手动清除病毒集锦 - 『青春校园』 - 会师楼中国甘肃白银会宁人家在线论坛

添加马甲

请在下面输入您的马甲帐号信息, 然后点击 "添加" 按钮. 马甲信息添加后不能修改, 如果您修改了马甲的密码或安全提问, 请删除这个马甲并重新添加.
注意，每添加一个马甲收取工本费 200 金钱

用户名
密码

安全提问
回答

附加设置	将正在使用的帐号添加为正在添加的马甲账号的马甲

会师楼 » 『青春校园』 » 手动清除病毒集锦

‹‹ 上一主题 | 下一主题 ››

153 6/16 |‹‹‹4 5 6 7 8 9 10 11 12 13 ›››|

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第51楼

大中小

使用道具

发表于 2007-12-23 21:43 资料短消息加为好友

分享到：

explored.exe手动清除方法

　　前段时间单位好几台机器病毒大爆发，因为都不是专家高手，折腾了很久才清理掉，过程中有些体会，觉得可以写下来，跟大家作一番交流。
　　首先是病毒的发现。出现了两个症状。
　　一、在局域网上出现广播包(ARP)暴增，甚至把出口堵死。
　　二、机器CPU资源耗尽。
　　用任务管理器可以看到可疑的进程explored.exe和services.exe一起占用CPU近100%(后来才知道，这是因为该病毒是通过服务启动的)，该进程无法停止，注册表键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　这里有该项存在，即使将该项删除，重启后仍如原样。这个文件是存在在WINDOWS的SYSTEM32目录下，未中毒机器没有该文件。因此可基本确认该进程是病毒。
　　然后是病毒的查杀。这过程中出现两个问题，一是瑞星开始无法升级，这是因为病毒本身把出口堵塞，TCP流无法正常传输。
　　我们尝试了一下，发现可以用防火墙(例如天网)将病毒程序隔离，然后再连网进行升级。第二个问题是瑞星查毒过程缓慢(查毒前已经将网卡先禁用了)，这是因为病毒程序explored占用CPU太狠，在无法设置删除该进程的情况下，可以用任务管理器提高瑞星进程的优先级(比如实时)，这样瑞星从病毒手中抢过CPU资源来正常地运行。
　　不过，这次瑞星只查杀了伪装成svchost.exe的蠕虫病毒，explored仍然存在。
　　我们无可奈何下只好采用很笨的方法删除explored，就是进入安全模式，到Windows的System32目录下直接把该文件删除掉。顺便也把注册表中启动运行那项也删掉了。
　　重启后，提示有服务出错，到管理工具下的“服务”一看，才终于发现了该病毒的真实面目:原来“服务”里面有一栏“WindowsLogin”，属性显示服务名称是“MpR”，可执行文件路径正是“C:\WINNT\SYSTEM32\explored.exe-services”。
　　这就说明了为什么进程中止不了，删掉注册表中系统启动项也没用。也就是说，当初应该到服务里将该服务停止，而不是在任务管理器试图将其删除。
　　最后就病毒查杀的心得作一点小结:上述病毒发作都有一定迹象，例如CPU占满，网络带宽占满(可以通过网络连接状态看，如果后台没有运行什么进程，网络接口上收/发包数激增，就很可能是中毒或是连接的网络上有机器中毒)，因为平时要保持警惕，发现异常就赶紧查毒。
　　最好是用查毒软件，用任务管理器有时被骗，现在的病毒起名往往跟系统程序相似甚至相同，例如explored,smsss(smss是系统程序)，svchost等等。最好知道真正的系统程序所在目录，例如系统svchost.exe应该在system32下，而病毒可能藏在system32\drivers下。
　　病毒的自启动可能通过很多途径:注册表，INI文件，甚至——象explored这样——通过服务启动。
　　与其中了毒再查再杀，不如切实做好防护措施——补丁，病毒保护，防火墙，一个都不能少啊!

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第52楼

大中小

使用道具

发表于 2007-12-23 21:47 资料短消息加为好友

新QQ尾巴病毒分析报告及其手工清除方法

内容摘要：新QQ尾巴，发诱惑消息迷惑网民，点击消息中的链接，下载运行后就会中招，中毒后会不停向好友发出类似消息。以下是详细分析报告和手工清除办法:

新QQ尾巴，发诱惑消息迷惑网民，点击消息中的链接，下载运行后就会中招，中毒后会不停向好友发出类似消息。以下是详细分析报告和手工清除办法：
　　病毒名：Worm.QQTailEKS.ds.36864
　　传播方式：通过QQ发送消息，并通过自动播放和恶意网页传播。
　　病毒行为：
　　1.病毒运行后常驻内存，向系统目录中复制多个副本：
%Windows%cacom.exe（%windows%一般是c:windows目录）
%System%Akica.exe（%system%一般是指c:windowssystem32目录）　　在Windows 2000系统，该病毒生成的程序名为sycacom.exe。
　　2.覆盖系统游戏“纸牌”的程序：
%System%sol.exe
%System%driverssol.exe（这里正常没有这个sol.exe）
　　3.向系统分区以外的分区根目录复制自身：
X:EKS.exe（X为盘符）
　　4.生成“自动播放”文件：
X:Autorun.inf：　　内容为：
[autorun]
open=EKS.exe
shellexecute=EKS.exe
shellAutocommand=EKS.exe
shell=Auto
　　5.修改注册表，创建启动项：
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Akica"="%System%Akica.exe"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]
"cacom"="%Windows%cacom.exe"
　　6.向QQ好友发送以下附带病毒地址的消息：
看看我的网友，杭州的，皮肤白皙，身材超正，我想让她成为恋人，征求您的建
议，她的视频　 hxxp://2.emeishan-jiudianyuding.cn/<blocked>/v.asp?q=2
还记得小文吗，她现在成了二奶，打扮得火辣性感，开着宝马，是被一个香港人包的；真不敢相信，看
看她博客上的视频您就知道了　hxxp://2.emeishan-jiudianyuding.cn/<blocked>/v.asp?q=1
Hi,快点帮个忙，打开这个网址，然后随便点击下面的一个链接， hxxp://2.emeishan-
jiudianyuding.cn/<blocked>/v.asp?q=URL-movies.htm　一会在对你说为什么,万分感谢。
我刚发现的，超刺激的**电影，速度巨快，一个月免费，　hxxp://2.emeishan-
jiudianyuding.cn/<blocked>/v.asp?q=URL-free-movies.htm　　发送消息后尝试关闭聊天对话框，病毒还会访问一些广告页面。
　　手动清除方法：
　　1.结束病毒进程
　　按Ctrl+Alt+Del，启动任务管理器，结束vm1.exe的进程（如果重启过，病毒进程变为akica.exe或cacom.exe）。
　　2.点开始，运行，输入regedit，启动注册表编辑器，删除以下病毒启动项：
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Akica"="%System%Akica.exe"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]
"cacom"="%Windows%cacom.exe"
　　3.使用杀毒软件或者手工删除病毒文件。
　　建议立即升级杀毒软件后查杀，如果手边没有最新版本的杀毒软件，可以手工删除以下文件。
%Windows%cacom.exe，（%windows%通常指c:windows目录）
%System%Akica.exe，（%system%通常指c:windowssystem32目录）
%System%sol.exe
%System%driverssol.exe
　　4.恢复“纸牌”游戏
　　病毒替换了“纸牌”游戏，可以从正常的系统COPY这个游戏程序到%system%目录。
　　5.删除其它分区的病毒文件
　　使用“资源管理器”，而不是双击访问磁盘，双击会启动自动播放，其它分区仍存在的病毒程序会自动运行，这样的话，前面的工作就白费了。树形文件夹状态进入各分区根目录，删除EKS.exe和Autorun.inf。
　　6.禁用自动播放防范此类病毒
　　该病毒仍然通过自动播放传播，强烈建议使用组策略编辑器禁止所有驱动器的自动播放功能。操作步骤为：点击开始→运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第53楼

大中小

使用道具

发表于 2007-12-23 21:50 资料短消息加为好友

otgjxei.exe mkwrioy.exe 病毒的清除

内容摘要：开机有otgjxei.exe和mkwrioy.exe两个进程，无法结束。

开机有otgjxei.exe和mkwrioy.exe两个进程，无法结束。且有以下症状：
　　1、无法执行杀毒软件.包括卡巴斯基和360等。用卡巴斯基无效，先说授权不对.然后重启；用AVG查得出来，但是只能隔离或者忽略，隔离无效。
　　2、无法进入注册表。
　　3、无法进行本地搜索。
　　4、无法在浏览器或者任何输入框里输入例如"病毒" "杀毒""木马""卡巴斯基"或者以上2个病毒。一旦进行搜索就自动关闭。
　　5、无法经入可能含有这个病毒的文件盘符，比如c盘什么什么.进入到一定的子文件夹就自动关闭。
　　查杀方法如下：
　　结束进程cbkhqby.exe:
　　将各盘符下的cbkhqby.exe 和它们的autorun文件都给删
　　在启动项目->注册表里，找到下列启动项目并将其删除：
<tmkxmjl><C:/Program FilesCommon FilesSystemmkwrioy.exe> []　
<cbkhqby><C:/Program FilesCommon FilesMicrosoft Sharedotgjxei.exe>　
Autorun.inf　
[D:]　
[AutoRun]　
open=cbkhqby.exe　
shellopen=打开(&O)　
shellopenCommand=cbkhqby.exe　
shellopenDefault=1　
shellexplore=资源管理器(&X)　
shellexploreCommand=cbkhqby.exe　
[E:]　
[AutoRun]　
open=cbkhqby.exe　
shellopen=打开(&O)　
shellopenCommand=cbkhqby.exe　
shellopenDefault=1　
shellexplore=资源管理器(&X)　
shellexploreCommand=cbkhqby.exe　
[F:]　
[AutoRun]　
open=cbkhqby.exe　
shellopen=打开(&O)　
shellopenCommand=cbkhqby.exe　
shellopenDefault=1　
shellexplore=资源管理器(&X)　
shellexploreCommand=cbkhqby.exe
　　重启电脑后，删除以下文件
C:/Program FilesCommon FilesSystemmkwrioy.exe　
C:/Program FilesCommon FilesMicrosoft Sharedotgjxei.exe

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第54楼

大中小

使用道具

发表于 2007-12-23 21:54 资料短消息加为好友

手动清除chcp.exe病毒

内容摘要：该病毒属于MSN蠕虫变种，被感染的计算机会自动向MSN联系人发送诱惑文字消息和带毒压缩包，当对方接收并打开带毒压缩包中的病毒文件时，系统即成为新的受害者，并因此尝试感染另一台计算机。

病毒分析
　　该病毒属于MSN蠕虫变种，被感染的计算机会自动向MSN联系人发送诱惑文字消息和带毒压缩包，当对方接收并打开带毒压缩包中的病毒文件时，系统即成为新的受害者，并因此尝试感染另一台计算机。病毒大小为434,176 字节，通过MSN聊天工具进行传播。
　　被感染的计算机，病毒首先会在系统目录 %Windows%下生成含带病毒源体的F0538_jpg.zip压缩包，随后病毒自身开始在计算机中的%Windows%目录下创建副本chcp.exe 执行文件，并在注册表
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
　　分支下建立"chcp.exe"="%Windows%chcp.exe"自启动项目，然后病毒开始修改注册分支
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
　　下的"SFCDisable"=dword:ffffff9d 和"SFCScan"=dword:00000000值，进行关闭系统文件保护，并且更改
　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
　　分支下的 "WaitToKillServiceTimeout"=的值为"7000"，达到更改自动关闭进程等待时间的效果。
　　完成上述后，病毒仍没有安静的等待，而是查找被感染的计算机中是否存在FTP目录，假如有则将原正常程序改名为backup.ftp、backup.tftp并复制到%System%microsoft目录下，随后在系统目录%System%下写入ftp.exe、tftp.exe、dllcache　　ftp.exe、dllcacheftp.exe可执行程序，做完一系列的手脚，病毒开始向MSN联系人发送诱惑型文字消息，并夹带毒包F0538_jpg.zip欺骗用户打开。
　　清除方法
　　中了此毒的用户也不要紧张，在了解了生存原理后要想清除该病毒也非难事，只要按照以下几个步骤实施即可将病毒清除出界，让系统中的MSN正常运行。
　　一、首先要进入注册表分支
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
　　下，将"chcp.exe"="%Windows%chcp.exe"自建的随机启动项删除，完成后重启计算机。
　　二、进入%Windows%目录下将病毒源体文件chcp.exe及F0538_jpg.zip压缩包删除。
　　三、将目录%System%下的FTP破坏代替程序ftp.exe、tftp.exe、dllcacheftp.exe、dllcacheftp.exe删除，并将%System%microsoft目录下的backup.ftp、backup.tftp改回到目录%System%下。
　　四、删除注册表分支[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]下的"SFCDisable"=dword:00000000键值，恢复系统文件保护。
　　五、最后将注册表[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl]分支下的"WaitToKillServiceTimeout"=改为"20000" 从而恢复系统自动关闭进程等待时间的默认配置。
　　笔者按：在MSN病毒中变体有很多种如：MSN机器人、MSN小丑、MSN性感相册等，其原理都是利用MSN作为平台在同聊友沟通的同时发送病毒信息，通过MSN好友关系欺骗用户点击，然后再次传播，从而形成强大的传播途径。为了更好的处理此类病毒，这里建议用户加强计算机的先期保护如：开启杀软定时升库，安装安全类软件，不定期打入系统补丁等，并且多了解每日病毒动态，即时作好防范工作即可，一但用户被感染时应立即作出回应，利用手工删除或下载相应的专杀工具进行清理，以免让更多的用户成为受害者。

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第55楼

大中小

使用道具

发表于 2007-12-23 21:56 资料短消息加为好友

蠕虫病毒Worm.Win32.Fujack.x分析与清除

内容摘要：该病毒为蠕虫类，病毒运行后复制自身到系统目录，衍生病毒文件。修改注册表，添加启动项，以达到随机启动的目的。删除安全相关服务,减弱系统安全性。

一、病毒标签：
　　病毒名称： Worm.Win32.Fujack.x
　　病毒类型：蠕虫类
　　文件 MD5： 799A9BC4C197EB0AA3873D90F1143EF4
　　公开范围：完全公开
　　危害等级： 4
　　文件长度： 34,816 字节
　　感染系统： Windows98以上版本
　　加壳类型： nSPack 2.1 - 2.5
　　二、病毒描述：
　　该病毒为蠕虫类，病毒运行后复制自身到系统目录，衍生病毒文件。修改注册表，添加启动项，以达到随机启动的目的。删除安全相关服务,减弱系统安全性。该病毒具有多种启动方式，而且具有修改注册表隐藏自身的功能；所以发现与清除此病毒用常规方法很难清除掉，生存期会相对较长。该病毒对用户的电脑信息具有严重的威胁。
　　三、行为分析：
　　本地行为:
　　1、文件运行后会衍生以下文件
　　%DriveLetter%autorun.inf
　　%DriveLetter%setup.exe
　　%WinDir%SchedLgU.Txt
　　%System32%driversspoclss.exe
　　%WinDir%TasksSA.DAT
　　2、新建注册表
　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
　　注册表值："svcshare"
　　类型： REG_SZ
　　值： " C:WINDOWSsystem32driversspoclss.exe "
　　描述：添加启动项，以达到随机启动的目的
　　3、修改注册表
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue]
　　新: DWORD: 0 (0)
　　旧: DWORD: 1 (0x1)
　　描述：使隐藏文件不可见
　　4、删除安全相关服务：
　　服务名称：wscsvc
　　显示名称：Security Center
　　描述语言：监视系统安全设置和配置。
　文件路径：%SystemRoot%System32svchost.exe -k netsvcs.
　　启动方式：自动
　　5、在各个驱动器盘符下释放启动文件autorun.inf和与其对应的执行文件setup.exe，autorun.inf内容如下：
　　[AutoRun]
　　OPEN=setup.exe
　　shellexecute=setup.exe
　　shellAutocommand=setup.exe
　　6、将自身添加到Tasks文件夹下的计划任务中，任务计划的相关信息在SchedLgU.Txt内记录
　　7、连接网络获得病毒相关信息(存储在1.txt内)：
　　连接网络：
　　www.2008crazy.com(209.85.84.161:80)
　　详细路径：www.2008crazy.com /ad/test/1.txt
　　注释：
　　%Windir%　　　　　　　　　　　WINDODWS所在目录
　　%DriveLetter%　　　　　　　　逻辑驱动器根目录
　　%ProgramFiles%　　　　　　　　系统程序默认安装目录
　　%HomeDrive%　　　　　　　　　当前启动系统所在分区
　　%Documents and Settings%　　当前用户文档根目录
　　%Temp%　　　　　　　　　　　　当前用户TEMP缓存变量；路径为：
　　%Documents and Settings%当前用户Local SettingsTemp
　　%System32%　　　　　　　　　　是一个可变路径；
　　病毒通过查询操作系统来决定当前System32文件夹的位置；
　　Windows2000/NT中默认的安装路径是　C:WinntSystem32；
　　Windows95/98/Me中默认的安装路径是　C:WindowsSystem；
　　WindowsXP中默认的安装路径是　C:WindowsSystem32。
　　四、清除方案：
　　1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
　　(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
　　(2) 强行删除病毒文件
　　%DriveLetter%autorun.inf
　　%DriveLetter%setup.exe
　　%WinDir%SchedLgU.Txt
　　%System32%driversspoclss.exe
　　%WinDir%TasksSA.DAT
　　(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
　　删除新建注册表
　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
　　注册表值："svcshare"
　　类型： REG_SZ
　　值： " C:WINDOWSsystem32driversspoclss.exe "
　　描述：添加启动项，以达到随机启动的目的
　　恢复修改注册表　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue]
　　新: DWORD: 0 (0)
　　旧: DWORD: 1 (0x1)
　　描述：使隐藏文件不可见
　　(4) 在注册表中添加下列wscsv服务信息：
　　服务名称：wscsvc
　　显示名称：Security Center
　　描述语言：监视系统安全设置和配置。
　　文件路径：%SystemRoot%System32svchost.exe -k netsvcs.
　　启动方式：自动

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第56楼

大中小

使用道具

发表于 2007-12-23 21:57 资料短消息加为好友

关于ARP病毒造成断网的处理方法

　　安全技巧：关于ARP病毒造成断网的处理方法。
　　1.开始->运行->输入cmd回车，在字符窗口中输入arp –a回车。
　　说明：172.16.37.254是网关地址，后面的00-00-0c-07-0a-01是网关的物理地址。此物理地址默认情况下是不会发生改变的，如果发现物理地址不是此地址说明自己已经受到了arp病毒的攻击。

　　2.解决办法：
　　(1)执行arp –a 列出本机缓存的所有arp信息；
　　(2)执行arp –d IP地址清除缓存信息。
　　实例：
　　(1)执行arp –a 列出了：
　　172.16.37.25 00-0F-EA-11-00-5E
　　172.16.37.254 00-0F-EA-11-00-5E
　　由于之前我们已经知道网关的正确物理地址是00-00-0c-07-0a-01，此时却变成了00-0F-EA-11-00-5E，说明172.16.37.25正在利用arp进行欺骗，冒充网关。
　　(2)执行arp –d 172.16.37.25 回车，再执行arp –d 172.16.37.254 回车来清除arp的缓存，或者直接执行arp –d 回车清除所有的arp缓存信息。

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第57楼

大中小

使用道具

发表于 2007-12-24 09:51 资料短消息加为好友

完全清除lsass.exe木马手动方法及工具

　　关键词：lsass.exe病毒
　　首先注意是C:\windows\lsass.exe文件而不是system32下的
　　1.结束进程:
　　调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;
　　鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.
　　点击"开始"－》“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd–cq-p(PID)"，比如我的计算机上就输入"ntsd–cq-p1064".
　　2.删除病毒文件:
　　以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;
　　我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.
　　删除如下几个文件[默认为XP下，如在2000下请把windows目录换成在WINNT目录]：
　　C:\ProgramFiles\CommonFiles\INTEXPLORE.pif
　　C:\ProgramFiles\InternetExplorer\INTEXPLORE.com
　　C:\WINDOWS\EXERT.exe
　　C:\WINDOWS\IO.SYS.BAK
　　C:\WINDOWS\LSASS.exe
　　C:\WINDOWS\Debug\DebugProgram.exe
　　C:\WINDOWS\system32\dxdiag.com
　　C:\WINDOWS\system32\MSCONFIG.COM
　　C:\WINDOWS\system32\regedit.com
　　[Copytoclipboard]
　　在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.
　　3.删除注册表中的其他垃圾信息.
　　这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。
　　将Windows目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目：
　　HKEY_CLASSES_ROOT\WindowFiles
　　HKEY_CURRENT_USER\Software\VBandVBAProgramSettings
　　HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main下面的Check_Associations项
　　HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项
　　将HKEY_CLASSES_ROOT\.exe的默认值修改为exefile(原来是windowsfile)
　　将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为
　　"C:\ProgramFiles\InternetExplorer\iexplore.exe"%1(原来是intexplore.com)
　　将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
　　的默认值修改为"C:\ProgramFiles\InternetExplorer\IEXPLORE.EXE"(原来是INTEXPLORE.com)
　　将HKEY_CLASSES_ROOT\ftp\shell\open\command
　　和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
　　的默认值修改为"C:\ProgramFiles\InternetExplorer\iexplore.exe"%1
　　(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
　　将HKEY_CLASSES_ROOT\htmlfile\shell\open\command和
　　HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为
　　"C:\ProgramFiles\InternetExplorer\iexplore.exe"–nohome
　　将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
　　的默认值修改为IEXPLORE.EXE.(原来是INTEXPLORE.pif)
　　[Copytoclipboard]
　　重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕.
　　其实好象改为com的时候会自动生成一个exe的，所以这里不改回去也没事
　　补充:
　　后来发现，清理完的电脑在重新启动后会出现找不到“1”的警示，这个只要再下载一个hijackthis（很小免费，搜索一下到处都有），然后删除一个在system.ini中加载的东东就可以了。

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第58楼

大中小

使用道具

发表于 2007-12-24 10:06 资料短消息加为好友

清除Explorer.EXE病毒

解决方法:
这个木马进入计算机后，产生主要的三个文件是：interapi32.dll,interapi64.dll,exp1orer.exe特别狡猾的是容易和Explorer.exe混淆。它是数字1不是字母l。这个病毒入驻进程以后，会大量的消耗系统资源，并会跟着资源管理器一同启动。杀除方法如下：
1、关闭Xp系统的还原功能。具体的可以进入组策略查找或是右击我的电脑属性，关闭系统还原功能。
2、然后在运行键入regedit，打开注册表编辑器。删除以下键值
[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}]
@="hookmir"
[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}\\InprocServer32]
@="C:\\\\WINNT\\\\system32\\\\interapi64.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}\\ProgID]
@="interapi64.classname"
[HKEY_CLASSES_ROOT\\interapi64.classname]
@="hookmir"
[HKEY_CLASSES_ROOT\\interapi64.classname\\Clsid]
@="{081FE200-A103-11D7-A46D-C770E4459F2F}"
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]
"{081FE200-A103-11D7-A46D-C770E4459F2F}"="hookmir"
3、重新启动系统，进入文件夹选项菜单，单击查看选项卡，显示隐藏的文件和文件夹，显示系统文件，扩展名。然后在Windows/WINNT（2000/NT)/system32下找到interapi32.dll,interapi64.dll,exp1orer.exe三个文件，将其删除就可以了。
（注：exp1orer.exe伪装成了jpg的图片格式图标。小心谨慎。还有文件夹选项卡在杀除病毒后可以自己把它改回到原来的状态）本文来自:进城者基地，http://www.cshker.com，谢谢你的支持！

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第59楼

大中小

使用道具

发表于 2007-12-24 17:06 资料短消息加为好友

手工清除“恶邮差”（Supnot）蠕虫病毒

1．使用资源管理器查看进程，注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒（或由病毒生成的后门软件），甚至其它的一切不常见的进程都有可能是，如果不能确定，找一台服务器上的进程来观察（服务器应该不会被感染）。

2．将病毒程序（后门）的进程结束掉，对于不能结束的，可以使用附件中的pskill.exe结束掉（命令格式“pskill 进程名”）。

3．打开“服务”，在服务列表中将没有“描述”服务进行筛选，查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务，依次删掉注册表中的
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBRWWTELK]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesprom0n.exe]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows Management Extension]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindow Remote Service]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun(RunServices]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun(RunServices]
……的相关的健值(还有WinVNC的进程，没有记住是什么健值)

4．删掉
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdll_reg]
[HKEY_CLASSES_ROOTApplicationswinrpc.exe]的健值，

5. 并修改[HKEY_CLASSES_ROOTtxtfileshellopencommand]的右侧的默认健值为” %SystemRoot%system32NOTEPAD.EXE %1”,此时，.txt的文件无法正常打开，可以点击文本文件的右键选择其它方式，选择使用Notepad即可。

6．删掉系统system32目录下的以下程序（大部分可执行程序的大小都为78,848字节）： winrpcsrv.exe 、 winrpc.exe 、 wingate.exe 、 syshelp.exe 、rpcsrv.exe 、 iexplore.exe 、 prom0n.exe（注意中间的是数字0）、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、 winvnc.exe

7. 清空“C:/Documents and SettingsDefault User（或Default Uesr..WINNT）Local SettingsTemporary Internet FilesContent.IE5”目录下除了“desktop.ini”的所有文件，该路径下，发现有一些后门软件。

8．关闭所有目录的完全共享！――这是关闭了该程序还可以通过网络感染的途径。

9. 重新启动计算机，观察是否还有类似进程出现，尤其是irftpd.exe，这个程序是由上述第3步的“服务”程序自动生成的。由于该蠕虫先后出现多个变种，建议使用专杀工具来查杀。

[ 本帖最后由钱車于 2007-12-24 17:09 编辑 ]

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第60楼

大中小

使用道具

发表于 2007-12-24 17:08 资料短消息加为好友

VBS_STAGES.A蠕虫的解决方案

进入以下注册表目录：
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
查找含有以下键值的键："C:WINDOWSWSCRIPT.EXE，C：WINDOWSSYSTEMSCANREG.VBS" 将含有这些键值的键删除。
进入以下注册表目录：
HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/DefaultIcon
查找以下键值："C:RECYCLEDRECYCLED.VXD,1" 将其修改为：C:WINDOWSregedit.exe,1 to this input box
进入以下注册表目录：
HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/shell/open/command
查找以下键值："C:RECYCLEDRECYCLED.VXD,1" 将其修改为：C:WINDOWSregedit.exe,1 to this input box.，退出注册表。重启后扫描整个系统，将感染了此病毒的文件删除。从另一干净的机器上拷贝一个REGEDIT.EXE 程序到本机。

※本文所有权属于钱車和会师楼共同所有，未经同意，禁止转载!※

153 6/16 |‹‹‹4 5 6 7 8 9 10 11 12 13 ›››|

京ICP备07018629号
本站QQ群69392608

当前时区 GMT+8, 现在时间是 2025-6-25 04:33

免责声明：本站部分文章、资源来自互联网,版权归原作者所有。如侵犯了您的权利,请及时告知,我们将于第一时间删除！

TOP

清除 Cookies - 联系站长 - 精简版 - 手机版