手动清除病毒集锦 - 『青春校园』 - 会师楼中国甘肃白银会宁人家在线论坛

添加马甲

请在下面输入您的马甲帐号信息, 然后点击 "添加" 按钮. 马甲信息添加后不能修改, 如果您修改了马甲的密码或安全提问, 请删除这个马甲并重新添加.
注意，每添加一个马甲收取工本费 200 金钱

用户名
密码

安全提问
回答

附加设置	将正在使用的帐号添加为正在添加的马甲账号的马甲

会师楼 » 『青春校园』 » 手动清除病毒集锦

‹‹ 上一主题 | 下一主题 ››

153 3/16 ‹‹1 2 3 4 5 6 7 8 9 10 ›››|

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第21楼

大中小

使用道具

发表于 2007-12-4 11:07 资料短消息加为好友

分享到：

BoBoTurbo.exe进程的清除方法

BoBoTurbo.exe进程并不是病毒及恶意程序，这是大家看P2P电影时安装的一个插件。
该文件一般在 C:\WINDOWS\system32\BoBoTurbo 目录下!
用途:P2P多媒体网络点播/广播/直播系统/点对点数据传送
简单说就是用于看网络电影,或下载传送东西用的!
如果你有下载P2P的相关东西就没问题!否则就要清理一下!
BoBo P2P控件的智能升级服务和P2P加速服务组件可以在“服务”里找到“BoBoTurbo”改为手动，这样开机时就不会自启动了！
如果你不看电影，可以用下述方法清除：
（1）打开任务管理器，右键结束掉其进程树
（2）打开C:\Windows\Syste32\BoBoTurbo 删除这整个文件夹
（3）打开管理工具，找到服务管理器，停用Boboturbo这个服务，并禁用，再打开“运行”对话框，输入CMD 打开命令行模式，输入C:\WINDOWS\system32>sc delete BoBoTurbo ，按回车执行这个命令，显示删除BoBoTurbo服务成功
（4）再在“运行”中输入Regedit.exe，打开注册表编辑器，搜索所有包含BoBoTurbo的注册表项，删除之。大功告成！
这里要注意几点：第一，注意上面的顺序不可以换，否则会出现无法操作的情况，必须结束进程在卸载服务，必须先卸载服务再删除注册表，否则有些注册表无法删除。
另外，如果是WINDOWS XP ，打开C:\Documents and Settings\All Users\Documents/myBOBOTURBO ，如果有这个文件夹，一般都相当大，可以直接删除之。甚至可能达1G甚至数G大
清除工具下载：http://www.motoyi.com/Down/Specialized/200712/Down_94.shtml

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第22楼

大中小

使用道具

发表于 2007-12-4 11:24 资料短消息加为好友

桌面侵入者(shdocvw32.dll)病毒手动解决及专杀工具

中毒现象：xp系统启动无法显示任务栏和桌面图标
同事的机器,有许多重要文档在c盘,最好不要重装系统.症状是启动后桌面只显示壁纸,无法显示任务栏和程序图标,进程中没有explorer.exe,手动在任务管理器里加载explorer.exe进程也只是快速的闪一下，安全模式下同样无法显示任务栏和图标
　　前言：
　　本专杀修复工具目前只针对一种病毒可以有效处理，中该病毒的计算机特征是在用户当前系统“%SystemRoot%\System32\”目录下存在“shdocvw32.dll”DLL组件文件，由于不同杀毒软件对此病毒的命
名不同，所以在这里我们称该病毒为“桌面侵入者(shdocvw32.dll) 病毒”。
　　提示：
　　在使用本软件杀毒修复前请关闭您机器中运行着的所有软件（包括杀毒软件和其它监控工具等），不然可能无法达到完全杀毒和修复的效果。如果经过本软件扫描确定您计算机已经中该病毒，在清除过程中会使您计算机的桌面消失一段时间，请耐心等待，杀毒完毕后就会恢复正常显示。
　　用途：
　　本专杀修复工具第一种用途是：当您的计算机如果中了该病毒，而且使用其它专业杀毒软件杀死该病毒后无法显示系统桌面和任务栏的话，那么请用本专杀修复工具来修复您的计算机系统。本专杀修复工具第二种用途是：当您的计算机如果中了该病毒，可以直接使用本专杀修复工具来杀死该病毒和修复您的计算机系统。
专杀下载：http://www.motoyi.com/Down/Specialized/200711/Down_92.shtml
　　使用技巧：
　　有些用户使用过杀毒软件把病毒杀死后，桌面程序启动不了了怎么办呢？我现在就告诉大家个好的处理办法。首先想办法把这个专杀程序拷贝到被感染的计算机中(比如用U盘)，然后把被感染计算机中的任务管理器启动起来（Ctrl+Shift+Esc），接着用任务管理器把这个专杀程序调用启动，最后点击[开始杀毒]，它就会把您启动不了桌面的系统全部修复好拉，重启就可以了！
手工解决方法：
从正常的系统里复制c:\windows\system32\shdocvw.dll文件，重命名为shdocvw32.dll，粘贴到问题电脑的c:\windows\system32\文件夹里，运行explorer.exe，一切就都恢复了。
　　另一种更合理的解决方法（就是比较麻烦，所以才说了上面的方法）：
　　显示不了桌面是因为没有恢复被病毒破坏的注册表。
　　在注册表中，查找shdocvw32.dll并将其值替换为shdocvw.dll便可以解决。
　　注意：shdocvw32.dll文件名可能不止一个，请将每个都修改方可。注册表搜索快睫键F3。

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第23楼

大中小

使用道具

发表于 2007-12-13 11:12 资料短消息加为好友

recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒手动解决

一、病毒描述：
      病毒通过U盘传播，运行后复制自身到系统目录并释放一个灰鸽子木马。为增强隐蔽性，生成的病毒文件有回收站和安装程序两种图标。　　

二、病毒基本情况：
      病毒名称：Trojan-Dropper.Win32.VB.rj
      病毒别名：无
      病毒类型：病毒
      危害级别：3
      感染平台：Windows
      病毒大小：458,752(字节)
      SHA1　　：b86e419783b2d1ca9a5d4ea7de4711cf3da7a83b
      加壳类型：无
      开发工具：Microsoft Visual Basic 5.0 / 6.0

三、病毒行为：
      1、病毒运行后会生成以下文件：
         %windir%\svchost.exe　(458752 字节，回收站图标)
         %windir%\ravfree.exe　(307640 字节，安装程序图标，灰鸽子木马)
         %ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe　(307640 字节，安装程序图
         标，灰鸽子木马)
         %windir%\system32\_servieces.exe　(307640 字节，安装程序图标，灰鸽子木马)
      2、修改注册表添加一个启动项：
         键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
         键名：Shell
         键值：Explorer.exe %windir%\svchost.exe 　　
      3、为灰鸽子木马添加一个服务：
         服务名称：system starmize
         显示名称：system starmize
         描述：系统自带启动优化
         可执行文件路径：%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe
         启动类型：自动　　
      4、修改系统时间。通过执行cmd.exe /c date 1980-01-01命令，将系统时间修改为1980年。
      5、监视U盘等移动设备，拷贝自身到U盘里面并命名为recycle.exe，写入autorun.inf，以达到随U盘传播的目的。
      6、病毒释放的灰鸽木马会连接http://sx.yixiti.net.ru/i/i.txt下载i.txt文件，根据i.txt文件中的内容连接黑客
         并接受其控制。
      7、监视自身文件及启动项，防止被删除。

四、解决方案：
      1、删除注册表内的启动项。修改注册表删除病毒启动项，删除键值内的%windir%\svchost.exe：
         键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
         键名：Shell
         键值：Explorer.exe %windir%\svchost.exe
      2、重启计算机，进入安全模式。
      3、删除病毒文件。删除以下文件：
         %windir%\svchost.exe
         %windir%\ravfree.exe
         %ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe
         %windir%\system32\_servieces.exe
      4、删除病毒添加的服务。打开超级巡警，使用服务管理功能删除名为system starmize的服务。
      5、修正系统时间。　　

五、对预防此病毒的建议：
      由于此病毒是通过U盘传播的，所以建议使用超级巡警的U盘免疫对U盘进行免疫，并且废除系统的自动运行功能。再将U盘插入到电脑时要对U盘进行杀毒，然后再使用。

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第24楼

大中小

使用道具

发表于 2007-12-13 11:14 资料短消息加为好友

木马 msavpw0.dll 杀毒方法

病毒名称：Trojan-PSW.Win32.OnLineGames.aqr [exe]（Kaspersky）
病毒别名：Trojan.PSW.Win32.Wowar.tr [exe]（瑞星）, Trojan.PSW.Win32.OnlineGames.xuf [dll]（瑞星）
　　　　　 Win32.PSWTroj.Wowar.tr.86016 [exe]（毒霸）, Win32.PSWTroj.OnlineGames.27136 [dll]（毒霸）
病毒大小：12,044 字节
加壳方式：PE_Patch UPack
样本MD5：07e6077efe9f3584c5fbb2bd7a6b6e8d
样本SHA1：a492066f0ba522ee011bf716c56e469a7259faa9
传播方式：恶意网页、其它木马下载
技术分析
==========
魔兽木马，运行后释放dll到系统目录并注入进程：
%System%\msavpw0.dll
创建ShellExecuteHooks启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{86AAC8D7-BA19-48AC-9269-3C76A52642EC}"="Extr rising hook MS"
[HKEY_CLASSES_ROOT\CLSID\{86AAC8D7-BA19-48AC-9269-3C76A52642EC}\InprocServer32]
@="%System%\msavpw0.dll"
木马不断重写释放出的dll文件和启动项。
设置注册表信息：
[HKEY_CLASSES_ROOT\CLSID\{86AAC8D7-48AC-9269-BA19-3C76A52642EC}]
"ExeModuleName"="{原文件}"
"DllModuleName"="%System%\msavpw0.dll"
"SobjEventName"="CZXSDERDAKSIIMS_0"
清除步骤
==========
1. 退出已打开的应用程序，关闭打开的窗口，结束Explorer.exe进程(ctrl+alt+del组合键调用任务管理器,结束进程)
2. 删除（或重命名/移动）木马文件(如遇提示无法删除文件，到www.skycn.com下载费尔木马强制删除器工具进行强制删除)：
%System%\msavpw0.dll
3. 运行Explorer.exe进程
4. 删除木马创建的ShellExecuteHooks启动项和相关信息(开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作)：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{86AAC8D7-BA19-48AC-9269-3C76A52642EC}"="Extr rising hook MS"
[HKEY_CLASSES_ROOT\CLSID\{86AAC8D7-BA19-48AC-9269-3C76A52642EC}]
[HKEY_CLASSES_ROOT\CLSID\{86AAC8D7-48AC-9269-BA19-3C76A52642EC}]
5. 如果第2步中没有删除木马文件，重启计算机后再删除重命名或移动过的木马文件：
%System%\msavpw0.dll

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第25楼

大中小

使用道具

发表于 2007-12-13 11:15 资料短消息加为好友

IE首页被篡改为sdo.90908080.com的手动解决

有案例证实是局域网的ARP攻击
　　sdo.90908080.com病毒中毒症状：
　　sdo.90908080.com恶意链接、篡改IE
　　最近发现一个sdo.90908080.com恶意链接，起先只是访问网站时不断弹出ftp登录窗口，后来发展到访问任何网站都会转移到访问 sdo.90908080.com，由此导致所有网站几乎不能访问，hosts文件完好、注册表无此内容，域名解析地址为：59.34.197.78
　　查看被盗链网页源文件发现盗链在第一行，访问很多网站都会修改网页第一行为
　　在网站的源文件中有 <iframe src='http://sdo. 90908080. com/bd.htm' width=1 height=1></iframe> 这一段代码
　　现在局域往网中大部分机都有这个问题一打开网叶就出现
　　主要是一些比较大的网站会有比如BAIDU 126 TOM等 (GOOGLE没有...)
　　现在陆由器检测到有几台机的流量很大(比一般的大几百倍) 换掉了现在还是没有用不知道是不是有残余..
　　sdo.90908080.com病毒清除办法：
　　sdo.90908080.com病毒是局域网内ARP攻击所造成的，要彻底的解决这个病毒
　　1.在局域网内找出中毒的机器，让机器在安全模式下面杀毒，清除病毒
　　2.全部被攻击的机器清除internet临时文件（cookies、其他临时文件：因为目前发现她只是通过缓存文件修改网页），重启一下
　　3.在防火墙或安全程序和路由器中sdo.90908080 . com和www .851733. cn加入黑名单，对应地址：59.34.197.78和60.190.114.35
　　4.安装arp个人防火墙

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第26楼

大中小

使用道具

发表于 2007-12-13 11:16 资料短消息加为好友

Backdoor.Win32.Hupigon.cre病毒手动解决一例

病毒
　　1.下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃)
　　2.使用冰刃删除如下文件(详细步骤：打开冰刃－文件－依次找到病毒文件删除即可)。

　　C:\WINDOWS\system32\Camfrog
　　C:\WINDOWS\system32\SysKernel.dll
　　==================================
　　3.SREng操作如下，启动项目 -->服务-->Win32服务的如下项目删除：

　　[Background Intelligent Transfer Service / BITS][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\SysKernel.dll><N/A>

　　[WINSP2 / WINSP2][Running/Auto Start]
<C:\WINDOWS\system32\Camfrog><N/A>

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第27楼

大中小

使用道具

发表于 2007-12-13 11:39 资料短消息加为好友

U盘病毒1.exe简单解决方法

一个U盘病毒，今天的偌顿、AVG、DR、BD都没有报。。
　　是个后门，互联网.
　　反向连接21.206.0.1**（福建省漳州市）接受控制端控制。。
　　不写分析了，解决方法：

　　1、先显示所有隐藏的文件，然后到C—F盘下删除autorun.inf和1.exe。
　　有U盘的话也检查下，全部删除后：
　　2、下载SRng：http://www.skycn.com
　　删除：
　　注册表（详细步骤：打开SREng－启动项目－注册表）
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\windows\CTFM0N.EXE> [Microsoft Corporation]

　　注意路径和文件名！！
　　正常的应该是Ctfmon.exe，它是CTFM0N.EXE，那个是数字0，而不是字母O
　　路径也不正常，注意区别，不要删错了！！！
　　正常的应该是在C:\windows\System32\Ctfmon.exe
　　然后重启电脑，重启后删除C:\windows\CTFM0N.EXE

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第28楼

大中小

使用道具

发表于 2007-12-13 11:43 资料短消息加为好友

木马 wnipsvr.exe 解决方案

病毒名称：N/A（Kaspersky）
　　病毒别名：New Malware.n（McAfee）
　　　　　 Trojan.DL.Win32.List.e（瑞星）
　　病毒大小：24,323 字节
　　加壳方式：UPack
　　样本MD5：e4d3e442916bcbd39fd594c675b565cf
　　样本SHA1：5879cfc64f33881d13ea26b1a7c540a4088bbf25
　　传播方式：通过恶意网页、其它木马下载，可通过移动存储设备传播

　　技术分析
　　==========
　　木马下载器，运行后复制自身到系统目录：
　　%System%\wnipsvr.exe
　　创建服务：

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\This web]
　　显示名：1111111
　　描述：允许对T名称解析的支持。
　　可执行文件的路径：%System%\wnipsvr.exe
　　可能将自身复制到分区根目录：
　　X:\Hide.exe
　　X:\AutoRun.inf
　　访问网络下载其它病毒、木马或恶意程序保存到%ProgramFiles%目录下并运行。

　　手动清除步骤
　　==========
　　下载IceSword120_cn.zip(冰刃)
　　1. 删除服务（打开冰刃－注册表－依次找到病毒注册表选项删除即可）：

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\This web]
　　2. 重新启动计算机
　　3. 删除文件（打开冰刃－文件－依次找到病毒文件删除即可）：
　　%System%\wnipsvr.exe
　　%System%\perefic.ini
　　%ProgramFiles%\pro{数字}.exe
　　%ProgramFiles%\ini.ini
　　4. 通过资源管理器文件夹树形目录进入分区根目录，删除：
　　X:\Hide.exe
　　X:\AutoRun.inf

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第29楼

大中小

使用道具

发表于 2007-12-13 11:53 资料短消息加为好友

定时关机病毒（Trojan.Win32.ShutDown）分析与清除

      Trojan.Win32.ShutDown（关机）病毒：
　　警惕程度★★★，
　　木马病毒，通过网络传播，
　　依赖系统：WIN9X/NT/2000/XP。
　　这是采用VC语言编写的木马病毒，运行后复制多个文件到系统中，修改注册表实现开机自启动。病毒会搜索窗口，“进程查看器”、“注册表编辑器”、 “Windows 任务管理器”等程序不能正常运行。开机1200秒（20分钟）后，病毒试图强行关闭用户电脑，给用户造成很大困扰。

　　病毒分析：

　　一、将自己复制为以下几个文件：

　　C:\WINDOWS\system32\winvor.exe
　　C:\WINDOWS\view.exe
　　C:\system32.exe
　　C:\Documents and Settings\All Users\「开始」菜单\程序\启动\start.pif

　　二、修改注册表以下键以达到其自启动的目的：

　1.  HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Currentversion\Run
   增加数据项："RUNEXE"
   数据值："％WINDIR％\VIEW.EXE"

   2. HKEY_CLASSES_ROOT\txtfile\shell \open\command
   (默认)
   数据值："C:\WINDOWS\system32\winvor.exe"

　　三、查看当前系统是否存在以下窗口，如果有则将它们结束：
   "进程查看器"、
   "注册表编辑器"、
   "Windows 任务管理器"
　　四、查看当前系统是否存在以下进程，如果有则将它们结束：
   "taskmgr.exe"、
   "regedit.exe"、
   "cmd.exe"

　　五、在C盘根目录下生成名为"autorun.inf"的文件，该文件会导致用户在访问C盘的同时将"C:\system32.exe"（病毒文件）运行。
　　六、创建一个线程，该线程执行后将休眠1200秒然后关闭本地计算机。
　　手动解决方法：（杀毒软件基本在安全模式下可以查杀）
　　---------删除以下病毒文件：（下个UNLOCKER 软件（可到www.skycn.com下载）删除不了的文件解锁后-删除）
C:\WINDOWS\system32\winvor.exe
C:\WINDOWS\view.exe
C:\system32.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\start.pif
　---------修复注册表开始--运行--输入REGEDIT ，打开注册表依次进行以下操作：
1.  HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
增加数据项："RUNEXE"
数据值："％WINDIR％\VIEW.EXE"
2.  HKEY_CLASSES_ROOT\txtfile\shell
\open\command
(默认)
数据值："C:\WINDOWS\system32\winvor.exe"
　　------运行USBCLEANER软件帮你清除每个盘下面的autorun.inf文件
　　------进安全模式下杀毒软件全面扫描用SRENG（可到down.45it.com下载）的系统修复修复系统

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第30楼

大中小

使用道具

发表于 2007-12-14 11:49 资料短消息加为好友

天使病毒清除办法

进入注册表
删除如下项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
MMSAssist BHO]
{6671A431-5C3D-463d-A7CF-5587F9B7E191}
[珊瑚虫工具栏]
{D74EC18E-3DDD-4174-B1B1-949FE3B8366D}
[免费精彩视频超流畅在线观看]
{022C4009-5283-4365-97BF-144054B40E2E}
[游一游]
{29269350-EC07-4274-821F-F2E0E2697149}
[MMSAssistMenu]
{6671A433-5C3D-463d-A7CF-5587F9B7E191}
>> 彩信发送 <<]
开始－－控制面板－－性能和维护－－管理工具－－服务
禁用[GrayPigeon_Hacker.com.cn / GrayPigeon_Hacker.com.cn]
开始－－运行
输入regedit
确定
进入注册表
展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
找到后删除GrayPigeon_Hacker.com.cn文件夹

卸载
C:\Program Files\Infofo Bar\
C:\Program Files\MMSAssist\

删除
C:\Program Files\Infofo Bar\
C:\Program Files\MMSAssist\
C:\WINDOWS\system32\Serverx.exe
C:\WINDOWS\win.exe
C:\WINDOWS\win.dll
C:\WINDOWS\winkey.dll
C:\WINDOWS\win_hook.dll
这个病毒会自我复制的，要升级卡巴斯基至最新版本，且在安全模式下查杀

153 3/16 ‹‹1 2 3 4 5 6 7 8 9 10 ›››|

京ICP备07018629号
本站QQ群69392608

当前时区 GMT+8, 现在时间是 2025-6-25 05:37

免责声明：本站部分文章、资源来自互联网,版权归原作者所有。如侵犯了您的权利,请及时告知,我们将于第一时间删除！

TOP

清除 Cookies - 联系站长 - 精简版 - 手机版