手动清除病毒集锦 - 『青春校园』 - 会师楼中国甘肃白银会宁人家在线论坛

添加马甲

请在下面输入您的马甲帐号信息, 然后点击 "添加" 按钮. 马甲信息添加后不能修改, 如果您修改了马甲的密码或安全提问, 请删除这个马甲并重新添加.
注意，每添加一个马甲收取工本费 200 金钱

用户名
密码

安全提问
回答

附加设置	将正在使用的帐号添加为正在添加的马甲账号的马甲

会师楼 » 『青春校园』 » 手动清除病毒集锦

‹‹ 上一主题 | 下一主题 ››

153 7/16 |‹‹‹5 6 7 8 9 10 11 12 13 14 ›››|

熊洛

版主

UID 336
精华 0
积分 3526
帖子 515
威望 7
金钱 362
贡献 24
阅读权限 100
注册 2007-11-9
状态离线

第61楼

大中小

使用道具

发表于 2007-12-24 18:01 资料短消息加为好友

分享到：

晕了，这么复杂，一个都不会，在家登录会师楼论谈，我的卡巴总提示有病毒，那位大侠帮解释一下。

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第62楼

大中小

使用道具

发表于 2008-1-9 17:07 资料短消息加为好友

如果本论坛有病毒，在GOOGLE里搜索会显示“该站含有恶意程序”的提示！
另外你查一查是不是中了ARP欺骗病毒！

还有一种可能性就是这个帖子里介绍了大量的病毒信息，杀毒软件过于灵敏造成的！
因为不久前还看到过这样一种报道，说某杀毒软在打开百度一介绍病毒信息网页的时候提示有病毒。

不知道有没有别人也遇到过LS所说的问题？

※本文所有权属于钱車和会师楼共同所有，未经同意，禁止转载!※

火星撞地球

版主

UID 43
精华 6
积分 3616
帖子 1457
威望 461
金钱 116
贡献 19
阅读权限 100
注册 2007-6-25
状态离线

第63楼

大中小

使用道具

发表于 2008-1-14 21:12 资料短消息加为好友

services.exe病毒清除详解

1 services.exe - services - 进程介绍

　　进程文件： services or services.exe

　　进程名称： Windows Service Controller

　　进程类别：其他进程

　　英文描述：

　　services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin

　　中文参考：

　　services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意：services也可能是W32.Randex.R(储存在%systemroot%system32目录)和Sober.P (储存在%systemroot%Connection WizardStatus目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

　　出品者：Microsoft Corp.

　　属于：Microsoft Windows Operating System

　　系统进程：Yes

　　后台程序：Yes

　　网络相关：No

　　常见错误：N/A

　　内存使用：N/A

　　安全等级 (0-5): 0

　　间谍软件：No

　　广告软件：No

　　病毒：No

　　木马：No

　　这个后门还不错，也有点BT吧，共产生14个文件＋3个快捷图标＋2个文件夹。注册表部分，除了1个Run和System.ini，比较有特点是，非普通地利用了EXE文件关联，先修改了.exe的默认值，改.exe从默认的 exefile更改为winfiles，然后再创建winfiles键值，使EXE文件关联与木马挂钩。即为中毒后，任意一个EXE文件的属性，“应用程序”变成“EXE文件”

　　当然，清除的方法也很简单，不过需要注意步骤：

　　一、注册表：先使用注册表修复工具，或者直接使用regedit修正以下部分

　　1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon）

　　shell = Explorer.exe 1 修改为shell = Explorer.exe

　　2.将 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的

　　Torjan Program----------C:WINNTservices.exe删除

　　3. HKEY_Classes_root.exe

　　默认值 winfiles 改为exefile

　　4.删除以下两个键值：

　　HKEY_Classes_rootwinfiles

萍水相逢

举人

UID 148
精华 2
积分 4921
帖子 980
威望 224
金钱 2711
贡献 6
阅读权限 20
注册 2007-8-22
状态离线

第64楼

大中小

使用道具

发表于 2008-5-14 16:49 资料短消息加为好友

手工清除“恶邮差”（Supnot）蠕虫病毒

1．使用资源管理器查看进程，注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒（或由病毒生成的后门软件），甚至其它的一切不常见的进程都有可能是，如果不能确定，找一台服务器上的进程来观察（服务器应该不会被感染）。

2．将病毒程序（后门）的进程结束掉，对于不能结束的，可以使用附件中的pskill.exe结束掉（命令格式“pskill 进程名”）。

3．打开“服务”，在服务列表中将没有“描述”服务进行筛选，查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务，依次删掉注册表中的
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBRWWTELK]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesprom0n.exe]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows Management Extension]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindow Remote Service]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun(RunServices]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun(RunServices]
……的相关的健值(还有WinVNC的进程，没有记住是什么健值)

4．删掉
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdll_reg]
[HKEY_CLASSES_ROOTApplicationswinrpc.exe]的健值，

5. 并修改[HKEY_CLASSES_ROOTtxtfileshellopencommand]的右侧的默认健值为” %SystemRoot%system32NOTEPAD.EXE %1”,此时，.txt的文件无法正常打开，可以点击文本文件的右键选择其它方式，选择使用Notepad即可。

6．删掉系统system32目录下的以下程序（大部分可执行程序的大小都为78,848字节）： winrpcsrv.exe 、 winrpc.exe 、 wingate.exe 、 syshelp.exe 、rpcsrv.exe 、 iexplore.exe 、 prom0n.exe（注意中间的是数字0）、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、 winvnc.exe

7. 清空“C:Documents and SettingsDefault User（或Default Uesr..WINNT）Local SettingsTemporary Internet FilesContent.IE5”目录下除了“desktop.ini”的所有文件，该路径下，发现有一些后门软件。

8．关闭所有目录的完全共享！――这是关闭了该程序还可以通过网络感染的途径。

9. 重新启动计算机，观察是否还有类似进程出现，尤其是irftpd.exe，这个程序是由上述第3步的“服务”程序自动生成的。由于该蠕虫先后出现多个变种，建议使用专杀工具来查杀。

※本文所有权属于萍水相逢 和会师楼共同所有，未经同意，禁止转载!※

拿得起，放得下；拿不起，也得放下！

萍水相逢

举人

UID 148
精华 2
积分 4921
帖子 980
威望 224
金钱 2711
贡献 6
阅读权限 20
注册 2007-8-22
状态离线

第65楼

大中小

使用道具

发表于 2008-5-14 16:51 资料短消息加为好友

手动清除U盘病毒

2007-08-06 11:38:35

[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto
AUTORUN.INF
fun.xls.exe
释放文件
C:\Documents and Settings\mopery\Local Settings\Temp\~DF8785.tmp
C:\Documents and Settings\mopery\Local Settings\Temp\~DFD1D6.tmp
C:\WINDOWS\system32\algsrv.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\windows\ufdata2000.log
每个盘符下释放
AUTORUN.INF
tel.xls.exe
AUTORUN.INF文件内容
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkf
解决方案
1.Ctrl + Alt + Del 打开任务管理器
结束应用程序中的Excel
2. 删除文件
C:\Documents and Settings\mopery\Local Settings\Temp\~DF8785.tmp
C:\Documents and Settings\mopery\Local Settings\Temp\~DFD1D6.tmp
C:\WINDOWS\system32\algsrv.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\windows\ufdata2000.log
3. 删除注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[ASocksrv]SocksA.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[BSserver]FileKan.exe
4.恢复显示所有的文件项
开始=>运行=>regedit找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL单击右键"新建" - "Dword值"，并命名为CheckedValue,然后修改它的键值为1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
[UncheckedValue] 双击从 1 改回 0
5.右键=>打开进入每个盘符依次删除每个盘符里的文件
AUTORUN.INF
tel.xls.exe
fun.xls.exe是tel.xls.exe的变种.
这个病毒目前应该有四个变种..今天把这个新变种的查杀方法也写写..
系统症状
每次双击盘符出现一个新窗口
鼠标右键点盘符出现"Auto"字样
无法显示隐藏文件
样本命名
瑞星暂不能查杀
样本分析
注册表中添加
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[IMJPMIG8.2]msime82.exe{0x00}{0x00}{0x00}.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[MsServer]msfun80.exe{0x00}{0x00}{0x00}.
修改注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
\SHOWALL[CheckedValue]被清空..
释放文件
C:\DocumentsandSettings\mopery\LocalSettings\Temp\~DFA4C3.tmp
C:\DocumentsandSettings\mopery\LocalSettings\Temp\~DFC86B.tmp
C:\WINDOWS\system32\algsrvs.exe
C:\WINDOWS\system32\msfun80.exe
C:\WINDOWS\system32\msime82.exe
C:\WINDOWS\ufdata2000.log
每个盘符下释放
AUTORUN.INF
fun.xls.exe
AUTORUN.INF文件内容
[AutoRun]
open=fun.xls.exe
shellexecute=fun.xls.exe
shell\Auto\command=fun.xls.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkfk1
解决方法
1.安全模式下.删除文件
C:\DocumentsandSettings\mopery\LocalSettings\Temp\~DFA4C3.tmp
C:\DocumentsandSettings\mopery\LocalSettings\Temp\~DFC86B.tmp
C:\WINDOWS\system32\algsrvs.exe
C:\WINDOWS\system32\msfun80.exe
C:\WINDOWS\system32\msime82.exe
C:\WINDOWS\ufdata2000.log
2.删除注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[IMJPMIG8.2]msime82.exe{0x00}{0x00}{0x00}.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[MsServer]msfun80.exe{0x00}{0x00}{0x00}.
3.恢复显示所有的文件项
开始=>运行=>regedit
找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL
删除CheckedValue键值然后单击右键"新建"-"Dword值"，并命名为CheckedValue,然后修
改它的键值为1
4.右键=>打开进入每个盘符依次删除每个盘符里的文件
AUTORUN.INF
fun.xls.exe
tel.xls.exe 是以前提到过的双击无法打开分区的始作俑者之一，也即U盘病毒的变种。除此之外，系统被它感染之后，计算机无法显示隐藏文件，在系统进程里存在名为kill的进程，而且经常会占用掉100％的CPU 资源。
该病毒会记录用户的键盘输入，即使用软键盘也无济于事，从而使得用户的信用卡或QQ、游戏的账户密码被盗取。之后还会在后台将其发送到指定的邮箱，危害性较高。

手动清除方法
1、首先进入安全模式，删除掉 C:\WINDOWS\system32\SocksA.exe 文件，之后删除所有盘符根目录下的autorun.inf和tel.xls.exe 两个文件，注意，一定要用鼠标右键打开每个盘符。
2、打开记事本，将以下代码copy进去，然后另存为tel.reg 文件，双击将其导入注册表。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
3、打开注册表编辑器（“开始”－“运行”－输入“regedit”），删除注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL 中的CheckedValue，然后新建一个Doword 值，将其键值设为1。
4、打开我的电脑，从“工具”菜单－“文件夹选项”中的“隐藏受保护的系统文件（推荐）”前的勾去掉。重新启动电脑即可。

※本文所有权属于萍水相逢 和会师楼共同所有，未经同意，禁止转载!※

拿得起，放得下；拿不起，也得放下！

萍水相逢

举人

UID 148
精华 2
积分 4921
帖子 980
威望 224
金钱 2711
贡献 6
阅读权限 20
注册 2007-8-22
状态离线

第66楼

大中小

使用道具

发表于 2008-5-14 16:52 资料短消息加为好友

手工清除Sircam蠕虫病毒

1、清空回收站，因为病毒将自身隐藏在回收站；
2、删除Autoexec.bat文件中的"@win ecycledsirc32.exe"
3、恢复注册表
（1）将regedit.exe改名为regedit.com因为该病毒关联exe文件
（2）打开注册表编辑器，查找主键：
HKEY_CLASSES_ROOT/exefile/shell/open/command将其键值改为"%1" %*
（3）删除主键HKEY_LOCAL_MACHINE/Software/SirCam
（4）删除键值HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run Services/Driver32
（5）将regedit.com改回为regedit.exe

※本文所有权属于萍水相逢 和会师楼共同所有，未经同意，禁止转载!※

拿得起，放得下；拿不起，也得放下！

萍水相逢

举人

UID 148
精华 2
积分 4921
帖子 980
威望 224
金钱 2711
贡献 6
阅读权限 20
注册 2007-8-22
状态离线

第67楼

大中小

使用道具

发表于 2008-5-14 16:54 资料短消息加为好友

手工清除“I LOVE YOU”病毒

解决方案：在开始菜单中选“运行”，输入“Regedit”并回车，在注册表编辑器的左边一栏内选“HKEY_LOCAL_MACHINE／Software／Micro soft／Windows／CurrentVersion／Run”，在右边栏内查找值为“:WindowsSystem MSKernel32.vbs”和“WI N-BUGSFIX.exe”的键，这些键值使得病毒在Windows启动的时候得以运行，选中这些键并删除。在注册表中查找键值为“:WindowsSystem Win32DLL.vbs”的键，选中并删除。

退出注册表，从开始菜单中选择“关闭系统”的“重新启动计算机并启动到MS-Dos方式”，进入缺省目录“C:”之后，接着输入DEL WIN-BUGSFIX.exe，回车，重启计算机。这样，整个清除病毒过程就结束啦。

※本文所有权属于萍水相逢 和会师楼共同所有，未经同意，禁止转载!※

拿得起，放得下；拿不起，也得放下！

萍水相逢

举人

UID 148
精华 2
积分 4921
帖子 980
威望 224
金钱 2711
贡献 6
阅读权限 20
注册 2007-8-22
状态离线

第68楼

大中小

使用道具

发表于 2008-5-14 17:11 资料短消息加为好友

清除黑客程序“煞伯7号”

1999年8月17日，南京信源公司的“病毒119”寻呼急促地响起，有一例黑客程序被上报到南京信公司技术部，经过紧张的分析测试，他们已经彻底的破解了该黑客程序。怎样判断你的机器内是否有“煞伯7号”？你可以到你的操作系统安装目录（一般为Windows目录）下，检查是否有Rundll16.exe文件。有没有？如果你发现了，哈哈你被“黑”了，黑客可能正在窃取你的秘密。赶快用文本编辑器修改该目录下的文件System.ini将 [boot] shell=Explorer.exe rundll16.exe 改为 [boot]shell=Explorer.exe 重新启动计算机，将Rundll16.exe删除，要快哦！否则就会有更大的破坏。到此为止，你已经躲开了该黑客程序的控制。南京信源公司VRV2000的3.B版本及VRV31.0，能够彻底查杀“煞伯7号”。

※本文所有权属于萍水相逢 和会师楼共同所有，未经同意，禁止转载!※

拿得起，放得下；拿不起，也得放下！

萍水相逢

举人

UID 148
精华 2
积分 4921
帖子 980
威望 224
金钱 2711
贡献 6
阅读权限 20
注册 2007-8-22
状态离线

第69楼

大中小

使用道具

发表于 2008-5-14 17:14 资料短消息加为好友

Back Orifice 2000的清除方法

手工删除Back Orifice 2000的方法：
1.在WINDOWS 9X 中运行REGEDIT。
2.将注册表中：HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUNSERVICES下的UMGR32.EXE 串值删除。
3.重新启动。
4.将WINDOWS/SYSTEM目录下的UMGR32~1.EXE文件删除即可。

※本文所有权属于萍水相逢 和会师楼共同所有，未经同意，禁止转载!※

拿得起，放得下；拿不起，也得放下！

萍水相逢

举人

UID 148
精华 2
积分 4921
帖子 980
威望 224
金钱 2711
贡献 6
阅读权限 20
注册 2007-8-22
状态离线

第70楼

大中小

使用道具

发表于 2008-5-14 17:15 资料短消息加为好友

清除Windows NT蠕虫病毒

目前，NAI公司已发现清除ExploreZIP.worm病毒的有效方法：Win9X：重启并进入MS_DOS模式，编辑WIN.INI并删掉“run=c:windowssystemexplore.exe”，然后删除“c:windowssystem explore.exe”，再重启Win9X即可。

Win NT：该蠕虫作为一个进程在Win NT Task manager中名为“explore”，用户可以终止该进程。运行REGEDIT（注意：不是REGEDIT32）并嵌入[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows，删除“run=C:\WINNTSystem32Explore.exe”，重启NT，删除文件“c:winntsystem32Explore.exe”即可。

※本文所有权属于萍水相逢 和会师楼共同所有，未经同意，禁止转载!※

拿得起，放得下；拿不起，也得放下！

153 7/16 |‹‹‹5 6 7 8 9 10 11 12 13 14 ›››|