首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > 病毒查杀 > 2006十大病毒手工查杀方法 > 正文

2006十大病毒手工查杀方法

出处:5DMail.Net收集整理 作者:5DMail.Net收集整理 时间:2007-3-22 18:24:46
一、“灰鸽子”

  病毒名称:Backdoor/Huigezi

  病毒中文名:“灰鸽子”

  病毒类型:后门

  影响平台:Win9X/ME/NT/2000/XP

  描述:Backdoor/Huigezi.**“灰鸽子”是一个未经授权远程访问用户计算机的后门。以“灰鸽子”变种cm为例,该变种运行后,会自我复制到系统目录下。修改注册表,实现开机自启。侦听黑客指令,记录键击,盗取用户机密信息,例如用户拨号上网口令,URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外,“灰鸽子”变种cm可下载并执行特定文件,发送用户机密信息给黑客等。

  手工清除方法:

  对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。

  由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“SafeMode”或“安全模式”。

  1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。

  2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。

  3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为*****_Hook.dll的文件。

  4、根据灰鸽子原理分析我们知道,如果*****_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有*****.exe和*****.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的*****Key.dll文件。

  5、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

  6、点击菜单“编辑”-》“查找”,“查找目标”输入“*****.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为*****_Server)。

  7、删除整个*****_Server项。

  二、“传奇窃贼”

  病毒名称:Trojan/PSW.LMir

  病毒中文名:“传奇窃贼”

  病毒类型:木马

  危险级别:★

  影响平台:Win9x/2000/XP/NT/Me

  描述:传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后,主程序文件自己复制到系统目录下。修改注册表,实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后,会自动重启。窃取“传奇2”帐号密码,并将盗取的信息发送给黑客。

  手动清除方法:

  它会在%WinDir%目录下生成的explorer.com文件也很迷惑人,与explorer.exe就差一个扩展名(如图2)。病毒经过UPX加壳处理,脱掉后可以看出是用VisualC++6.0编写的。

  1、先再任务管理器中结束explorer.com进程,注意:是explorer.com而不是explorer.exe。

  2再将每个硬盘分区根目录下bbs.exe和web.exe两个文件删除掉,注意:删除后就不要再打开这个分区了,否则会再次感染。

  3删除%WinDir%\explorer.com文件(注:WindowsXP系统在C:\windows\explorer.com,Windows2000/NT系统在C:\WINNT\explorer.com。)

  4最后在注册表中删除

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

  "Net"=%WinDir%\services.exe

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows]

  "Load"=%WinDir%\assistse.exe

  这两个键值,这样病毒就不会随这机器开机运行了。

  三,高波和瑞波

  高波: Backdoor/Agobot.** “高波”主要利用网络弱密码共享进行传播的后门程序。该后门程序还可利用微软DCOM RPC漏洞提升权限,允许黑客利用IRC通道远程进入用户计算机。该程序运行后,程序文件自我复制到系统目录下,并修改注册表,以实现程序的开机自启。开启黑客指定的TCP端口。连接黑客指定的IRC通道,侦听黑客指令。

  瑞波:该病毒经过多层压缩加密壳处理,可以利用多种系统漏洞进行传播,感染能力很强。中毒计算机将被黑客完全控制,成为"僵尸电脑"。由于此病毒会扫描感染目标,因此可以造成局域网拥堵。

  高波:

  第一种

  1、自动清除:断开网络,升级杀毒软件对电脑进行全盘扫描。

  2、高波手工清除:打好微软MS03-007、MS03-026、MS04-011、MS04-031补丁,在系统目录下找到病毒文件名为Medman.exe,并将其删除。

  第二种

  1、进入任务管理器,结束winaii.exe和netlink32.exe进程,然后打开资源管理器,进入c:\windows\system32目录,查找winaii.exe和netlink32.exe两文件,将其删除。在系统启动项目(开始>运行>msconfig进入)中去掉其相应的加载启动项。然后安装杀毒软件,升级病毒库后进行杀毒。接着安装相应windowsXP或windows2000的补丁程序,重启系统。

  2、如果按如上的方法不能清除病毒,可以从安全模式下进行处理,方法如下:在安全模式下,打开注册表,在“编辑”中“查找”“winaii.exe”和“netlink32.exe”,删除找到的“winaii.exe”和“netlink32.exe”项目。查看windows\system32目录下是否有winaii.exe和netlink32.exe这两个文件,有则删除。最后杀毒、打补丁并重启计算机。

  3、该病毒具有密码库,能够破解机子的一些较简单的密码(密码仅包含数字或26个字母称为简单密码),尤其是对于windows2000系统,往往刚杀完病毒后又染上该病毒了。所以建议在杀毒的过程中最好断开网络连接,确定杀完病毒和打好补丁(MS03-007、MS03-026、MS04-011、MS04-031补丁)后,为机子重设一个复杂的密码(密码包含问号,点号等特殊符号)。

  瑞波:

  手工清除:在系统目录下找到病毒文件msxml32.exe,在注册表中找到键值msxml32.exe,将其删除。打上微软MS03-007、MS03-026、MS04-011、MS04-031四个漏洞补丁

  四、“CHM木马”

  病毒名称:Exploit.MhtRedir

  病毒中文名:“CHM木马”

  病毒类型:木马、脚本

  危险级别:★★

  影响平台:Windows98/ME/NT/2000/XP/2003

  描述:

  利用IE浏览器MHTML跨安全区脚本执行漏洞(MS03-014)的恶意网页脚本,

  自从2003年以来,一直是国内最为流行的种植网页木马的恶意代码类型,

  2005年下半年,泛滥趋势稍有减弱,2006年上半年的感染数量仍然很大,

  没有短期内消亡的迹象。

  手工清除方法:

  打上微软MS03-014和MS04-023系统漏洞补丁,找到以下病毒和配置文件并将其删除:

  %SystemDir%\dllcache\pk.bin,3680字节,病毒配置文件

  %SystemDir%\dllcache\phantom.exe,393216字节,病毒程序

  %SystemDir%\dllcache\kw.dat,803字节,病毒配置文件

  %SystemDir%\dllcache\phantomhk.dll,8704字节,病毒模块

  %SystemDir%\dllcache\phantomi.dll,215040字节,病毒模块

  %SystemDir%\dllcache\phantomwb.dll,40960字节,病毒模块

  在注册表中定位到键值,并将该键值删除:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Phantom"=%SystemDir%\dllcache\phantom.exe

  五、“QQ大盗”

  病毒名称:Trojan/QQPass

  病毒中文名:“QQ大盗”

  病毒类型:木马

  危险级别:★

  影响平台:Win9X/2000/XP/NT/Me

  描述:Trojan/QQPass.ak是用Delphi编写并经过压缩的木马,用来窃取游戏"传奇"信息。

  传播过程及特征:

  1.创建下列文件:

  %System%\winsocks.dll,91136字节

  %Windir%\intren0t.exe,91136字节

  2.修改注册表:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

  "Intren0t"=%Windir%\intren0t.exe

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]"Intren0t"=%Windir%\intren0t.exe

  这样,在Windows启动时,病毒就可以自动执行。

  注:%Windir%为变量,一般为C:\Windows或C:\Winnt;%System%为变量,一般为C:\Windows\System(Windows95/98/Me),C:\Winnt\System32(WindowsNT/2000),或C:\Windows\System32(WindowsXP)。

  手工清除:

  在系统目录找到病毒文件winsocks.dll和intren0t.exe,并将其删除。打开注册表并定位到以下键值,将键值删除:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

  "Intren0t"=%Windir%\intren0t.exe

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

  "Intren0t"=%Windir%\intren0t.exe

  六、“工行钓鱼木马”

  病毒名称:TrojanSpy.Banker.**

  病毒中文名:“工行钓鱼木马”

  病毒类型:木马

  危险级别:★★★

  影响平台:Windows98/ME/NT/2000/XP/2003

  描述:这是一个十分狡猾的盗取网上银行密码的木马病毒。病毒运行后,在系统目录下生成svchost.exe文件,然后修改注册表启动项以使病毒文件随操作系统同时运行。

  病毒运行后,会监视微软IE浏览器正在访问的网页,如果发现用户在工行网上银行个人银行登录页面上输入了帐号、密码,并进行了提交,就会弹出伪造的IE窗,内容如下:“为了给您提供更加优良的电子银行服务,6月25日我行对电子银行系统进行了升级。请您务必修改以上信息!”

  病毒以此诱骗用户重新输入密码,并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载灰鸽子后门病毒,感染灰鸽子的用户系统将被黑客远程完全控制。

  手工清除:在系统目录下找到svchost.exe病毒文件,并将其删除,打开注册表找到svchost.exe的关联键值,并将其删除。

  七、“敲诈者”

  病毒名称:Trojan/Agent.**

  病毒中文名:“敲诈者”

  病毒类型:木马

  危险级别:★★★

  影响平台:Win9X/ME/NT/2000/XP/2003

  描述:毒在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹,名为“控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D}”,同时搜索本地磁盘上的用户常用格式文档(包括.xls、.doc、.mdb、.ppt、wps、.zip、.rar),把搜索到的文件移动到上述备份文件夹中,造成用户常用文档丢失的假象

  手工清除方法:

  1、打开工具选项—〉文件夹选项—〉选择显示所有文件和文件夹并且将隐藏受保护的操作系统把文件前的√去掉。

  2、将根目录下的名为“控制面板”隐藏文件夹用WinRAR压缩,然后启动WinRAR,切换到该文件夹的上级文件夹,右键单击该文件夹,在弹出菜单中选择"重命名"。

  3、去掉文件夹名“控制面板”后面的ID号,即可变为普通文件夹了;也可直接进入该文件夹找回丢失的文件。

  八、维京

  该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒的电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。

  手工清除方法:

  在下列系统目录中找到相应病毒文件并删除:

  %SystemRoot%\rundl132.exe

  %SystemRoot%\logo_1.exe

  病毒目录\vdll.dll

  定位到以下注册表键值并将其删除:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\current\Version\Run]

  "load"="C:\\Windows\\rundl132.exe"

  [HKEY_CURRENT_USER\Softwre\Microsoft\Windows NT\CurrentVersion\Windows]

  "load"="C:\\Windows\\rundl132.exe"

  九,爱情后门

  一、感染后的症状

  在每个盘里自动生成几个压缩包,install.ZIP pass.ZIP setup.ZIP bak.RAR

  pass.RAR

  二、方法

  第一种

  结束进程: hxdef.exe iexplore.exe NetMeeting.exe

  (如果结束不了,进安全模式(开机,按F8)在杀毒。或者先删注册表中的各项,重启后再删文件)

  删掉%systemroot%system32下(systemroot,即安装系统的分区,一般为 C:\ )的:

  hxdef.exe

  ravmond.exe

  iexplore.exe

  kernel66.dll

  odbc16.dll

  msjdbc11.dll

  MSSIGN30.DLL

  spollsv.exe

  NetMeeting.exe

  (注意,有的文件是隐藏文件)

  删掉%systemroot%目录下的systra.exe

  删掉各个磁盘跟目录下的autorun.inf和command.exe(都是隐藏文件)

  删掉各个磁盘跟目录下的rar和zip文件(大小126k)

  关闭系统还原(此病毒可能感染系统还原目录内的文件)

  搜索各磁盘中的.zmx文件,把相应目录中的exe文件删掉(如果是abc.zmx,就删掉abc.exe,注意,此文件是125k。)然后把zmx文件改回exe(如abc.zmx改成abc.exe)。文件属性被修改,通过下面这条命令改回属性:attrib -s -h *.zmx /s(在发现zmx文件的磁盘跟目录下运行,如:F:>attrib -s -h *.zmx /s

  删掉注册表中下面各项:

  HKEY_LOCAL_MACHINESOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

  "Hardware Profile"="%Windir%\System32\hxdef.exe"

  "VFW Encoder/Decoder Settings"="

  RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

  "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"

  "Program In Windows"="%Windir%\System32\IEXPLORE.EXE"

  "Shell Extension"="%Windir%\System32\spollsv.exe"

  "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

  unServices

  "SystemTra"="%Windir%\SysTra.EXE"

  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices_reg

  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows

  Management Protocol v.0 (experimental)

  进入注册表的方法: "开始" \ "运行" \ 输入"regedit" \ 回车

  第二种

  手工杀毒步骤为:

  1.删除了以上列出的病毒文件,有些文件只能在安全模式下删除。

  2.然后修改注册表,删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

  Windows\CurrentVersion\Run]中的相应条目。

  3.删除服务,可以使用resource kit中的delsrv命令,也可以到注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services中删除。

  做了以上工作后,计算机暂时恢复正常。但是过了一段时间以后,发现计算机重新感染病毒,原来的所有现象重新出现。再做一遍仍然如此。使用任务管理器查看进程,未发现其它可疑进程。后来使用瑞星最新版本杀毒,可以看到winnt\explorer.exe感染病毒,但无法杀掉。所以把注意力转到这个文件上,经检查文件尺寸为238kb,到别的正常机器上一看,结果是233kb,原来如此。由于操作系统运行过程中无法替换该explorer.exe文件,所以使用win2000安装光盘启动,进入恢复控制台。使用软盘把从正常计算机上拷贝来的文件替换上。并且使用上面的三个步骤手工杀毒。

  十、工行钓鱼木马:

  这是一个十分狡猾的盗取网上银行密码的木马病毒。病毒运行后,在系统目录下生成svchost.exe文件,然后修改注册表启动项以使病毒文件随操作系统同时运行。

  病毒运行后,会监视微软IE浏览器正在访问的网页,如果发现用户在工行网上银行个人银行登录页面上输入了帐号、密码,并进行了提交,就会弹出伪造的IE窗,内容如下: “为了给您提供更加优良的电子银行服务,6月25日我行对电子银行系统进行了升级。请您务必修改以上信息!”

  病毒以此诱骗用户重新输入密码,并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载灰鸽子后门病毒,感染灰鸽子的用户系统将被黑客远程完全控制。

  1、自动清除:断开网络,升级杀毒软件对电脑进行全盘扫描。

  2、手工清除:在系统目录下找到svchost.exe病毒文件,并将其删除,打开注册表找到svchost.exe的关联键值,并将其删除

相关文章 热门文章
  • 漫画网管员系列:病毒及垃圾邮件伤不起
  • 金山公布十大病毒集团名单 业务重点转向网购
  • 中国邮箱用户满意度普遍较低,防病毒反垃圾邮件体验最差
  • 江民2009年度中国大陆地区计算机病毒疫情报告
  • Outlook防病毒防垃圾邮件的办法
  • Freebsd环境下基于qmail系统的反病毒反垃圾邮件系统构建
  • 伪微软更新病毒卷土重来
  • 僵尸网络利润可观 引犯罪分子尽折腰
  • 启用Outlook病毒防护功能
  • services.exe病毒查杀:services.exe病毒清除技巧
  • 企业邮箱病毒蔓延,信息安全拯救刻不容缓
  • 阻断恶意病毒攻击:隔离、遏制、消灭
  • 手工彻底清除PWSteal.Lemir.Gen木马的方法
  • 最流行的恶意网站清除解决办法
  • 手工清除Backdoor.livup(msstart.exe)木马
  • 局域网病毒防杀一点通
  • 对付Backdoor.D.WinSys木马的窍门
  • 最近猖獗的熊猫烧香病毒分析与解决方案
  • 清除worm.snake.a病毒的方法
  • 手工彻底清除Backdoor.PWStealer木马的方法
  • 巧用NTFS权限屏蔽FlashGet弹出广告
  • 邮件病毒入侵后的五个清除步骤
  • 彻底清除征途木马病毒
  • "Worm.NetSky.B"4A级蠕虫分析报告
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号