上工具均可在[url=http://www.cpcw.com/bzsoft][color=#0000ff]http://www.cpcw.com/bzsoft[/color][/url]下载)
SREng:是一款系统诊断配置工具,主要用于发现、发掘潜在的计算机故障和大多数由于计算机病毒造成的破坏。
Autoruns:可查看、删除注册表及Win.ini文件等处的自启动项目。
1.如果安全模式不能进,那么可以利用SREng软件进行修复,下载回来后,运行前先改名(必须改名,不然是无法运行的),打开界面后选择“系统修复→高级修复→自动修复”,再点修复安全模式(图2)。
[attach]60746[/attach]
实际上,用此方法并不能完全修复所有不能进入安全模式的病毒劫持。所以还要利用SREng选择启动项目,删除所有.EXE和.DLL以及相关的项目,之后在“服务”中Win32服务应用程序里,选择隐藏微软已认证的服务,之后删除其他所以的不明服务。
2.运行修复安全模式.REG软件,导入注册表后重启,不出意外的话,此时可以进入安全模式了。重起启动后,进入安全模式,将Autoruns也改名(改名后可以防止因Autoruns被劫持而无法运行的情况),然后再运行,选择映像劫持项目,删除除Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 之外的所有项目!病毒劫持了很多杀毒软件,手工一项一项的删除可能比较辛苦,所以大家可以利用快捷键Ctrl+D和回车进行删除。
3.将系统临时目录比如C:\Documents and Settings\Administrator\Local Settings\Temp下的各个项目都删除。这时候就把病毒库升级到最新,进行杀毒,杀毒软件被其清除的就重装吧。
4.由于病毒的原因,隐藏文件没办法显示,这里我们单击“开始→运行”,输入regedit展开注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL右边的CheckedValue键值设为1,也可以应用“隐藏文件夹的.reg”导入注册表,这样就可以显示隐藏文件了(图3)。
[attach]60747[/attach]在此,我们建议大家先使用360安全卫士打上系统补丁和做好清理流氓软件的工作,然后再用杀毒软件查杀。
[[i] 本帖最后由 小圈 于 2007-11-26 10:51 编辑 [/i]] 教你手工清除向好友发送信息的新QQ尾巴病毒
新QQ尾巴,发诱惑消息迷惑网民,点击消息中的链接,下载运行后就会中招,中毒后会不停向好友发出类似消息。以下是详细分析报告和手工清除办法:
病毒名:Worm.QQTailEKS.ds.36864
传播方式:通过QQ发送消息,并通过自动播放和恶意网页传播。
病毒行为:
1.病毒运行后常驻内存,向系统目录中复制多个副本:
%Windows%\cacom.exe(%windows%一般是c:\windows目录)
%System%\Akica.exe(%system%一般是指c:\windows\system32目录)
在Windows 2000系统,该病毒生成的程序名为sycacom.exe。
2.覆盖系统游戏“纸牌”的程序:
%System%\sol.exe
%System%\drivers\sol.exe(这里正常没有这个sol.exe)
3.向系统分区以外的分区根目录复制自身:
X:\EKS.exe(X为盘符)
4.生成“自动播放”文件:
X:\Autorun.inf:
内容为:
[autorun]
open=EKS.exe
shellexecute=EKS.exe
shell\Auto\command=EKS.exe
shell=Auto
5.修改注册表,创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Akica"="%System%\Akica.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"cacom"="%Windows%\cacom.exe"
6.向QQ好友发送以下附带病毒地址的消息:
看看我的网友,杭州的,皮肤白皙,身材超正,我想让她成为恋人,征求您的建
议, 她的视频 hxxp://2.emeishan-jiudianyuding.cn/<blocked>/v.asp?q=2
还记得小文吗,她现在成了二奶,打扮得火辣性感,开着宝马,是被一个香港人包的;真不敢相信,看
看她博客上的视频您就知道了 hxxp://2.emeishan-jiudianyuding.cn/<blocked>/v.asp?q=1
Hi,快点帮个忙, 打开这个网址,然后随便点击下面的一个链接, hxxp://2.emeishan-
jiudianyuding.cn/<blocked>/v.asp?q=URL-movies.htm 一会在对你说为什么,万分感谢。
我刚发现的 ,超刺激的**电影,速度巨快, 一个月免费, hxxp://2.emeishan-
jiudianyuding.cn/<blocked>/v.asp?q=URL-free-movies.htm
发送消息后尝试关闭聊天对话框,病毒还会访问一些广告页面。
手动清除方法:
1.结束病毒进程
按Ctrl+Alt+Del,启动任务管理器,结束vm1.exe的进程(如果重启过,病毒进程变为akica.exe或cacom.exe)。
2.点开始,运行,输入regedit,启动注册表编辑器,删除以下病毒启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Akica"="%System%\Akica.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"cacom"="%Windows%\cacom.exe"
3.使用杀毒软件或者手工删除病毒文件。
建议立即升级杀毒软件后查杀,如果手边没有最新版本的杀毒软件,可以手工删除以下文件。
%Windows%\cacom.exe,(%windows%通常指c:\windows目录)
%System%\Akica.exe,(%system%通常指c:\windows\system32目录)
%System%\sol.exe
%System%\drivers\sol.exe
4.恢复“纸牌”游戏
病毒替换了“纸牌”游戏,可以从正常的系统COPY这个游戏程序到%system%目录。
5.删除其它分区的病毒文件
使用“资源管理器”,而不是双击访问磁盘,双击会启动自动播放,其它分区仍存在的病毒程序会自动运行,这样的话,前面的工作就白费了。树形文件夹状态进入各分区根目录,删除EKS.exe和Autorun.inf。
6.禁用自动播放防范此类病毒
该病毒仍然通过自动播放传播,强烈建议使用组策略编辑器禁止所有驱动器的自动播放功能。操作步骤为:点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。 使用U盘安全:U盘病毒专杀工具 v6.0 Build 20070602
关键词:U盘病毒 autorun病毒
分析:U盘病毒又称Autorun病毒,是通过AutoRun.inf文件使对方所有的硬盘完全共享或中木马的病毒,随着U盘,移动硬盘,存储卡等移动存储设备的普及,U盘病毒也随之泛滥起来。近日,国家计算机病毒处理中心 发布公告称U盘已成为病毒和恶意木马程序传播的主要途径.面对这一需要,U盘病毒专杀工具USBCleaner应运而生了.USBCleaner是一种纯绿色的辅助杀毒工具,具有检测查杀70余种U盘病毒,U盘病毒广谱扫描,U盘病毒免疫,修复显示隐藏文件及系统文件,安全卸载移动盘盘符等功能,全方位一体化修复杀除U盘病毒.同时USBCleaner能迅速对新出现的U盘病毒进行处理.USBCleaner是你学习,工作,娱乐的好帮手!
官网:[url]http://www.usbcleaner.cn/[/url]
官方下载:[url]http://www.usbcleaner.cn/downloa[/url] ... cleaner20070602.rar 有没有软件了啊 上面不是有吗 好贴 受教 详细啊 看你说得倒好像是回事,实际中却有很多问题的,不怎么样! 不錯不錯,收藏了...........
页:
[1]