2006十大病毒手工查殺方法
一、“灰鴿子”
病毒名稱:Backdoor/Huigezi
病毒中文名:“灰鴿子”
病毒類型:後門
影響平台:Win9X/ME/NT/2000/XP
描述:Backdoor/Huigezi.**“灰鴿子”是一個未經授權遠程訪問用戶計算機的後門。以“灰鴿子”變種cm為例,該變種運行後,會自我複製到係統目錄下。修改注冊表,實現開機自啟。偵聽黑客指令,記錄鍵擊,盜取用戶機密信息,例如用戶撥號上網口令,URL密碼等。利用掛鉤API函數隱藏自我,防止被查殺。另外,“灰鴿子”變種cm可下載並執行特定文件,發送用戶機密信息給黑客等。
手工清除方法:
對於灰鴿子的檢測仍然是有規律可循的。從上麵的運行原理分析可以看出,無論自定義的服務器端文件名是什麽,一般都會在操作係統的安裝目錄下生成一個以“_hook.dll”結尾的文件。通過這一點,我們可以較為準確手工檢測出灰鴿子木馬。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在係統進入Windows啟動畫麵前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇“SafeMode”或“安全模式”。
1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,點擊“查看”,取消“隱藏受保護的操作係統文件”前的對勾,並在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”,然後點擊“確定”。
2、打開Windows的“搜索文件”,文件名稱輸入“_hook.dll”,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。
3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名為*****_Hook.dll的文件。
4、根據灰鴿子原理分析我們知道,如果*****_Hook.DLL是灰鴿子的文件,則在操作係統安裝目錄下還會有*****.exe和*****.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用於記錄鍵盤操作的*****Key.dll文件。
5、打開注冊表編輯器(點擊“開始”-》“運行”,輸入“Regedit.exe”,確定。),打開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。
6、點擊菜單“編輯”-》“查找”,“查找目標”輸入“*****.exe”,點擊確定,我們就可以找到灰鴿子的服務項(此例為*****_Server)。
7、刪除整個*****_Server項。
二、“傳奇竊賊”
病毒名稱:Trojan/PSW.LMir
病毒中文名:“傳奇竊賊”
病毒類型:木馬
危險級別:★
影響平台:Win9x/2000/XP/NT/Me
描述:傳奇竊賊是專門竊取網絡遊戲“傳奇2”登錄帳號密碼的木馬程序。該木馬運行後,主程序文件自己複製到係統目錄下。修改注冊表,實現開機自啟。終止某些防火牆、殺毒軟件進程。病毒進程被終止後,會自動重啟。竊取“傳奇2”帳號密碼,並將盜取的信息發送給黑客。
手動清除方法:
它會在%WinDir%目錄下生成的explorer.com文件也很迷惑人,與explorer.exe就差一個擴展名(如圖2)。病毒經過UPX加殼處理,脫掉後可以看出是用VisualC++6.0編寫的。
1、先再任務管理器中結束explorer.com進程,注意:是explorer.com而不是explorer.exe。
2再將每個硬盤分區根目錄下bbs.exe和web.exe兩個文件刪除掉,注意:刪除後就不要再打開這個分區了,否則會再次感染。
3刪除%WinDir%\explorer.com文件(注:WindowsXP係統在C:\windows\explorer.com,Windows2000/NT係統在C:\WINNT\explorer.com。)
4最後在注冊表中刪除
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Net"=%WinDir%\services.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows]
"Load"=%WinDir%\assistse.exe
這兩個鍵值,這樣病毒就不會隨這機器開機運行了。
三,高波和瑞波
高波: Backdoor/Agobot.** “高波”主要利用網絡弱密碼共享進行傳播的後門程序。該後門程序還可利用微軟DCOM RPC漏洞提升權限,允許黑客利用IRC通道遠程進入用戶計算機。該程序運行後,程序文件自我複製到係統目錄下,並修改注冊表,以實現程序的開機自啟。開啟黑客指定的TCP端口。連接黑客指定的IRC通道,偵聽黑客指令。
瑞波:該病毒經過多層壓縮加密殼處理,可以利用多種係統漏洞進行傳播,感染能力很強。中毒計算機將被黑客完全控製,成為"僵屍電腦"。由於此病毒會掃描感染目標,因此可以造成局域網擁堵。
高波:
第一種
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、高波手工清除:打好微軟MS03-007、MS03-026、MS04-011、MS04-031補丁,在係統目錄下找到病毒文件名為Medman.exe,並將其刪除。
第二種
1、進入任務管理器,結束winaii.exe和netlink32.exe進程,然後打開資源管理器,進入c:\windows\system32目錄,查找winaii.exe和netlink32.exe兩文件,將其刪除。在係統啟動項目(開始>運行>msconfig進入)中去掉其相應的加載啟動項。然後安裝殺毒軟件,升級病毒庫後進行殺毒。接著安裝相應windowsXP或windows2000的補丁程序,重啟係統。
2、如果按如上的方法不能清除病毒,可以從安全模式下進行處理,方法如下:在安全模式下,打開注冊表,在“編輯”中“查找”“winaii.exe”和“netlink32.exe”,刪除找到的“winaii.exe”和“netlink32.exe”項目。查看windows\system32目錄下是否有winaii.exe和netlink32.exe這兩個文件,有則刪除。最後殺毒、打補丁並重啟計算機。
3、該病毒具有密碼庫,能夠破解機子的一些較簡單的密碼(密碼僅包含數字或26個字母稱為簡單密碼),尤其是對於windows2000係統,往往剛殺完病毒後又染上該病毒了。所以建議在殺毒的過程中最好斷開網絡連接,確定殺完病毒和打好補丁(MS03-007、MS03-026、MS04-011、MS04-031補丁)後,為機子重設一個複雜的密碼(密碼包含問號,點號等特殊符號)。
瑞波:
手工清除:在係統目錄下找到病毒文件msxml32.exe,在注冊表中找到鍵值msxml32.exe,將其刪除。打上微軟MS03-007、MS03-026、MS04-011、MS04-031四個漏洞補丁
四、“CHM木馬”
病毒名稱:Exploit.MhtRedir
病毒中文名:“CHM木馬”
病毒類型:木馬、腳本
危險級別:★★
影響平台:Windows98/ME/NT/2000/XP/2003
描述:
利用IE瀏覽器MHTML跨安全區腳本執行漏洞(MS03-014)的惡意網頁腳本,
自從2003年以來,一直是國內最為流行的種植網頁木馬的惡意代碼類型,
2005年下半年,泛濫趨勢稍有減弱,2006年上半年的感染數量仍然很大,
沒有短期內消亡的跡象。
手工清除方法:
打上微軟MS03-014和MS04-023係統漏洞補丁,找到以下病毒和配置文件並將其刪除:
%SystemDir%\dllcache\pk.bin,3680字節,病毒配置文件
%SystemDir%\dllcache\phantom.exe,393216字節,病毒程序
%SystemDir%\dllcache\kw.dat,803字節,病毒配置文件
%SystemDir%\dllcache\phantomhk.dll,8704字節,病毒模塊
%SystemDir%\dllcache\phantomi.dll,215040字節,病毒模塊
%SystemDir%\dllcache\phantomwb.dll,40960字節,病毒模塊
在注冊表中定位到鍵值,並將該鍵值刪除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Phantom"=%SystemDir%\dllcache\phantom.exe
五、“QQ大盜”
病毒名稱:Trojan/QQPass
病毒中文名:“QQ大盜”
病毒類型:木馬
危險級別:★
影響平台:Win9X/2000/XP/NT/Me
描述:Trojan/QQPass.ak是用Delphi編寫並經過壓縮的木馬,用來竊取遊戲"傳奇"信息。
傳播過程及特征:
1.創建下列文件:
%System%\winsocks.dll,91136字節
%Windir%\intren0t.exe,91136字節
2.修改注冊表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Intren0t"=%Windir%\intren0t.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]"Intren0t"=%Windir%\intren0t.exe
這樣,在Windows啟動時,病毒就可以自動執行。
注:%Windir%為變量,一般為C:\Windows或C:\Winnt;%System%為變量,一般為C:\Windows\System(Windows95/98/Me),C:\Winnt\System32(WindowsNT/2000),或C:\Windows\System32(WindowsXP)。
手工清除:
在係統目錄找到病毒文件winsocks.dll和intren0t.exe,並將其刪除。打開注冊表並定位到以下鍵值,將鍵值刪除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Intren0t"=%Windir%\intren0t.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Intren0t"=%Windir%\intren0t.exe
六、“工行釣魚木馬”
病毒名稱:TrojanSpy.Banker.**
病毒中文名:“工行釣魚木馬”
病毒類型:木馬
危險級別:★★★
影響平台:Windows98/ME/NT/2000/XP/2003
描述:這是一個十分狡猾的盜取網上銀行密碼的木馬病毒。病毒運行後,在係統目錄下生成svchost.exe文件,然後修改注冊表啟動項以使病毒文件隨操作係統同時運行。
病毒運行後,會監視微軟IE瀏覽器正在訪問的網頁,如果發現用戶在工行網上銀行個人銀行登錄頁麵上輸入了帳號、密碼,並進行了提交,就會彈出偽造的IE窗,內容如下:“為了給您提供更加優良的電子銀行服務,6月25日我行對電子銀行係統進行了升級。請您務必修改以上信息!”
病毒以此誘騙用戶重新輸入密碼,並將竊取到的密碼通過郵件發送到一個指定的163信箱。該病毒同時還會下載灰鴿子後門病毒,感染灰鴿子的用戶係統將被黑客遠程完全控製。
手工清除:在係統目錄下找到svchost.exe病毒文件,並將其刪除,打開注冊表找到svchost.exe的關聯鍵值,並將其刪除。
七、“敲詐者”
病毒名稱:Trojan/Agent.**
病毒中文名:“敲詐者”
病毒類型:木馬
危險級別:★★★
影響平台:Win9X/ME/NT/2000/XP/2003
描述:毒在本地磁盤根目錄下建立一個屬性為係統、隱藏和隻讀的備份文件夾,名為“控製麵板.{21EC2020-3AEA-1069-A2DD-08002B30309D}”,同時搜索本地磁盤上的用戶常用格式文檔(包括.xls、.doc、.mdb、.ppt、wps、.zip、.rar),把搜索到的文件移動到上述備份文件夾中,造成用戶常用文檔丟失的假象
手工清除方法:
1、打開工具選項—〉文件夾選項—〉選擇顯示所有文件和文件夾並且將隱藏受保護的操作係統把文件前的√去掉。
2、將根目錄下的名為“控製麵板”隱藏文件夾用WinRAR壓縮,然後啟動WinRAR,切換到該文件夾的上級文件夾,右鍵單擊該文件夾,在彈出菜單中選擇"重命名"。
3、去掉文件夾名“控製麵板”後麵的ID號,即可變為普通文件夾了;也可直接進入該文件夾找回丟失的文件。
八、維京
該病毒同時具有文件型病毒、蠕蟲病毒、病毒下載器等類病毒的特點,進入用戶的電腦之後,它會從網上瘋狂下載多個木馬、QQ尾巴等安裝在中毒的電腦中,竊取用戶的網絡遊戲密碼,嚴重時造成係統完全崩潰。
手工清除方法:
在下列係統目錄中找到相應病毒文件並刪除:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目錄\vdll.dll
定位到以下注冊表鍵值並將其刪除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\current\Version\Run]
"load"="C:\\Windows\\rundl132.exe"
[HKEY_CURRENT_USER\Softwre\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\Windows\\rundl132.exe"
九,愛情後門
一、感染後的症狀
在每個盤裏自動生成幾個壓縮包,install.ZIP pass.ZIP setup.ZIP bak.RAR
pass.RAR
二、方法
第一種
結束進程: hxdef.exe iexplore.exe NetMeeting.exe
(如果結束不了,進安全模式(開機,按F8)在殺毒。或者先刪注冊表中的各項,重啟後再刪文件)
刪掉%systemroot%system32下(systemroot,即安裝係統的分區,一般為 C:\ )的:
hxdef.exe
ravmond.exe
iexplore.exe
kernel66.dll
odbc16.dll
msjdbc11.dll
MSSIGN30.DLL
spollsv.exe
NetMeeting.exe
(注意,有的文件是隱藏文件)
刪掉%systemroot%目錄下的systra.exe
刪掉各個磁盤跟目錄下的autorun.inf和command.exe(都是隱藏文件)
刪掉各個磁盤跟目錄下的rar和zip文件(大小126k)
關閉係統還原(此病毒可能感染係統還原目錄內的文件)
搜索各磁盤中的.zmx文件,把相應目錄中的exe文件刪掉(如果是abc.zmx,就刪掉abc.exe,注意,此文件是125k。)然後把zmx文件改回exe(如abc.zmx改成abc.exe)。文件屬性被修改,通過下麵這條命令改回屬性:attrib -s -h *.zmx /s(在發現zmx文件的磁盤跟目錄下運行,如:F:>attrib -s -h *.zmx /s
刪掉注冊表中下麵各項:
HKEY_LOCAL_MACHINESOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
"Hardware Profile"="%Windir%\System32\hxdef.exe"
"VFW Encoder/Decoder Settings"="
RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%Windir%\System32\IEXPLORE.EXE"
"Shell Extension"="%Windir%\System32\spollsv.exe"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
unServices
"SystemTra"="%Windir%\SysTra.EXE"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices_reg
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows
Management Protocol v.0 (experimental)
進入注冊表的方法: "開始" \ "運行" \ 輸入"regedit" \ 回車
第二種
手工殺毒步驟為:
1.刪除了以上列出的病毒文件,有些文件隻能在安全模式下刪除。
2.然後修改注冊表,刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run]中的相應條目。
3.刪除服務,可以使用resource kit中的delsrv命令,也可以到注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services中刪除。
做了以上工作後,計算機暫時恢複正常。但是過了一段時間以後,發現計算機重新感染病毒,原來的所有現象重新出現。再做一遍仍然如此。使用任務管理器查看進程,未發現其它可疑進程。後來使用瑞星最新版本殺毒,可以看到winnt\explorer.exe感染病毒,但無法殺掉。所以把注意力轉到這個文件上,經檢查文件尺寸為238kb,到別的正常機器上一看,結果是233kb,原來如此。由於操作係統運行過程中無法替換該explorer.exe文件,所以使用win2000安裝光盤啟動,進入恢複控製台。使用軟盤把從正常計算機上拷貝來的文件替換上。並且使用上麵的三個步驟手工殺毒。
十、工行釣魚木馬:
這是一個十分狡猾的盜取網上銀行密碼的木馬病毒。病毒運行後,在係統目錄下生成svchost.exe文件,然後修改注冊表啟動項以使病毒文件隨操作係統同時運行。
病毒運行後,會監視微軟IE瀏覽器正在訪問的網頁,如果發現用戶在工行網上銀行個人銀行登錄頁麵上輸入了帳號、密碼,並進行了提交,就會彈出偽造的IE窗,內容如下: “為了給您提供更加優良的電子銀行服務,6月25日我行對電子銀行係統進行了升級。請您務必修改以上信息!”
病毒以此誘騙用戶重新輸入密碼,並將竊取到的密碼通過郵件發送到一個指定的163信箱。該病毒同時還會下載灰鴿子後門病毒,感染灰鴿子的用戶係統將被黑客遠程完全控製。
1、自動清除:斷開網絡,升級殺毒軟件對電腦進行全盤掃描。
2、手工清除:在係統目錄下找到svchost.exe病毒文件,並將其刪除,打開注冊表找到svchost.exe的關聯鍵值,並將其刪除
