十大病毒手工查杀方法

卢禹仑 收藏 7 198
导读:十大病毒手工查杀方法


一、“灰鸽子”

病毒名称:Backdoor/Huigezi

病毒中文名:“灰鸽子”

病毒类型:后门

影响平台:Win9X/ME/NT/2000/XP

描述:Backdoor/Huigezi.**“灰鸽子”是一个未经授权远程访问用户计算机的后门。以“灰鸽子”变种cm为例,该变种运行后,会自我复制到系统目录下。修改注册表,实现开机自启。侦听黑客指令,记录键击,盗取用户机密信息,例如用户拨号上网口令,URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外,“灰鸽子”变种cm可下载并执行特定文件,发送用户机密信息给黑客等。

手工清除方法:

对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。

由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“SafeMode”或“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。

2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。

3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为*****_Hook.dll的文件。

4、根据灰鸽子原理分析我们知道,如果*****_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有*****.exe和*****.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的*****Key.dll文件。

5、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

6、点击菜单“编辑”-》“查找”,“查找目标”输入“*****.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为*****_Server)。

7、删除整个*****_Server项。

二、“传奇窃贼”

病毒名称:Trojan/PSW.LMir

病毒中文名:“传奇窃贼”

病毒类型:木马

危险级别:★

影响平台:Win9x/2000/XP/NT/Me

描述:传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后,主程序文件自己复制到系统目录下。修改注册表,实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后,会自动重启。窃取“传奇2”帐号密码,并将盗取的信息发送给黑客。

手动清除方法:

它会在%WinDir%目录下生成的explorer.com文件也很迷惑人,与explorer.exe就差一个扩展名(如图2)。病毒经过UPX加壳处理,脱掉后可以看出是用VisualC++6.0编写的。

1.先再任务管理器中结束explorer.com进程,注意:是explorer.com而不是explorer.exe。

2.再将每个硬盘分区根目录下bbs.exe和web.exe两个文件删除掉,注意:删除后就不要再打开这个分区了,否则会再次感染。

3删除%WinDir%\explorer.com文件(注:WindowsXP系统在C:\windows\explorer.com,Windows2000/NT系统在C:\WINNT\explorer.com。)

4最后在注册表中删除

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Net"=%WinDir%\services.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows]

"Load"=%WinDir%\assistse.exe

这两个键值,这样病毒就不会随这机器开机运行了。

三,高波和瑞波

高波: Backdoor/Agobot.** “高波”主要利用网络弱密码共享进行传播的后门程序。该后门程序还可利用微软DCOM RPC漏洞提升权限,允许黑客利用IRC通道远程进入用户计算机。该程序运行后,程序文件自我复制到系统目录下,并修改注册表,以实现程序的开机自启。开启黑客指定的TCP端口。连接黑客指定的IRC通道,侦听黑客指令。

瑞波:该病毒经过多层压缩加密壳处理,可以利用多种系统漏洞进行传播,感染能力很强。中毒计算机将被黑客完全控制,成为"僵尸电脑"。由于此病毒会扫描感染目标,因此可以造成局域网拥堵。

高波:

第一种

1、自动清除:断开网络,升级杀毒软件对电脑进行全盘扫描。

2、高波手工清除:打好微软MS03-007、MS03-026、MS04-011、MS04-031补丁,在系统目录下找到病毒文件名为Medman.exe,并将其删除。

第二种

1、进入任务管理器,结束winaii.exe和netlink32.exe进程,然后打开资源管理器,进入c:\windows\system32目录,查找winaii.exe和netlink32.exe两文件,将其删除。在系统启动项目(开始>运行>msconfig进入)中去掉其相应的加载启动项。然后安装杀毒软件,升级病毒库后进行杀毒。接着安装相应windowsXP或windows2000的补丁程序,重启系统。

2、如果按如上的方法不能清除病毒,可以从安全模式下进行处理,方法如下:在安全模式下,打开注册表,在“编辑”中“查找”“winaii.exe”和“netlink32.exe”,删除找到的“winaii.exe”和“netlink32.exe”项目。查看windows\system32目录下是否有winaii.exe和netlink32.exe这两个文件,有则删除。最后杀毒、打补丁并重启计算机。

3、该病毒具有密码库,能够破解机子的一些较简单的密码(密码仅包含数字或26个字母称为简单密码),尤其是对于windows2000系统,往往刚杀完病毒后又染上该病毒了。所以建议在杀毒的过程中最好断开网络连接,确定杀完病毒和打好补丁(MS03-007、MS03-026、MS04-011、MS04-031补丁)后,为机子重设一个复杂的密码(密码包含问号,点号等特殊符号)。

瑞波:

手工清除:在系统目录下找到病毒文件msxml32.exe,在注册表中找到键值msxml32.exe,将其删除。打上微软MS03-007、MS03-026、MS04-011、MS04-031四个漏洞补丁

四、“CHM木马”

病毒名称:Exploit.MhtRedir

病毒中文名:“CHM木马”

病毒类型:木马、脚本

危险级别:★★

影响平台:Windows98/ME/NT/2000/XP/2003

描述:

利用IE浏览器MHTML跨安全区脚本执行漏洞(MS03-014)的恶意网页脚本,

自从2003年以来,一直是国内最为流行的种植网页木马的恶意代码类型,

2005年下半年,泛滥趋势稍有减弱,2006年上半年的感染数量仍然很大,

没有短期内消亡的迹象。

手工清除方法:

打上微软MS03-014和MS04-023系统漏洞补丁,找到以下病毒和配置文件并将其删除:

%SystemDir%\dllcache\pk.bin,3680字节,病毒配置文件

%SystemDir%\dllcache\phantom.exe,393216字节,病毒程序

%SystemDir%\dllcache\kw.dat,803字节,病毒配置文件

%SystemDir%\dllcache\phantomhk.dll,8704字节,病毒模块

%SystemDir%\dllcache\phantomi.dll,215040字节,病毒模块

%SystemDir%\dllcache\phantomwb.dll,40960字节,病毒模块

在注册表中定位到键值,并将该键值删除:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Phantom"=%SystemDir%\dllcache\phantom.exe

五、“QQ大盗”

病毒名称:Trojan/QQPass

病毒中文名:“QQ大盗”

病毒类型:木马

危险级别:★

影响平台:Win9X/2000/XP/NT/Me

描述:Trojan/QQPass.ak是用Delphi编写并经过压缩的木马,用来窃取游戏"传奇"信息。

传播过程及特征:

1.创建下列文件:

2.%System%\winsocks.dll,91136字节

%Windir%\intren0t.exe,91136字节

3.修改注册表:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intren0t"=%Windir%\intren0t.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]"Intren0t"=%Windir%\intren0t.exe

这样,在Windows启动时,病毒就可以自动执行。

注:%Windir%为变量,一般为C:\Windows或C:\Winnt;%System%为变量,一般为C:\Windows\System(Windows95/98/Me),C:\Winnt\System32(WindowsNT/2000),或C:\Windows\System32(WindowsXP)。

手工清除:

在系统目录找到病毒文件winsocks.dll和intren0t.exe,并将其删除。打开注册表并定位到以下键值,将键值删除:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intren0t"=%Windir%\intren0t.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Intren0t"=%Windir%\intren0t.exe


4
回复主贴

相关推荐

更多 >>
聚焦 国际 历史 社会 军事 精选
7条评论
点击加载更多

发表评论

更多精彩内容

热门话题

更多

经典聚焦

更多
发帖 向上 向下