教你手动清除各种病毒,吐血推荐
教你手动清除落雪木马[size=14px]中毒症状:
1:系统运行缓慢。
2:右下方任务栏的杀软和防火墙图标消失(被无故关闭)但杀软的右键扫描可用。
3:D盘双击打不开,D盘里面有autorun.inf和pagefile.com两个文件,其中autorun.inf为隐藏属性。
4:打开任务管理器,可以看到有一个当前用户所属的1.EXE在运行,或者是一个当前用户所属的一个大写的WINLOGON.EXE在运行。
5:打开注册表:在运行程序中运行“regedit”,会看到
(1):HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项里有一个Torjan pragramme,这是木马。
(2):HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。
6:exe文件打不开(包括杀软,防火墙)。
7:开机进入系统时会跳出一个警告框,说文件"1"找不到。(由于杀软查杀后,无法对木马更改的注册表项进行修复)。
中毒后对系统的改动:
向C盘释放:(其实都是同一个文件)
c:\windows\winlogon.exe
C:\WINDOWS\1.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\system32\command.pif
C:\Windows\system32\command.com
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\rundll32.com
C:\Windows\WINLOGON.EXE
C:\WINDOWS\services.exe
C:\WINDOWS\Debug\DebugProgramme.exe
C:\Program Files\Common Files\iexplore.com
C:\Program Files\Common Files\Microsoft Shared\MSInfo\msinfo.rr
向D盘释放:
D:\autorun.inf
D:\pagefile.com
向注册表添加:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Torjan pragramme
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。
1:打开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除Torjan pragramme
2:然后注销! 重新进入系统后到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把pagefile.com和D:\autorun.inf删掉, 然后再到C盘把上面所列出来的文件都删掉,可以对比其他文件的日期判断。
3:头号文件WINLOGON.EXE在C:\Windows\WINLOGON.EXE 可能提示删不掉
可以用光盘启动进入DOS模式,把它的系统,隐藏属性去掉然后删除它!
手工病毒清除后的系统修复
1:把那些病毒文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com ,然后双击这个COM文件,然后行动可以进入到DOS下的命令提示符。再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*
这样exe文件就可以运行了。或者用Regfix.exe,sreng.exe等工具修复,将扩展名EXE改成COM,就可打开。
2:开机跳出找不到文件“1.com”
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
3:清除了这个出马出现IE不能下载 请在IE选项 然后安全 然后点默认级别就可以下载了。[/size] 教你手动查杀灰鸽子
灰鸽子的运行原理
灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。
灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。 手动清除威金病毒
手动清除方法:
删除病毒文件(无法清除时去安全模式)
把系统盘根目录下的BBwow、MH_File、TODAYZTKING文件夹清除,
系统根目录\_desktop.ini
系统盘根目录\1.txt
病毒所在目录\vDll.dll文件
%Windir%\rundll32.exe
%Program files%\_desktop.ini
%Windir%\0sy.exe
%Windir%\1sy.exe
恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows NT
\CurrentVersion\Windows
键值: 字串: "load "="C:\WINDOWS\rundl132.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\DownloadManager\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\ver_down0
值: dsfsfaa[Startup]..AppName=ATISoftwarer=sss
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
键值: 字串: "ver_down1"="COM+[7:18:32]: Setup started
- [DATE:05,22,2006 TIME: 07:18 pm]11111"
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
值: "1"
虽然手动清除病毒,但此病毒在每个目录下留下了一个_desktop.ini文件,虽然是病毒,但总不放心,但那么多怎么着手动删除,于是根据之前清拉圾文件的脚本写了个小脚本清除这些文件 手动清除魔波及变种B
利用微软MS06-040高危漏洞进行传播的恶性病毒——“魔波(Worm.Mocbot.a)”和“魔波变种B(Worm.Mocbot.b)病毒异常泛滥,不少网友纷纷中招,导致系统瘫痪,不能正常工作。求助网上一些杀毒工具,均不能有效清除该病毒。
重启进入安全模式。
1. 打开注册表编辑器。点击开始>运行,输入REGEDIT,按Enter
2. 在左边的面板中,双击:HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services
3. 仍然在左边的面板中,找到并删除如下键:“wgareg”魔波(Worm.Mocbot.a)、“wgavm
”魔波变种B(Worm.Mocbot.b)
恢复EnableDCOM和RestrictAnonymous注册表项目
1. 仍然在注册表编辑器中,在左边的面板中,双击: HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Ole
2. 在右边的面板中,找到如下项目:IEnableDCOM = "N"
3. 右击该项目选择修改值为: EnableDCOM = "Y"
删除关于管理共享的注册表项目
1. 在注册表编辑器中,在左边的面板中,双击:HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>lanmanserver>parameters
2. 在左边的面板中,找到并删除如下项目:
a. AutoShareWks = "dword:00000000"
b. AutoShareServer = "dword:00000000"
3. 在注册表编辑器中,在左边的面板中,双击:HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>lanmanworkstation>parameters
4. 在左边的面板中,找到并删除如下项目:
a. AutoShareWks = "dword:00000000"
b. AutoShareServer = "dword:00000000"
魔波(Worm.Mocbot.a,又称WORM_IRCBOT.JL)删除添加或者修改的注册表项目
1. 在注册表编辑器中,在左边的面板中,双击:HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center
2. 在右边的面板中,找到项目:o FirewallDisableNotify = "dword:00000001" o AntiVirusOverride = "dword:00000001" o AntiVirusDisableNotify = "dword:00000001" o FirewallDisableOverride = "dword:00000001"
3. 在左边的面板中,双击:HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>DomainProfile
4. 在右边的面板中,找到项目:EnableFirewall = "dword:00000000"
5. 在左边的面板中,双击:HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>StandardProfile
魔波变种B(Worm.Mocbot.b,又称WORM_IRCBOT.JK)删除添加或者修改的注册表项目:
1. 在注册表编辑器中,在左边的面板中,双击:HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center
2. 在右边的面板中,找到并删除如下项目::
AntiVirusDisableNotify = "dword:00000001"
AntiVirusOverride = "dword:00000001"
FirewallDisableNotify = "dword:00000001"
FirewallDisableOverride = "dword:00000001"
3. 在左边的面板中,双击:HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess
4. 在右边的面板中,找到项目: Start = "dword:00000004"
5. 右击该注册表项目,选择修改项目值为:Start = "dword:00000002"
6. 在左边的面板中,双击:HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>DomainProfile
7. 在右边的面板中,找到并删除如下项目:EnableFirewall = "dword:00000000"
8. 在左边的面板中,双击:HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>StandardProfile
9. 在右边的面板中,找到并删除如下项目:EnableFirewall = "dword:00000000"
10. 关闭注册表编辑器
附加Windows ME/XP清除说明
运行Windows ME和XP的用户必须禁用系统还原,从而可以对受感染的系统进行全面扫描。运行其他Windows版本的用户可以不需要处理上面的附加说明。
6. 在右边的面板中,找到项目::EnableFirewall = "dword:00000000"
7. 在左边的面板中,双击:HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess
8. 在右边的面板中找到如下项目::Start = "dword:00000004"
9. 右击该项目选择修改值为: Start = "dword:00000002"
10. 关闭注册表编辑器。
魔波变种B(Worm.Mocbot.b,又称WORM_IRCBOT.JK)删除添加或者修改的注册表项目:
1. 在注册表编辑器中,在左边的面板中,双击:HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center
2. 在右边的面板中,找到并删除如下项目::
AntiVirusDisableNotify = "dword:00000001"
AntiVirusOverride = "dword:00000001"
FirewallDisableNotify = "dword:00000001"
FirewallDisableOverride = "dword:00000001"
3. 在左边的面板中,双击:HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess
4. 在右边的面板中,找到项目: Start = "dword:00000004"
5. 右击该注册表项目,选择修改项目值为:Start = "dword:00000002"
6. 在左边的面板中,双击:HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>DomainProfile
7. 在右边的面板中,找到并删除如下项目:EnableFirewall = "dword:00000000"
8. 在左边的面板中,双击:HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>StandardProfile
9. 在右边的面板中,找到并删除如下项目:EnableFirewall = "dword:00000000"
10. 关闭注册表编辑器
附加Windows ME/XP清除说明
运行Windows ME和XP的用户必须禁用系统还原,从而可以对受感染的系统进行全面扫描。运行其他Windows版本的用户可以不需要处理上面的附加说明。 动清除病毒冰河
1、在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中找 到冰河(默认是C:\WINDOWS\SYSTEM\Kernel32.exe),将其删除。
2、在注册表中找到HKEY_CLASSES_ROOT\txtfile\,可以在其次键中发觉 Shell\open\command中运行的程序,默认的是C:\WINDOWS\SYSTEM\Sysexplr.exe %1, 将它删掉就行。其他形式的伪装也照删不误。
3、重新启动,在纯Dos模式中删除冰河以及它的关联程序(默认是 C:\WINDOWS\SYSTEM\Kernel32.exe和sysexplr.exe)。
VBS_STAGES.A蠕虫的解决方案
运行注册表 进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices注册目录,查找含有以下键值的键:"C:\WINDOWS\WSCRIPT.EXE,C:\WINDOWS\SYSTEM\SCANREG.VBS" 将含有这些键值的键删除。 进入以下注册表目录: HKEY_USERS/.DEFAULT/Software/Mirabilis/ICQ/Agent/Apps/ICQ 查找以下键值 Parameters=“C:\RECYCLED\DBINDEX.VBS”, Path="C:\WINDOWS\WSCRIPT.EXE" Startup="C:\WINDOWS"。进入以下注册表目录: HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/DefaultIcon 查找以下键值:"C:\RECYCLED\RECYCLED.VXD,1" 将其修改为:C:\WINDOWS\regedit.exe,1 to this input box,进入以下注册表目录: HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/shell/open/command 查找以下键值:"C:\RECYCLED\RECYCLED.VXD,1" 将其修改为:C:\WINDOWS\regedit.exe,1 to this input box.,退出注册表 。重启后扫描整个系统,将感染了此病毒的文件删除。 从另一干净的机器上拷贝一个REGEDIT.EXE 程序到本机。 手动清除圣诞节病毒
1.开始——>程序——>MS-DOS模式
2.将DOS指令regedit.exe重新命名为 regedit.com
3.回到Windows运行Regedit。
4.开始——>运行
5.输入“regedit”。按一下“确定”。
6.在左边窗口,按一下 含有 "+" 记号的方块以展开节点来寻找下列登录
HKEY_CLASSES_ROOT exefile shell open command
7.在右边窗口,以展开节点来寻找含有下列登录的记录值并点选
(Default) = "% windir%\SYSTEM\WINSVRC.EXE"%1""%*" where %windir%
8.当编辑窗口出现,将所有整个部分删除,只留下 "%1"%*"。
9.同步骤 3-5,输入“regedit”。按一下“确定”,进入以下注册机值。
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
10.点选Win32BaseServiceMOD = %windir%\SYSTEM\WINSVRC.EXE ,并按“删除”
11.开始——>程序——>MS-DOS模式
12.将 regedit.com重新命名为 regedit.exe。摘自瑞星网站 手动清除“快乐时光”病毒
1.检查 C:\Help.htm、C:\ 盘第一个子目录下的 Help.vbs 和 Help.hta、 Windows录下 Help.htm 或者与原墙纸文件名的 html 格式文件,若其中 含有“Rem I am sorry! happy time”字符串,则删除该文件
2.检查 C: 盘上所有 vbs、html 或者 asp 文件,若含有“Rem I am sorry! happy time”字符串,则删除该文件
3.检查 \Windows\Web 目录下所有 vbs、html、htt 和 asp 文件,若含有“Rem I am sorry! happy time”字符串,则删除该文件;
4.删除 HKEY_CURRENT_USER\Software 下 Help 项;
5.删除收件箱中所有带有 Untitled.htm 附件的不明邮件。
手工清除Sircam蠕虫病毒
1、 清空回收站,因为病毒将自身隐藏在回收站;
2、 删除Autoexec.bat文件中的"@win ecycledsirc32.exe"
3、 恢复注册表
(1) 将regedit.exe改名为regedit.com因为该病毒关联exe文件
(2) 打开注册表编辑器,查找主键: HKEY_CLASSES_ROOT/exefile/shell/open/command将其键值改为"%1" %*
(3) 删除主键HKEY_LOCAL_MACHINE/Software/SirCam
(4) 删除键值HKEY_LOCAL_MACHINE/Software/Microsoft/Windows Current Version/Run Services/Driver32
(5) 将regedit.com改回为regedit.exe
手动清除Backdoor.Gapin木马病毒
1、此病毒一旦被激活并开始运行,那么它将复制本身到:C:\%Windir%\AdminClient.exe文件中,其中:%Windir%是个变量,此木马病毒会自动查找系统目录并将本身复制到其中,默认的是C:\Windows或C:\Winnt。 2、此病毒能够添加键值: Remote C:\%Windir%\AdminClient.exe到注册表编辑器: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中,使得机器启动时病毒就会自动运行。 3、此病毒收集被感染的计算机系统信息后以电子邮件的形式发送给黑客。 4、此病毒通过端口1039来允许黑客控制被病毒感染的计算机。 解决方案: 1、及时升级杀毒软件,之后认真在整个硬盘上查杀此病毒,彻底清除掉查到的Backdoor.Gapin木马病毒。 2、到注册表编辑器: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中将键值: Remote C:\%Windir%\AdminClient.exe删除 手动清除尼姆达
该病毒特性如下:
病毒传染WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000。
当我们浏览含有病毒邮件时,病毒利用病毒体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有病毒体的邮件名上时,就能受到该网络蠕虫的感染,该病毒传染能力很强。该网络蠕虫利用的是OUTLOOK的漏洞。
这些网络蠕虫的就是针对微软信件浏览器的弱点和WINDOWS NT/2000、IIS的漏洞而编写出的一种传播能力很强的病毒,这一病毒同等于“欢乐时光”和“蓝色代码”病毒的合力。
病毒在WINDOWS\SYSTEM目录内生成病毒文件RICHED20.DLL和LOAD.EXE,或README.EXE、MMC.EXE等,还在所有硬盘的根目录下生成ADMIN.DLL病毒文件,其字节数为:57344字节。
在功能的设计上,新的变种和原来的“中国一号”病毒相同,变种的附件文件由原来的readme.exe修改为Sample.exe,文件的大小是:57344字节。而且释放的DLL的文件名称由admin.dll变成了Httpodbc.dll, 该程序在合法的WINDOWS系统下有该程序,该程序是在INTERNET网络上通讯使用的;原来拷贝到WINDOWS的SYSTEM目录下的文件是Mmc.exe,现在修改成为了Csrss.exe 文件。该文件的作用同样是病毒用来感染局域网络的;Csrss文件是"client-server runtime subsystem"(客户端-服务器实时子系统的简称); 在合法的WINDOWS系统下有该文件,该文件的作用是在控制台下建立删除线程使用的。
变种网络蠕虫的破坏作用仍然是大量发送EMAIL邮件,邮件附件的名称是Sample.exe。
当然在邮件中是看不到该附件的。
病毒还找出Email地址发送病毒本身,即附件长度约为79225字节,但打开看时,其长度为0。该文件实际上就是EMAIL病毒信件本身。
病毒还对SYSTEM.INI修改,在[boot]组下的
shell=explorer.exe load.exe -dontrunold,
这样在系统每次启动时该病毒就会传染,驻留内存。
病毒利用IIS5.0的漏洞,上传ADMIN.DLL在C:\、D:\...并修改用户的主页,在主页后加了一个链接README.EML。感染的电脑均不断生成一个个随机文件名的eml文件,病毒还在C:\INETPUB\Scripts或WINDOWS\TEMP目录中不断复制为TFTP00X.DAT的文件,其字节数为:57344字节。
变种网络蠕虫有4种传播方式:
(1)通过EMAIL发送在客户端看不到的邮件附件程序Sample.exe,该部分利用了微软的OE信件浏览器的漏洞;
(2)通过网络共享的方式来传染给局域网络上的网络邻居,我们在网络上使用电脑时,建议不设置完全的不使用密码的共享方式,设置密码可以有效的防止该病毒的传播;
(3)通过没有补丁的IIS服务器来传播,该传播往往是病毒屡杀不绝的原因;
(4)通过感染普通的文件来传播,在这一点上和普通的病毒程序相同。
实际上(1)和(3),我们普通的用户只有将微软的补丁程序打上,才能有效预防, 这是我们日常工作的习惯性的问题,或者说不是问题,但是病毒利用了我们的"问题"。
病毒利用许多方式来传播自己:首要的途径是通过EMAIL;还可以通过共享的磁盘分区来感染别的机器;试图将病毒文件本身拷贝到没有安装微软补丁的IIS服务器上; 同时还是一个可以感染本地磁盘上的文件以及本地的局域网络上的其他机器上的文件。
该蠕虫程序利用的是微软WEB的UNICODE 的遍历漏洞;该微软漏洞补丁程序的下载地址:
[url]http://www.microsoft.com/technet/security/bulletin/ms00-078.asp[/url]。
而当一个用户收到感染该病毒的信件时,由于该病毒利用了OUTLOOK的MIME漏洞,使得当用户即使只是预览该信件时,隐藏在该信笺中的病毒就会自动被执行,该漏洞的下载地址:
[url]http://www.microsoft.com/technet/security/bulletin/MS01-020.asp[/url]。
当用户浏览含有该病毒的网络时,会提示下载一个含有该病毒的文件,实际上是一个eml信件文件。
在受感染的机器上,该病毒还会自动将C盘共享,使得外部的用户可以访问系统目录,而同时该病毒还可以建立一个guest访问的用户而且该用户的权限是系统管理员级别的。
该病毒感染的文件是在系统的注册表键值下的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths的常用的EXE文件.
病毒覆盖了WINDOWS的SYSTEM目录下的riched20.dll文件,使得该每次系统执行任何程序该病毒都会被执行。并将自身拷贝成load.exe存放在windows的system目录下。在该机器共享的机器上的EXE文件会被感染,而EML文件和NWS文件会被该病毒本身代替。病毒修改系统注册表使得所有的本地硬盘为共享,相应的键值为:
HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$]
当然需要重新启动计算机,来使这些有效。只有C盘的共享不需要重新启动。
该病毒还可以修改IE的设置,使得系统、隐含属性的文件不显示。
该病毒在WINDOWS 的TEMP的临时目录下生成许多临时的文件。文件名称类似的一个是:
mepA2C0.TMP.exe或者mepA2C2.TMP等,前者是该病毒执行文件本身,而后者是病毒的EMAIL形式本身,实际上这两者是同一一个文件:也就是病毒本身。所有的文件本身都 是系统隐含文件属性。
病毒存在的现象:
(1)在C、D、E等逻辑盘符的根目录下有文件admin.dll,文件的长度是57344字节;
(2)EMAIL文件readme.eml文件的存在,该文件长度约是79225字节,实际上是病毒文件的EMAIL表现形式;
(3)C盘在没有手动修改的情况下,变成了可以共享的驱动器。
(4)该病毒存在的文件名称可能是以下的几种:
load.exe;mmc.exe;riched20.dll;admin.dll;readme.exe;mep*.tmp.exe,这些都是病毒程序本身,必须直接删除。对于系统正常的文件只能使用系统安装盘或者干净的文件来覆盖,在这里的情况是mmc.exe和riched20.dll;
(6)为了隐含文件,病毒修改了以下的系统注册表:
HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
在WINDOWS 2000或者WINDOWS NT系统下,系统的以下注册表被删除:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Share\Security
(7)该病毒传播的EMAIL信件表示形式如下,如果收到类似信件请注意:
EMAIL的主题是变化的、不确定的;
信件的内容是空的,没有任何内容;
附件的文件是变化的,并且是使用了IE的HTML格式的图标.
该病毒的附件实际上是一个可执行的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当OUTLOOK在收到该信件后,如果您没有打补丁的话,OUTLOOK会认为该附件是一个类似的声音文件而直接执行了.
病毒的清除:
1 如果用户的硬盘分区是WINDOWS NI4、WINDOWS 2000、WINDOWS XP的NTFS格式,请用户安装KVW3000 5.0以上版本, 该版本可在任何WINDOWS系统下杀除内存和被WINDOWS已经调用的染毒文件,可在系统染毒的情况下杀除病毒,目前只有KVW3000真正具备内存杀毒和毒中杀毒这一技术。
方法是:双击桌面上KVW3000的快捷图标,调出菜单即可。
2 如果用户硬盘装的系统是WINDOWS 98 以下,也可使用干净DOS软盘启动机器;
3 执行KV3000.EXE或KVD3000, 查杀所有硬盘,查到病毒体时会先问你要删除吗?
请按“Y”键删除病毒体。其它被感染的文件,如.EXE文件, KV3000.EXE或KVD3000会将病毒体从文件中清除,保留原文件, 而有的杀毒软件只会将其删除。
4 在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。
5 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
地址是:
[url]http://www.microsoft.com/technet/security/bulletin/MS01-020.asp[/url]。这样可以预防此类病毒的破坏。
6、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。
7、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区
8、对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载:
[url]http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.[/url]
9、病毒被清除后, 在windows的system目录下的文件riched20.dll将被删除,请从WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件,否则的话,写字板和OFFICE, WORD等程序将不能正常运行。
10 开启KVW3000实时监测病毒防火墙。
11、再将邮箱中的带毒邮件一一删除,否则又会重复感染。 手动清除MIRC蠕虫
病毒描述:
该蠕虫病毒是一个基于irc聊天室的蠕虫,它具有irc聊天服务器
功能,通过扫描网上的弱密码传播。
传播机理:
该病毒的传播机理比较简单,是通过一个批处理命令来实现的。
文件的内容如下:
net use /del \\%1\ipc$
net use \\%1\ipc$ "" /user:administrator
net use \\%1\ipc$ "" /user:Administrator
net use \\%1\ipc$ "admin" /user:Administrator
net use \\%1\ipc$ "admin" /user:administrator
net use \\%1\ipc$ "password" /user:administrator
net use \\%1\ipc$ "password" /user:Administrator
net use \\%1\ipc$ "12345" /user:Administrator
net use \\%1\ipc$ "1" /user:Administrator
net use \\%1\ipc$ "administrator" /user:administrator
net use \\%1\ipc$ "root" /user:root
net use \\%1\ipc$ "admin" /user:admin
psexec \\%1 attrib.exe -r fonts.exe
psexec \\%1 -f -c -d fonts.exe -o
psexec \\%1 -d fonts.exe -o
net use /del \\%1\IPC$
net use /del \\%1\C$
net use /del \\%1\ADMIN$
从这个批处理文件我们可以很清楚的看出病毒传播的过程,它首
先使用系统自带net use命令去测试空口令和弱口令账号的连
接,一旦成功便是用psexec命令将fonts.exe文件考到对方的机
器上运行。Fonts.exe为一个病毒的打包程序。运行该程序会在
%admin%/fonts/目录下生成一系列文件包括:
adobea.exe (mirc的主程序)
adobes.exe (病毒启动文件)
attrib.exe (修改文件属性程序)
b.exe (隐藏进程文件)
kill.exe (远程杀进程软件)
psexec.exe (远程执行软件)
xdcc.exe (未完成的功能的)
abc.bat (病毒传播的批处理文件)
abc.dll
abc2.dll
moo.dll (以上三个都为adobea启动时需要的动态库文件)
病毒程序执行后会在注册表里添加如下的键值,以便在下次启动
时能正常运行:
//HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//run
键值:AdobeA %admin%\fonts\adobes.exe
病毒危害:
adobea.exe为一个修改过的irc聊天服务程序,它会在后台偷偷
的运行,并将本地的信息发往国外的IRC服务器,通过IRC的脚本
执行功能,入侵者可以通过其他的IRC服务器来控制被感染的机
器使之成为一个功能强大的服务器(功能包括文件传输,网络扫描,DOS攻击等多项功能)
检测方法:
1)察看系统目录中FONTS目录下是否有病毒的相关文件,
WINDOWS默认设置下在FONTS目录下只能看到字体文件,我们可以
通过在命令行状态下使用DIR 命令察看。
2)察看注册表中的相关键值,看是否有上面所提的%admin%\fonts\adobes.exe键值
3)使用NETSTAT –AN命令察看是否有目标端口为6667的连接
清除方法:
手动清除方法
1)使用进程管理功能,杀掉ADOBEA.EXE进程
2)到注册表中的
//HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//run
项中删除键值:AdobeA %admin%
\fonts\adobes.exe
3)清除FONTS目录下的所有蠕虫生成的文件
4)重新启动机器 冲击波病毒手工清除
三个步骤清除“冲击波”病毒(手工应急清除方案)推荐使用瑞星专杀工具
第一步:终止恶意程序
打开Windows任务管理器,按CTRL+ALT+DELETE然后单击进程选项卡
在运行的程序清单中*, 查找如下进程:MSBLAST.EXE
选择恶意程序进程,然后按“终止任务”或是“中止进程”按钮。
为确认恶意程序进程是否中止,请关闭任务管理器并再次打开看进程是否已经终止。
关闭任务管理器。
第二步:删除注册表中的自启动项目
删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行
单击 开始>运行, 输入 Regedit, 然后按 Enter 键打开注册表管理器
在左边的列表中双击以下项目:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
在右边的列表中查找并删除以下项目
Windows auto update" = MSBLAST.EXE
关闭注册表编辑器
注意: 如果之前没有终止恶意程序进程,请重启您的系统
第三步:安装微软提供的补丁
Microsoft Security Bulletin MS03-026
建议用户对135端口的访问进行过滤,使得只能进行受信任以及内部的站点访问。 更多详情请参阅微软发布的漏洞报告
[url]http://www.microsoft.com/china/t[/url] ... lletin/MS03-026.asp
1、先在任务管理器中将 msblast.exe 进程杀掉,之后将windows安装目录下的system32文件夹下的msblast.exe删除
2、运行SERVICES.MSC找到remote procedure call(RPC).并双击
然后在恢复选项卡里面选择,恢复,选择服务失败时的计算机反映,并将第一次失败、第二次失败、第三次失败的选项选择为不操作
中文2000补丁(SP2以上)
[url]http://218.29.0.250/Windows2000-KB823980-x86-CHS.exe[/url]
中文XP(破解的不要装)
[url]http://218.29.0.250/WindowsXP-KB823980-x86-CHS.exe[/url]
中文2003补丁
[url]http://218.29.0.250/WindowsServer2003-KB823980-x86-CHS.exe[/url] 手工清除震荡波(Worm.Sasser)病毒
5月1日,“震荡波(Worm.Sasser)”病毒在网络出现,由于该病毒是通过漏洞进行传播的,因此这几日用户如果上网极有可能会感染该病毒,然后出现系统反复重启、机器运行缓慢,出现系统异常的出错框等现象,如果用户出现了上述现象,则需要对该病毒进行清除。
手工清除四部曲。
1、断网打补丁。
如果不给系统打上相应的漏洞补丁,则连网后依然会遭受到该病毒的攻击,用户应该先到以下地址[url]http://www.microsoft.com/china/t[/url] ... letin/ms04-011.mspx下载相应的漏洞补丁程序,然后断开网络,运行补丁程序,当补丁安装完成后再上网。
2、清除内存中的病毒进程
要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏,在弹出菜单中选择“任务管理器”打开任务管理器界面,然后在内存中查找名为“avserve.exe”的进程,找到后直接将它结束。
3、删除病毒文件
病毒感染系统时会在系统安装目录(默认为C:\WINNT)下产生一个名为avserve.exe的病毒文件,并在系统目录下(默认为C:\WINNT\System32)生成一些名为<随机字符串>_UP.exe的病毒文件,用户可以查找这些文件,找到后删除,如果系统提示删除文件失败,则用户需要到安全模式下或DOS系统下删除这些文件。
4、删除注册表键值
该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”,内容为:“%WINDOWS%\avserve.exe”的病毒键值,为了防止病毒下次系统启动时自动运行,用户应该将该键值删除,方法是在“运行”菜单中键入“REGEDIT” 然后调出注册表编辑器,找到该病毒键值,然后直接删除。 QQ杀手病毒的手工清除方法
近日笔者的朋友收到一位网友发来的文件,文件名为OICQPASS,图标为一只可爱的小企鹅。那网友告诉他此文件可以增强QQ聊天的保护功能。结果双击运行后却什么提示也没有。但是后来发现任务管理器中有个SMTP任务在运行,后来确定是病毒,并最终清除。
其实朋友中的是OICQ密码杀手病毒,OICQPASS.exe是个主程序,还有xxc.dll文件,里面填写了E-mail地址,只要一运行OICQPASS.exe就被种上了木马,OICQ密码就会被发送到那个xxc.dll文件里面的E-mail中。
笔者利用江民2005和QQ病毒专杀工具查杀,竟然报告未发现病毒,那就手工清除吧。
1.首先删除病毒文件,然后到HKEY_LOCAL_MACHINE\Software\Micrsoft\Windows\CurrentVersion\Run中查找,发现和此OICQPASS病毒有关的两个启动项,一个是病毒文件所在的地址,另一个为C:\WinNT\System32\OICQPASS.EXE,于是分别删除这两个字符串;然后再到C:\WinNT\System32目录下去删除OICQPASS这个文件,但怎么查找也没发现这个文件,笔者以为病毒已经清除掉。重新启动机器,在任务管理器中竟然还有一个SMTP在运行,看来病毒还没有完全清除掉,马上停止了此进程继续查找病毒所在。
2.到注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 中一看,C:\WinNT\System32\OICQPASS.EXE这个启动项仍然存在,看来OICQPASS这个文件一定还存在,但为什么找不到它呢?
3.在C:\WinNT\System32中又进行了筛选过滤,发现Winserver这个文件的图标是个小企鹅,这引起了笔者的怀疑,Winserver好像是系统文件但怎么戴个企鹅的帽子?删除这个文件后重新启动机器,机器提示“无法加载或运行注册表指定的Winserver.EXE,请确认文件是否存在你的计算机上,或者删除注册表中对它的引用”。再到任务管理器中检查,一切正常了。
这个病毒挺狡猾,还会用假像迷惑人,它不但在启动项中放了一个烟雾弹,而且生成了一个貌似系统文件的“Winserver”文件。至此手工清除木马病毒过程宣告结束,笔者也长舒一口气,希望这个方法可以帮助有同样问题的朋友。 手工查杀QQ流行病毒
QQ弹出式广告木马
该木马会伪装成QQ式的弹出广告,随时在屏幕右下角弹出广告窗口。将鼠标放到该窗口中,鼠标会变成手状,点击窗口任意处即可打开浏览器链接到广告网页,而正规的QQ弹出广告窗口中大多为文字或图片说明,只有点击说明中的链接才能打开网页。所以该弹出广告窗口实为一个网页链接木马,大家要认真区分。
解决办法:该木马会在C:\Windows目录中建立了一个“Backup”文件夹,并且采用自动加载和监视备份文件功能,使你在安全模式下也无法手动清除该木马。解决办法是使用批处理功能,在木马程序重建备份之前抢先删除它。
重新启动机器,按F8键选择安全模式进入系统。新建文本文档,输入:
“Move c:\windows\backup c:\windows\bak(将Backup目录重命名为Bak)
Md c:\windows\backup(在C:\windows下建立Backup目录)”,
接着点击“文件/另存为”选项,将文件名更改为“QQ广告.bat”进行保存。
提示:括号内的说明不用输入,下同。
运行该批处理文件后,立即将“C:\windows”文件夹中的“Bak”文件夹删除,完成了木马备份文件的删除。接着再新建一个文本文档,输入:
“cd c:\(将当前路径改为C:盘的根目录)
cd C:\windows\Downloaded Program Files(更改当前路径)
C:\windowsDownloaded Program Files move _IS_0518 c:\bak(移动相关文件夹)”
然后点击“文件/另存为”选项,保存为“QQ广告2.bat”文件。双击运行后,将C盘的“Bak”文件夹删除,再进入“C:\windows”目录,删除Backup文件夹,即完成了木马文件的清除。
最后在“运行”对话框中输入“Regedit”,打开“注册表编辑器”窗口,分别将“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advapi32”和“HKEY_CURRENT_USER/Software/advapi32”两个键值删除即可。
多多QQ表情
“多多QQ表情”是一个流氓软件,大多与其它软件进行捆绑安装。一旦安装上“多多QQ表情”后,其包含的“Update”文件会创建“Updata.exe”进程,并对系统作一系列改动,生成大量恶意文件。IE浏览器主页会被篡改,使用自带的卸载程序无法将它卸载干净。
解决办法:要想手动将“多多QQ表情”清除干净,先打开“运行”对话框,输入“%ProgramFiles%\qqhelper\uninstall.exe”,点击“确定”按钮卸载“多多QQ表情”程序。 接着打开“任务管理器/进程”窗口,结束“diskman.exe”进程。然后再打开“运行”对话框,输入“services.msc”,点击“确定”按钮后打开“服务”窗口,找到“Universal Disk Manager”服务,将其设置为禁止。再将“C:\Program Files\Common Files\SAN”文件夹和“C:\Program Files\Common Files\Upd”文件夹删除。
接着打开“注册表编辑器”窗口,在左侧窗格依次点击“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”项,在右侧找到“Update"="%ProgramFiles%\Common Files\Upd\update.exe”键值,将其删除。
然后在桌面用右键单击“我的电脑/属性/硬件/设备管理器/查看/选中“显示隐藏的设备”选项,接着在设备列表中展开“非即插即用驱动程序”选项,找到“Universal Disk Manager”,右键选择“卸载”。
最后再打开“注册表编辑器”窗口,在左侧窗格中依次点击“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”项,找到“Universal Disk Manager”键值,将其删除,并点击“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root”项,删除 “LEGACY_Universal Disk Manager”即可。
杀灭QQ乐病毒
“QQ乐”病毒(Worm/QQMsg.Lee)会自动搜索QQ用户中的好友,不断向他们发送包含一串网址的消息。好友在点击网址链接登陆网站后,就有可能会感染该病毒。
解决办法:“QQ乐”病毒会创建“System32.exe”进程和一个名为“Lee”的管理员帐户。会在每个分区根目录下创建“Autorun.inf”文件和“System32.exe”、“System32dll.dll”文件。由于“Autorun.inf”是自运行文件(常用于自启动光盘),这样在双击任意分区盘符时就会使系统自动执行该“Autorun.inf”文件的命令,以达到运行“System32.exe”“System32dll.dll”病毒文件的目的。接着用搜索查找“Lee”关键字,会找到一个创建管理员账户的批处理文件“Admin.bat”。最后将每个分区根目录下的“Autorun.inf”、“System32.exe”和“System32dll.dll”文件删除,再将搜索到的“Admin.bat”文件删除即可。
QQ龟病毒的查杀
一旦感染了“QQ龟病毒”(Trojan/QQMsg,Zigui.b),你的电脑便会出现这样的症状:自动给QQ好友发送文件,而且文件名为“……白骨精……”、“一个对你工作有益的东西”等等。该病毒被金山毒霸网站上排列在2005年十大病毒之第四位。
解决办法:打开任务管理器,结束掉RUNDLL32.EXE和TIMP1atform.exe(注意P后面是数字1)进程。
设置让Windows显示隐藏文件,找到以下文件并且将其删除:%System%\.exe
%System%\notepad.exe和%Windir%\System\RUNDLL32.EXE;还要删除QQ目录中的TIMP1atform.exe(P后面是数字1,别删错了)。
打开注册表编辑器。删除“HKEY_LOCAL_MACHINE\Software\Classes\Msipv”和“HKEY_CURRENT_USER\Software\Classes\Msipv”下的“MainSetup”、“MainUp”、“MainVer”三个DWORD键值。
最后通过修复EXE和TXT文件关联,重新启动即可。 手动清除诡秘下载器变种CXW
该病毒运行后会从黑客指定的网站下载指令并运行,会将用户IE浏览器的主页锁定为一个名叫“7939上网导航”的网站,以提高该网站的访问量。该病毒会试图禁止多种安全工具软件运行,并会造成一些主流杀毒软件运行不正常。它还会自动从http//down.Viru??ky.com下载新的病毒并运行。
手工清除:
一、清除内存中的病毒
在任务管理器中找到名为“Realplayer.exe”和“Explorer.exe”的进程,单击鼠标右键,选择“结束进程”。
“Explore.exe”进程被结束后将会看不到桌面图标和任务栏,这时按住Ctrl+Alt+Del键,启动任务管理器,点击菜单“文件”-》“新建任务(运行…)”,输入“explorer.exe”,点击“确定”。
二、删除病毒文件
1、打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏已知类型文件的扩展名”前的对勾,然后点击“确定”。
2、进入Windows系统文件目录下(默认为C:\Windows\System32),删除掉“realplayer.exe”、“brlmon.dll”(部分变种dll文件的名称为ravmon.dll)两个文件。
三、修复注册表
1、点击“开始”菜单,选择“运行”,输入“regedit.exe”并确定,打开注册表编辑器。
2、打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,在右边的窗格中找到“Realplayer.exe”一项,将其删除。
3、打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在右边的窗格中找到“Realplayer.exe”一项,将其删除。
4、打开HKEY_LOCAL_MACHINE\SOFTWARE,将其下的“Microsoft NT”目录整个删除(包含其下的子项)。
5、打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft,将其下的“RunDown”目录整个删除(包含其下的子项)。
四、修复IE首页
打开IE浏览器,点击菜单“工具”-》“Internet选项”,打开“常规”选项页,在“主页”处自行设置IE的主页地址。
用杀毒软件清除:
由于该病毒变种繁多,DLL文件名称不固定,手工清除有一定困难,建议用户使用瑞星杀毒软件进行清除。清除该病毒时需注意以下两点:
1、必须在杀毒软件的查杀目标中勾选“内存”
由于该病毒会注入到系统进程当中,因此查杀该病毒必须先对内存进行检查,否则可能出现查杀失败。
2、杀毒后需重新启动计算机
瑞星在查到该病毒时会提示用户“重新启动计算机后删除文件”。用户只需在杀毒完毕后立即重新启动计算机即可清除该病毒。 手工查杀rose
病毒名称:代理木马变种GZ (Trojan.Agent.gz)
病毒类型:木马病毒
病毒危害级别:★★★
病毒发作现象及危害:
病毒采用Visual Basic语言编写。该病毒会通过U盘、移动硬盘等进行传播,会试图记录用户的键盘输入信息,从而盗取用户的网络游戏、QQ、银行卡账号等隐私信息,并发送给黑客。由于其传播机制,目前在学校机房、网吧等小型局域网络中传播较广。
手工删除:
一、清除内存中的病毒
在任务管理器中找到所有名为“rose.exe”的进程,单击鼠标右键,选择“结束进程”。
。img_maxwidth) {this.resized=true; this.width=img_maxwidth;}">
察看原图 发送到手机
二、删除病毒文件
1、打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、在“我的电脑”中用鼠标右键点击“C:”盘,选择“打开”,注意此处一定不要双击盘符打开磁盘!
img_maxwidth) {this.resized=true; this.width=img_maxwidth;}">
察看原图 发送到手机
3、删除掉C盘根目录下的“autorun.inf”和“rose.exe”文件。如果根目录下存在“system32”文件夹也将其一并删除。如果提示文件不能被删除,请重新打开任务管理器查看是否已经结束掉了所有“rose.exe”进程。
img_maxwidth) {this.resized=true; this.width=img_maxwidth;}">
察看原图 发送到手机
4、如果计算机上还存在其它分区,如:D:、E:等,也要用上面的方法打开磁盘分区,并删除这些分区根目录下的“autorun.inf”、“rose.exe”以及“systemfile.com”文件。
5、进入Windows目录下的system32目录(默认为C:windowssystem32),删除掉下面的“run.reg”和“systemdate.ini”文件。
三、修复注册表
1、点击“开始”菜单,选择“运行”,输入“regedit.exe”并确定,打开注册表编辑器。
2、打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun一项,在右边的窗格中找到“dll”一项,将其删除。
img_maxwidth) {this.resized=true; this.width=img_maxwidth;}">
察看原图 发送到手机
四、删除优盘、移动硬盘上的病毒文件
这个病毒通过优盘等进行传播,因此在计算机杀毒后也要对这些移动存储设备进行彻查,防止重复感染。
按住键盘上的“Shift”键,插入优盘。然后用和清除硬盘上病毒同样的操作,清除掉移动存储设备上的病毒。
五、后期检查
重新启动计算机,然后打开任务管理器,查看是否有“rose.exe”进程存在,如果没有,则说明病毒已经清除干净 手工清除QQ尾巴
1、[url]http://www.18hi.com[/url]删除方法
在安全模式下删除以下文件:
%Windows%\N0tepad.exe(关联TXT文件,金山影霸RM图标)
%Windows%\System\N0tepad.exe(关联TXT文件,金山影霸RM图标)
%Windows%\System\taskmgr.exe(金山影霸RM图标)
%Windows%\System\win.dll
%Windows%\System\windll.dll
%Windows%\System32\N0tepad.exe(关联TXT文件,金山影霸RM图标)
注意:N0tepad.exe中的0是数字0,不是字母O。
去掉病毒的启动项信息:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"taskmgr"=" %Windows%\System\taskmgr.exe"
最后还要恢复TXT文件关联。
2、[url]http://dvd.qq92.com[/url]删除方法
用任务管理器结束smss.exe(一个是系统进程无法结束,一个是病毒可以结束),结束可能存在的intrenat.exe winsym.exe winpass.exe。
然后删除以下文件:
%WINDIR%\intrenat.exe
%WINDIR%\smss.exe
%System%\winsym.exe
%System%\winpass.exe
删除注册表中
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe
3、[url]http://www.joyiex.com[/url]删除方法
先结束Explorer.exe进程,然后再把Explorer.exe运行起来。
在注册表编辑器里修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL下CheckedValue的值为1。
然后删除以下文件:
%Windows%\bak.exe
%System%\huangjiaju.exe(0字节)
%System%\cc1.exe
%System%\cc2.exe
%System%\cc3.exe
%System%\whboy.exe
%System%\whboy.txt
%System%\whboy***.txt(***为数字)
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
一直有变化的主要是 %System%目录下cc1.exe、cc2.exe和cc3.exe这三个文件,如遇变化与上述内容不同请误死搬硬套,稍做变通可自行解决。
4、[url]http://www.mydj2005.com[/url]删除方法
在安全模式下删除:
%System%\down1.exe
%System%\down2.exe
%System%\huangjiaju.exe(0字节)
%System%\migpwda.exe
%System%\migpwdb.exe
%System%\migpwdc.exe(关联TXT)
删除病毒的启动项:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
windows update = %System%\migpwda.exe
病毒把TXT文件关联修改为“ %System%\migpwdc.exe %1”,你可以从注册表中修改或者使用工具(如REGFIX)进行修复。
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\migpwdb.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\migpwdb.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
5、QQ速配
蠕虫病毒,通过QQ传播,依赖系统:WIN9X/NT/2000/XP.该病毒用Delphi语言编写,运行后把自己复制到系统"system32"目录下,病毒文件名为"Explorer.exe",伪装成系统文件,修改注册表实现开机自启动。病毒会修改ini和txt文件的关联方式,用户打开这两种文件时会先运行病毒。
病毒运行后会驻留内存,查找并结束防火墙和任务管理器,防止病毒被结束。查找QQ聊天窗口,自动发送消息,"哈哈。来看看这个。用QQ昵称为自己速配情侣,看看和你配的叫什么http://***快看看",用户点击该网址后会中毒。病毒还会从网上下载新的病毒文件,发送的QQ消息内容会随之更改。
删除方法
安全模式下删除 %Windows%/smss.exe文件
搜索注册表,所有smss相关的项一概删除
再修改startpage(就是ie默认的首页)
6、[url]http://www.91tg.net/rm.asp?.rm[/url]删除方法
删除病毒对注册表所作的更改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: services.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: services.exe
HKEY_CLASSES_ROOT\CLSID\
然后重新启动删除以下文件:
%WINDIR%\services.exe
%System%\browscue.dll
%System%\member.exe
%System%\winsocks.dll
还有桌面上和系统盘根目录下和%Documents and Settings%\“用户名”下可能生成的a1.exe , a2.exe , a3.exe。 4199...7939病毒的解决
4199病毒解决
首先打开注册表
然后在里面查找所有的:[url]www.4199.com[/url]
把查出来的带[url]www.4199.com[/url] 的建全部删除
然后在搜索里找到 qqst.dll和rsrc.dll 把他们分别剪贴到桌面
然后重起电脑
重起之后会提示rsrc.dll加载错误
这样你就可以把桌面的qqst.dll和rsrc.dll删除
这样就达到完全清除了!
4199补充!(详细)
先在普通模式下运行MSCONFIG,检查有没有可疑启动项,特别是有个RUN启动项,没有任何说明,把它禁止或者删除!
重起电脑按F8再次进入安全模式,修复IE,修复HOSTS文件。
然后运行REGEDIT进入注册表,搜索4199,删除所有关于WWW。4199。COM的键值。
清空IE缓存,临时文件,历史记录。最后卸载QQ,并且要把QQ安装目录彻底删除!
重起电脑后问题解决。
注意!一定要在安全模式下操作
最好 是选择带网络连接的安全模式
下载江民7939专杀工具[url]http://dl.pconline.com.cn/html_2/1/66/id=39860&pn=0.html[/url]
木马杀客专杀工具[url]http://dl.pconline.com.cn/html_2/1/66/id=39861&pn=0.html[/url]
建议两个都用下
HOSTS修复工具下载地址[url]http://dl.pconline.com.cn/html_2/1/59/id=40013&pn=0.html.[/url]
最后切记把QQ安装目录一定删除!
祛除4199后如果登陆QQ ZONE提示 你的浏览器不支持QZONE特性,那么你需要下载安装这个补丁Microsoft XML Parser(MSXML)3.0 Service Pack 7(SP7),
下载地址[url]http://www.microsoft.com/downloa[/url] ... p;displayLang=zh-cn
恢复禁用的注册表编辑器
禁止别人使用注册表编辑器的同时,自己也没法使用了,如何恢复禁用的注册表编辑器呢?可以选用以下两种方法之一。
方法一:
打开一个“记事本”文件,如果你的电脑的操作系统是Windows 2000\XP,在其中输入以下文字:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“Disableregistrytools”=dword:00000000
如果操作系统是Windows98或Windows95,则输入如下文字:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“Disableregistrytools”=dword:00000000
(PS:输入的内容中的标点符号均要使用英文半角符号)
将文件保存为名为“Unlock.reg”的注册表文件。双击运行这个文件,将这个文件导入到注册表中,然后使用常规打开注册表编辑器的方法就可以重新打开注册表编辑器了。
方法二:在Windows2000\XP\2003系统中,从“开始”菜单中选择“运行”项,在打开的“运行”对话框中输入“Gpedit.msc”(不含引号),单击“确定”按钮,即可打开“组策略”对话框。从左侧栏中依次选择“用户配置”—“管理模板”—“系统”项,在右侧栏中双击“阻止访问注册表编辑工具”项。
可以打开“阻止访问注册表编辑工具 属性”对话框,选择“已禁用”单选项,单击“确定”按钮,即可恢复禁用的注册表编辑器
最后说明下,在普通模式下检查启动项才能发现可疑项目,在安全模式下是找不到的,其实那个RUN启动项指向的就是windows目录SYSTEM32 下的那个rsrc.dll
也可以不删除QQ目录,但是必须在安全模式下寻找QQ目录下的QQST.DLL,把它删除!
................................................................................................................
7939(realplayer.exe)
主页锁定
[url]www.7939.com[/url]
的解决办法(realplayer.exe)..(清除工具提供)
感谢作者tkabc的无私奉献,附件是专杀
这问题也越来越多人求助了...造成主页被修改是因为 realplayer.exe
此病毒好象会使 IceSword 和 killbox 无法打开..
瑞星杀毒软件可杀..但是重启后还会有...
-------------------------------------------------------------------------
清除工具:
a) 下载附件7939.zip到桌面,解开压缩包,运行bfu.exe
b) 按 文件夹图示 ,选取在 bfu.exe 旁的 7939.bfu 档案
c) 选取后, 确定已勾上 Use settings specified in script for above options
d) 请关闭正在使用的程式(eg. QQ,IE),按 Execute 开始 , 请耐心等候
e) 完成后,可能会提示你要重新开机,请重新开机
你会发现在%SYSTEMDRIVE% (一般C:\ ) 下,会多了一个Suspect file的文件夹,删除就可以了