手动清除病毒集锦 - 『青春校园』 - 会师楼中国甘肃白银会宁人家在线论坛

添加马甲

请在下面输入您的马甲帐号信息, 然后点击 "添加" 按钮. 马甲信息添加后不能修改, 如果您修改了马甲的密码或安全提问, 请删除这个马甲并重新添加.
注意，每添加一个马甲收取工本费 200 金钱

用户名
密码

安全提问
回答

附加设置	将正在使用的帐号添加为正在添加的马甲账号的马甲

会师楼 » 『青春校园』 » 手动清除病毒集锦

‹‹ 上一主题 | 下一主题 ››

153 5/16 |‹‹‹3 4 5 6 7 8 9 10 11 12 ›››|

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第41楼

大中小

使用道具

发表于 2007-12-22 10:19 资料短消息加为好友

分享到：

AUTO病毒 Worm.Autorun.c.17463清除方法

解决方案：
该病毒采用和AV终结者类似的手法，改系统时间令卡巴失效，利用移动存储设备的自动播放功能启动。病毒还会释放很多个文件名随机的DLL文件和EXE文件，注入正常程序进程，下载其它木马或安装流氓软件。

因病毒变种较多，手工查杀不易，应优先使用杀毒软件完成清除。当毒霸提示需要重启清除时，一定要重启。毒霸2008的抢先杀毒技术会在重启电脑过程中，将病毒彻底清除。

分析：这是一个AUTO病毒。该病毒运行后，会立即修改系统时间，使依赖时间的杀毒软件立即失效。并且会在各盘中生成AUTO病毒文件。当用户鼠标左键双击进入AUTO病毒的盘时，病毒则触发运行。
1.病毒运行后，生成以下病毒文件
%system32%\C4393B08.DLL
%system32%\ED9825C0.EXE
%system32%\llk1131786170.h
%system32%\n1131786173k.exe
并且在各盘中生成AUTO病毒文件
2.病毒运行成功后会自删除，使用户无法找到病毒源文件。
3.病毒成功运行后，会修改系统时间为2005年，使杀软卡巴斯基的激活码失效，导致用户系统的安全性能大大降低，病毒
可以肆意在机器中进行任何操作。
4.在任务管理器中可以看到病毒进程已经在执行操作，每隔一段时间将会使桌面图标消失，然后再显示出来。
5.打开浏览器时，占用的内存非常高。
6.在各盘中产生的AUTO病毒分别为:autorun.inf和auto.exe，这两个病毒文件都具有隐藏属性，其中auto.exe还有伪装微
软系统文件的属性。当用户左键双击有AUTO病毒的盘时，则会触发病毒且运行起来。
7.当鼠标左键双击进入盘符的时候，会等待一会才进入，而且可以发现进入的时候是另外弹出一个窗口进入的，此时证明
已经触发AUTO病毒，再仔细观察，隐藏文件的属性已经被修改，无法显示隐藏文件。
8.查看启动项，已经被病毒添加了许多的病毒启动项，都随着系统的启动而运行。
9.病毒还会尝试把其他的病毒文件进行复制，当复制到系统盘内则可进行病毒操作。
10.最后导致不段的弹窗口，由于系统资源严重被占用，关闭窗口速度缓慢，所以造成系统严重瘫痪。

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第42楼

大中小

使用道具

发表于 2007-12-22 14:20 资料短消息加为好友

警惕Win32.Downloader.w感染型Autorun

一、病毒相关分析：

病毒标签：
病毒名称：Virus.Win32.Downloader.w
病毒类型：病毒
危害级别：3
感染平台：Windows
病毒大小：46,080(字节)
SHA1　　：70eb5b5fadede75ef06bdbcb788d49b085ffc6bf
加壳类型：UPX
开发工具：Borland Delphi
警惕Win32.Downloader.w

病毒行为：
1、程序运行后，下载以下文件
　 bbb.*****.info/ver.txt
　 aaa.*****.info/winint.exe
　 aaa.*****.info/winsys.inf
　 aaa.*****.info/winsys.exe
　 ccc.*****.cn/main.exe
　 ccc.*****.cn/m1.exe
　 ccc.*****.cn/m2.exe
2、生成文件：
　 %CommonProgramFiles%\m1.exe
　 %System%\wincom.exe
　 %CommonProgramFiles%\m2.exe
　 %System%\Rpcsdsamfj.exe
　 %System%\Rpcssfamjf.dll
3、遍历目录，跳过以下文件夹或文件，并感染exe与scr文件：
　 windows、winnt、recycler、$recycle.bin、system volume information、config.msi、installshield
　 installation information、internet explorer、outlook express、netmeeting、common files、messenger、
　 windows media player、winrar、msocache、documents and settings
4、感染文件被插入代码后如图：
　　　　　
二、安全建议

　　 1、使用360补丁检查功能，及时安装系统补丁。
　　 4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设置为可写或可控制。
　　 5、禁用不必要的服务。
　　 6、不要随意下载不安全网站的文件并运行。
　　 7、下载和新拷贝的文件要首先进行查毒。
　　 8、不要轻易打开即时通讯工具中发来的链接或可执行文件。
　　 9、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用360实时保护，进行免疫。
　　 10、做好系统和重要数据的备份，以便能够进行系统和数据灾难恢复。

注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%\System，在WindowsNT/2000/XP/2003/VISTA中该变
　　量指%Windir%\System32。其它：
　　 %SystemDrive% 　　　　系统安装的磁盘分区
　　 %SystemRoot% = %Windir% 　　WINDODWS系统目录
　　 %ProgramFiles%　　　　　　应用程序默认安装目录
　　 %AppData% 　　　　应用程序数据目录
　　 %CommonProgramFiles%　　公用文件目录
　　 %HomePath% 　　　　当前活动用户目录
　　 %Temp% =%Tmp% 　　　　当前活动用户临时目录
　　 %DriveLetter% 　　　　逻辑驱动器分区
　　 %HomeDrive% 　　　　　当前用户系统所在分区

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第43楼

大中小

使用道具

发表于 2007-12-22 14:27 资料短消息加为好友

gdwli32盗号木马清除方法及专杀工具

　　Gdwli32 是新一代的盗号木马，gdwli32 盗号木马病毒为躲避杀毒软件查杀，不断变名，变形，大量自我复制（bj*srl.dll gd*i32.dll addr* help.dll ，中间为变名字母），普通方式无法彻底清除，Gdwli32病毒不断重写注册表服务项和病毒服务文件(comint32.sys)并启动该服务，gdwli32.dll 通过启动其病毒服务注入各进程。

　　gdwli32.DLL可以将刚刚下载的QQ又被他破坏了，此时如果想打开专杀工具几乎不可能，一打开打开网页也被gdwli32盗号木马关闭了。只要有关于360，木马专杀之类，与病毒这类字的就被关闭了，本来有360的，但也被他给屏了！这是一个盗号木马，它修改注册表服务项，使自己能自动启动。病毒服务启动后，会将病毒文件注入到各进程，盗取《武林外传》、《完美世界》、《诛仙》等网络游戏的帐号信息。

　　gdwli32盗号木马显著特点：

　　1.变名，变形，大量自我复制（bj*srl.dll gd*i32.dll addr* help.dll ，中间为变名字母），躲避杀毒软件查杀，普通方式无法彻底清除
　　2.不断重写注册表服务项和病毒服务文件(comint32.sys)并启动该服务，gdwli32.dll 通过启动其病毒服务注入各进程。
　　3.隐蔽插入到其他程序进程，普通方式难以查杀。
　　4.泄露用户隐私，盗窃网络财产帐号。

　　Gdwli32_Troj，盗取系统里的网络游戏《武林外传》的帐号信息。
　　Gdqqhxi32_Troj，盗取系统上的网络游戏《QQ华夏》的帐号信息
　　Gdzxi32_Troj，盗取系统上的网络游戏《诛仙》的帐号信息
　　Comint32_Troj，此木马是一个系列，可以盗取众多网络游戏的帐号信息

　　gdwli32盗号木马清除办法：

　　暂时没有手动查杀的详细方法，这里只能给出专杀工具提供查杀。请点击这里下载gdwli32盗号木马专杀工具

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第44楼

大中小

使用道具

发表于 2007-12-22 14:29 资料短消息加为好友

Javqhc木马清除方法及专杀工具

　　如果你发现你的机子出现以下现象，就有可能中了Javqhc木马：
　　1、双击 360安全卫士、卡巴斯基、瑞星等安全软件，没有反应。并且硬盘文件被删除。
　　2、登录 www.google.com、www.yahoo.com.cn 等网站被转到了百度或其他网站。
　　3、发现系统中qq安装目录下有 wsock32.dll 存在

　　Javqhc木马显著特点

　　1、安全软件硬盘文件被删除
　　无法打开360、诊断工具等安全软件，运行后被立刻删除。
　　2、常用域名被劫持到其它域名
　　该木马会修改 hosts 表，奇虎360、卡巴斯基、金山、江民、瑞星、赛门铁克等安全厂商的升级服务器、主页、论坛的域名，均被劫持IP为222.73.126.115的主机，画面为假冒百度网，域名显示为cn.yahoo.com。
　　3、病毒文件写入常用软件安装目录，发现系统中 qq 安装目录下有 wsock32.dll 存在。。

　　Javqhc木马清除方法：

　　暂时没有手动查杀的详细方法，这里只能给出专杀工具提供查杀。请点击这里下载Javqhc木马专杀工具

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第45楼

大中小

使用道具

发表于 2007-12-22 14:31 资料短消息加为好友

解决qhbpri木马（AppInit_DLLs）手动清除办法

qhbpri木马（AppInit_DLLs）专杀工具发布!（9月4日更新版本）

   巧的很,发布当天我就体验了一把首发测试,电脑下午新装的系统,主要就在百度,霏凡,迅雷上面查找下需求的软件资源!
   就是这么的巧偏偏让我中上了"AppInit_DLLs"...
开始就是用的安全卫士,没反应,于是就在网上查找病毒原理.看到360论坛里正好有需要的专杀就下载下来使用,结果根本就没有反应,无奈啊!
   还有就是开始提过的,我电脑新装系统,安全卫士都是下载的最新版本<联想关怀版奇虎360安全卫士 v3.6 >.
   我经常去的一个网站被挂马了,就是强制广告程序,我用安全卫士杀了好近一周都没有杀掉,弄得都没心情了.以为安全卫士都杀不掉了,所以才重做的系统.没成想"被"就一个字啊!

   最后找到的最好办法是在百度知道里找到的,还不适合全面在这里我把我的经验再补充进来  <http://zhidao.baidu.com/question/33224644.html?si=1>

----------------------------------------------------

下面是我的详细补充
1. 开始——运行——输入"Regedit"
2. 搜索"******.dll"
3. 删除搜索到的键值。
4. 转到C:\Windows\System32\
5. 删除 ******.dll
6. 重启

不好意思第一次发贴,最详细的贴图传不上来,只好把连接给大家,放心的近吧,
贴图连接http://user.qzone.qq.com/853900/blog/9

病毒路径名称:<kvmxbma.dll> <avzxamn.dll> <rarjapi.dll> <rsmyapm.dll>

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第46楼

大中小

使用道具

发表于 2007-12-22 14:42 资料短消息加为好友

病毒 Sos.Exe、REG.exe、kvdxsjma.dll、Wn_Sys8x.Sys、RxpMoN.Exe 清除方法

Sos.Exe、REG.exe、kvdxsjma.dll
Wn_Sys8x.Sys、RxpMoN.Exe
问题描述：开了电脑以后就开不了任务管理器，说是被管理员禁用了，就是IE打开后过一会就会自己关掉，最严重的就是我想办法打开任务管理器以后发现进程里有很多很多的reg.exe在运行，而且不停的刷新，直到电脑因任务忙打不开任何程序。无奈之下忍痛格盘，重装系统，结果病毒依然存在，然后我又重新分区再重装系统，病毒依然在，没有办法了。
我让他把中毒日志发过来，发现他中毒还点深哟。Sos.Exe、REG.exe、kvdxsjma.dll、Wn_Sys8x.Sys、RxpMoN.Exe。
分析过后，解决方法如下：
（1）使用SREng，解压后打开系统修复，重置HOSTS 文件.
（2）关闭系统还原
方法：我的电脑-右键-属性-系统还原-在所有驱动器上关闭系统还原。
（3）使用UNLOCKER强行删除，将病毒文件解锁删除。其间此文件会加载到许多程序中运行，你只要全部解锁删除即可。
Unlocker 1.8.5汉化绿色免安装版┊强制删除文件或文件夹的专家
http://hi.baidu.com/kongie/blog/item/8975d639d4bb7bf13b87ce00.html
删除文件如下：
C:/WINDOWS/system32/RxpMoN.Exe
C:/WINDOWS/qlnxtj.exe
C:/WINDOWS/system32/kvmxima.dll> 内容来源电脑无毒网

C:/WINDOWS/system32/wsmsczx.dll>
C:/WINDOWS/system32/avzximn.dll>
C:/WINDOWS/system32/swrcezc.dll
C:/Program Files/Internet Explorer/PLUGINS/Wn_Sys8x.Sys
C:/WINDOWS/system32/sidjdzy.dll
C:/WINDOWS/system32/kvdxjma.dll
C:/WINDOWS/system32/ratblpi.dll
C:/WINDOWS/system32/kawdfzy.dll
C:/WINDOWS/system32/avwgfmn.dll
C:/WINDOWS/system32/kvdxsjma.dll
C:/WINDOWS/system32/kaqhjzy.dll
C:/Program Files/WinPcap/rpcapd.exe
C:/WINDOWS/system32/GenProtect.dll
（4）使用AutoGuarder2，请下载到C盘，解压，执行AutoGuarder2进行全盘扫描。
AutoRun和U盘病毒专杀┊自动关闭含有“病毒”内容网页及窗口 AV终结者专杀┊AutoGuarder2
http://hi.baidu.com/kongie/blog/item/39be357a69cce9ed2f73b344.html
A.清理：
c/windows/fonts/swrcecs.dll
c/windows/fonts/wireafw.fon
c/windows/fonts/wymoafz.fon
c/windows/fonts/avzxiin.dll
c/windows/fonts/kvmxicf.dll
B.修复注册表。
（5）禁用相关启动项
开始，运行，msconfig，找到启动项，如果有以下文件请禁止。或除杀毒软件和CTFMON以外，全部都可禁用。内容来自病毒清除

C:/WINDOWS/system32/RxpMoN.Exe
C:/WINDOWS/qlnxtj.exe
C:/WINDOWS/system32/kvmxima.dll>
C:/WINDOWS/system32/wsmsczx.dll>
C:/WINDOWS/system32/avzximn.dll>
C:/WINDOWS/system32/swrcezc.dll
C:/Program Files/Internet Explorer/PLUGINS/Wn_Sys8x.Sys
C:/WINDOWS/system32/sidjdzy.dll
C:/WINDOWS/system32/kvdxjma.dll
C:/WINDOWS/system32/ratblpi.dll
C:/WINDOWS/system32/kawdfzy.dll
C:/WINDOWS/system32/avwgfmn.dll
C:/WINDOWS/system32/kvdxsjma.dll
C:/WINDOWS/system32/kaqhjzy.dll
确定，退出重新启动。现在病毒曾数不穷，木马屡次杀不尽！想想你们每个月有多少时间浪费在查杀木马上？其实用了FireFox火狐浏览器后你就会发现之前的时间是浪费的多么没必要！好处我就多说了，到处都能查到的！提供个下载地址，信不信由你！

火星撞地球

版主

UID 43
精华 6
积分 3616
帖子 1457
威望 461
金钱 116
贡献 19
阅读权限 100
注册 2007-6-25
状态离线

第47楼

大中小

使用道具

发表于 2007-12-23 21:36 资料短消息加为好友

删除loadie.exe的方法

　　一、运行后的表现：
　　1、在C:/Program FilesInternet Explorer释放loadie.exe。在C:释放kao.reg。
　　在D:释放autorun.inf和command.exe。（我的系统只有C、D两个分区）
　　C:kao.reg的内容为：
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
　　"AutoRun"="C:\Program Files\Internet Explorer\loadie.EXE"
　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings]
　　"SyncMode5"=dword:00000003
　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
　　"NoDriveTypeAutoRun"=dword:00000095
　　"CDRAutoRun"=dword:00000000
　　2、通过80端口访问网络：
　　64.94.110.11美国加州
　　12.158.80.10美国ATT用户
　　60.28.242.137未知地址
　　72.246.46.70未知地址
　　......
　　此后，58.48.154.37狂扫本机端口，但被Tiny一一拦截掉。
　　3、每次启动系统，loadie.exe加载iexplore.exe以及系统驱动ipnat.sys。C:kao.reg调用regedit，将其中内容写入注册表。
　　4、未打开IE浏览器前，即可见iexplore.exe进程。
　　5、修改注册表多处：
　　在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats
　　添加：
　　{0055C089-8582-441B-A0BF-17B458C2A3A8}
　　{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
　　{47833539-D0C5-4125-9FA8-0819E2EAAC93}
　　{92780B25-18CC-41C8-B9BE-3C9C571A8263}
　　{AE7CD045-E861-484F-8273-0445EE161910}
　　{DEDEB80D-FA35-45D9-9460-4983E5A8AFE6}
　　{FB5F1910-F110-11D2-BB9E-00C04F795683}
　　在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
　　添加：
　　"CDRAutoRun"=dword:00000000
　　"NoDriveTypeAutoRun"=dword:00000095
　　在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
　　添加："AutoRun"="C:\Program Files\Internet Explorer\loadie.EXE"
　　二、查杀流程：
　　断网。
　　关闭IE浏览器。
　　1、清理注册表：
　　展开：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats
　　删除：
　　{0055C089-8582-441B-A0BF-17B458C2A3A8}
　　{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
　　{47833539-D0C5-4125-9FA8-0819E2EAAC93}
　　{92780B25-18CC-41C8-B9BE-3C9C571A8263}
　　{AE7CD045-E861-484F-8273-0445EE161910}
　　{DEDEB80D-FA35-45D9-9460-4983E5A8AFE6}
　　{FB5F1910-F110-11D2-BB9E-00C04F795683}
　　展开：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
　　删除：
　　"CDRAutoRun"=dword:00000000
　　"NoDriveTypeAutoRun"=dword:00000095
　　展开：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings
　　删除："SyncMode5"=dword:00000003
　　展开：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
　　删除："AutoRun"="C:\Program Files\Internet Explorer\loadie.EXE"
　　2、删除文件：
　　C:/Program FilesInternet Explorerloadie.exe。
　　C:kao.reg。
　　D:autorun.inf。
　　D:command.exe。

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第48楼

大中小

使用道具

发表于 2007-12-23 21:38 资料短消息加为好友

“随机8位数字”病毒手动清除办法及建议

内容摘要：江民反病毒中心监测到，一种采用“映像劫持”技术的病毒正在互联网上大肆流窜，该病毒主要特征为：病毒运行后，会产生一个由数字和字母随机组成的8位名称的病毒进程，并且尝试关闭多款杀毒软件、防火墙和安全工具进程，使杀毒操作及其困难。而且该病毒还会在每个硬盘分区根目录下生成Autorun.inf和随机8位的EXE，达到双击硬盘激活病毒，此外，该病毒还会通过U盘，MP3，移动硬盘等移动储存传播，这样就大大增加了病毒的传播速度。

最近，江民反病毒中心监测到，一种采用“映像劫持”技术的病毒正在互联网上大肆流窜，该病毒主要特征为：病毒运行后，会产生一个由数字和字母随机组成的8位名称的病毒进程，并且尝试关闭多款杀毒软件、防火墙和安全工具进程，使杀毒操作及其困难。而且该病毒还会在每个硬盘分区根目录下生成Autorun.inf和随机8位的EXE，达到双击硬盘激活病毒，此外，该病毒还会通过U盘，MP3，移动硬盘等移动储存传播，这样就大大增加了病毒的传播速度。
　　江民反病毒专家建议，日常操作电脑时请注意以下几点防范措施：
　　1. 保管好自己的U盘，MP3，移动硬盘等移动储存的使用，当外来U盘接入电脑时，请先不要急于双击打开，一定要先经过杀毒处理，建议采用具有U盘病毒免疫功能的杀毒软件，如KV2007 独有的U盘盾技术，可以免疫所有U盘病毒通过双击U盘时运行。
　　2. 给系统打好补丁程序，尤其是MS06-014和MS07-17这两个补丁，目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。
　　3. 即时更新杀毒软件病毒库，做到定时升级，定时杀毒。
　　4. 安装软件要到正规网站下载，避免软件安装包被捆绑进木马病毒。
　　对于未安装杀毒软件或者杀毒软件失效的情况下，建议使用以下办法手动清除：
　　1. 请先到网上下载IceSword工具，并将该工具该名，如改成abc.exe 名称，这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具，结束一个8位数字的EXE文件的进程，有时可能无该进程。
　　2. 利用IceSword的文件管理功能，展开到C:/Program FilesCommon FilesMicrosoftSharedMSINFO下，删除2个8位随机数字的文件，其扩展名分别为：dat 和 dll。再到%windir%help目录下，删除同名的.hlp或者同名的.chm文件，该文件为系统帮助文件图标。
　　3.然后到各个硬盘根目录下面删除Autorun.inf文件和可疑的8位数字文件，注意，不要直接双击打开各个硬盘分区，而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法察看隐藏文件，这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。
　　4、利用IceSword的注册表管理功能，展开注册表项到：
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]
　　删除里面的IFEO劫持项。
　　此时就可以安装或打开杀毒软件了，然后升级杀毒软件到最新的病毒库，全盘杀毒。

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第49楼

大中小

使用道具

发表于 2007-12-23 21:40 资料短消息加为好友

手工清除灰鸽子

手工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。

　　灰鸽子的运行原理

　　灰鸽子远程监控软件分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个服务端（俗称种木马）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……，这正违背了我们开发灰鸽子的目的，所以本文适用于那些让人非法安装灰鸽子服务端的用户，帮助用户删除灰鸽子 Vip 2005 的服务端程序。本文大部分内容摘自互联网。
　　　如果你没有兴趣读下面的文章，请直接下载灰鸽子工作室官方提供的清除器使用：点击这里下载　MD5：8e7a9211bfa3d81b470de8839b51c374

　　G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

　　Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

　　灰鸽子的手工检测

　　由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

　　但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子服务端。

　　由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

　　1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

　　2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。　

3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。

4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

　　经过这几步操作我们基本就可以确定这些文件是灰鸽子服务端了，下面就可以进行手动清除。

　　灰鸽子的手工清除

　　经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

　　注意：为防止误操作，清除前一定要做好备份。

　　一、清除灰鸽子的服务

　　2000／XP系统：

　　1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

　　2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。

　　3、删除整个Game_Server项。

　　98／me系统：

　　在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。

　　二、删除灰鸽子程序文件

　　删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005 服务端已经被清除干净。

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第50楼

大中小

使用道具

发表于 2007-12-23 21:41 资料短消息加为好友

Infostealer.Gampass病毒的手动删除方法

内容摘要：本以为是个小病毒，诺顿杀杀应该就没问题了。结果一会同事打来电话说诺顿又开始弹出警报，还是那个病毒。看样子是在注册表中隐藏了什么自启动的东东，说不定就是这个病毒的主体文件，诺顿不行，只有手动来清除了。

前段时间有个同事说他的诺顿不停的出现高危警报对话框，关闭了又弹出，反复如此，严重影响了他的工作，请我帮忙检查一下是不是中了病毒。
　　我看了警报上提示的内容，是一个名为Infostealer.Gampass的病毒。从名字上看，应该是个盗取游戏密码的病毒，从现象上看，好像对系统中的文件并没有什么影响，系统运行也不慢，只是诺顿不断弹出警报对话框确实是个问题，于是更新了病毒库，在文件选项中选择显示所有文件，再重新启动到安全模式下全盘扫描。并告诉同事完成后重启电脑就OK。 Infostealer.Gampass病毒的删除方法
　　本以为是个小病毒，诺顿杀杀应该就没问题了。结果一会同事打来电话说诺顿又开始弹出警报，还是那个病毒。看样子是在注册表中隐藏了什么自启动的东东，说不定就是这个病毒的主体文件，诺顿不行，只有手动来清除了。
　　首先检查各分区根目录，没有发现autorun.inf的目录或可疑的可执行文件。c:windows和c:windowssystem32两个系统目录，也是重点，发现下面有很多"数字.exe"或"数字+字母.exe"的文件以及同名的.dll文件，估计是病毒自动生成的，但这些绝对不是主体病毒文件，所以估计删除了也没太大作用，还是先删了再说。
　　病毒应该隐藏得更深一些。
　　接着开始检查注册表，检查
HKCUSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN
HKLMSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN
HKCUSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONPOLICIESEXPLORERRUN
HKLMSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONPOLICIESEXPLORERRUN　　四个键值下面的可疑程序，在后面两个键下面，果然发现如下的项有问题：C:windowssystem32winbill*.dll, c:program filesinternet exploreruse19.dll
　　其中的*代表数字。
　　删除和上面两个文件有关的键，此时不能删除这两个文件。重启电脑进入安全模式，删除以上两个文件（在c:program filesinternetexplorer下还发现一个use32.dll的文件，同样删掉。），这就是病毒的主体文件。再次全盘扫描，清除系统目录下的病毒尸体。重新启动，诺顿再也没有弹出警报。
　　分析了一下，这个病毒实际是个间谍软件，对系统没有太大影响和破坏力。诺顿可以查出这个病毒，也可以抑制，但由于病毒在系统启动时就加载了，所以诺顿无法彻底清除，故只能采用手动与自动相结合的办法来杀毒了。

153 5/16 |‹‹‹3 4 5 6 7 8 9 10 11 12 ›››|

京ICP备07018629号
本站QQ群69392608

当前时区 GMT+8, 现在时间是 2025-6-24 20:27

免责声明：本站部分文章、资源来自互联网,版权归原作者所有。如侵犯了您的权利,请及时告知,我们将于第一时间删除！

TOP

清除 Cookies - 联系站长 - 精简版 - 手机版