扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
手工清除“恶邮差”(Supnot)蠕虫病毒
1.使用资源管理器查看进程,注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒(或由病毒生成的后门软件),甚至其它的一切不常见的进程都有可能是,如果不能确定,找一台服务器上的进程来观察(服务器应该不会被感染)。
2.将病毒程序(后门)的进程结束掉,对于不能结束的,可以使用附件中的pskill.exe结束掉(命令格式“pskill 进程名”)。
3. 打开“服务”,在服务列表中将没有“描述”服务进行筛选,查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务,依次删掉注册表中的
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BRWWTELK]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prom0n.exe]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Extension]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window Remote Service]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run(RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(RunServices]
……的相关的健值(还有WinVNC的进程,没有记住是什么健值)
4.删掉
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg]
[HKEY_CLASSES_ROOT\Applications\winrpc.exe]的健值,
5. 并修改[HKEY_CLASSES_ROOT\txtfile\shell\open\command]的右侧的默认健值为” %SystemRoot%\system32\NOTEPAD.EXE %1”,此时,.txt的文件无法正常打开,可以点击文本文件的右键选择其它方式,选择使用Notepad即可。
6.删掉系统system32目录下的以下程序(大部分可执行程序的大小都为78,848字节): winrpcsrv.exe 、 winrpc.exe 、 wingate.exe 、 syshelp.exe 、rpcsrv.exe 、 iexplore.exe 、 prom0n.exe(注意中间的是数字0) 、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、 winvnc.exe
7. 清空“C:\Documents and Settings\Default User(或Default Uesr..WINNT)\Local Settings\Temporary Internet Files\Content.IE5”目录下除了“desktop.ini”的所有文件,该路径下,发现有一些后门软件。
8.关闭所有目录的完全共享!――这是关闭了该程序还可以通过网络感染的途径。
9. 重新启动计算机,观察是否还有类似进程出现,尤其是irftpd.exe,这个程序是由上述第3步的“服务”程序自动生成的。由于该蠕虫先后出现多个变种,建议使用专杀工具来查杀。
新欢乐时光VBS/Redolf的清除办法
1、删除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel3
2 键值;
参照其他系统,恢复 HKEY_CLASSES_ROOT\dllFile\ 下键值;
参照其他系统,恢复 HKEY_CURRENT_USER\Identities\" &UserID &"\Software\Microsoft\Outlook Express\" &OEVersion & "\Mail\ 下相关键值;
参照其他系统,恢复 HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\ 下相关键值;
参照其他系统,恢复 HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\ 下相关键值;
3、删除文件
参照其他系统,恢复 %Windows%\web 目录下 folder.htt 文件;
删除 Kernel32.dll 或者 Kernel.dll 文件;删除 kjwall.gif;
查找所有存在 KJ_start 字符串的文件,删除文件尾部的病毒代码。
由于该病毒利用 Windows 资源管理器的视图模板进行感染,所以必须对计算机所有磁盘进行检查,不能遗漏,否则很快又会再次感染。在查杀过程中一定不能打开资源管理器,否则也不能查杀干净。
摘要:本文是51CTO安全频道收集并整理的,近几年常见病毒的手工查杀方法,里面涵盖了今年比较流行的熊猫烧香、灰鸽子、MSN相册病毒,以及autorun.inf病毒等,希望对各位网友有所帮助。
标签:手工 清除 autorun.inf 熊猫烧香 灰鸽子 MSN相册 病毒 集锦
I-WORM/Badtrans.b,病毒的清除
首先用最新DOS版的杀毒软件开机杀毒,然后将邮箱中的带毒邮件一一删除,否则又会重复感染,该病毒传播能力极强,必须加强防范, 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
恶性蠕虫病毒“I-Worm.Aliz”
用最新的杀毒软件清除病毒,然后下载补丁:
如果用户使用升级的因特网outlook版本6.0,就不需要修补outlook。
1. outlook http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
2.outlook 2000 http://office.microsoft.com/korea/downloads/2000/outlctlx.aspx
3.outlook 2002 (office XP) http://office.microsoft.com/korea/downloads/2002/OLK1003.aspx
Nimda.e病毒详细解毒方案
一、winX系统的清除方法:
1 使用干净DOS软盘启动机器。
2 执行vrvdos, 查杀所有硬盘。
3 在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。
4 开启vrv实时监测病毒防火墙。
5 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
地址是:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp。
这样可以预防此类病毒的破坏。
6、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。
7、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区。
8、对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载:http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.
9、病毒被清除后, 在windows的system目录下的文件riched20.dll将被删除,请从WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件,否则的话,写字板和OFFICE, WORD等程序将不能正常运行。在WINDOWS98系统下的该文件大小是:431376字节。或重装office。
二、WINDOWS NT/2000系统的清除方法:
WINDOWS NT/2000系统的NTFS硬盘分区感染此毒时,处理比较烦琐。因用DOS软盘引导后不认硬盘分区,所以无法杀毒。在患毒的WINDOWS NT/2000系统下又杀不干净病毒。不管是服务器还是单机的硬盘染此毒了,要想杀干净病毒,可按如下方法杀毒:
1 找一台没有感染病毒的、并装有WINDOWS NT/2000(NTFS)系统的计算机,将vrv2001 server安装到硬盘中,对硬盘进行查杀。
2 如果有杀不掉的,用dos盘引导起动,再执行NTFSpro(在vrv网站可以下载)中的ntfspro.exe 即可,看到NTFS格式下的所有文件,将其删除,再回到正常模式下查杀。
3 如果有多台机器,也可以将患毒的硬盘挂接在没有感染病毒的计算机上做为副盘。
Nimda病毒解决方案
请大家尽快到微软网站下载更新程序,修补这些漏洞,以免中毒。收到可疑的信件,例如:Nimda病毒病毒附件为readme.exe,不要随意打开以免中毒,IE 5.x 的使用者请到http://www.microsoft.com/technet/security/bulletin/MS01-020.asp下载修复程序,避免浏览中毒网页就被感染。
IIS 的使用者请到http://www.microsoft.com/technet/security/bulletin/MS01-044.asp、http://www.microsoft.com/technet/security/bulletin/MS00-078.asp下载修复程序,以修正Unicode漏洞。
另外:Win9x用户记得去掉共享,修改System.ini中shell=explorer.exe load.exe -dontrunold为shell=Explorer.exe ,Win2000则查看一下administrators组中是否加进了“guest”用户,如果是,请将guest用户从administrators组中删除,然后用最新版的杀毒软件扫描你的机器,查杀病毒。
自己动手对付CodeRed(红色代码)
CodeRed(红色代码)是利用Windows NT/2000本身的漏洞来执行骇客行为,微软网站提供更新档下载,使用IIS 4.0以上版本用户,请尽快至微软网站http://www.microsoft.com/technet/security/bulletin/MS01-033.asp更新修正。
手工清除Sircam蠕虫病毒:
1、 清空回收站,因为病毒将自身隐藏在回收站;
2、 删除Autoexec.bat文件中的"@win ecycledsirc32.exe"
3、 恢复注册表
(1) 将regedit.exe改名为regedit.com因为该病毒关联exe文件
(2) 打开注册表编辑器,查找主键:
HKEY_CLASSES_ROOT/exefile/shell/open/command将其键值改为"%1" %*
(3) 删除主键HKEY_LOCAL_MACHINE/Software/SirCam
(4) 删除键值HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run Services/Driver32
(5) 将regedit.com改回为regedit.exe
手工清除“快乐时光”病毒
1.检查 C:\Help.htm、C:\ 盘第一个子目录下的 Help.vbs 和 Help.hta、Windows录下 Help.htm 或者与原墙纸文件名的 html 格式文件,若其中 含有“Rem I am sorry! happy time”字符串,则删除该文件
2.检查 C: 盘上所有 vbs、html 或者 asp 文件,若含有“Rem I am sorry! happy time”字符串,则删除该文件
3.检查 \Windows\Web 目录下所有 vbs、html、htt 和 asp 文件,若含有“Rem Iam sorry! happy time”字符串,则删除该文件;
4.删除 HKEY_CURRENT_USER\Software 下 Help 项;
5.删除收件箱中所有带有 Untitled.htm 附件的不明邮件。
手工清除出现漩涡画面的Hybris.A变种病毒
解决方案:
一、Window 95用户更改WSOCK32.DLL
1.从开始->关机->重新启动并切换到MS-DOS模式。
2.键入: EXTRACT /A C:\WINDOWS\OPTIONS\CABS\WIN95_11.CAB WSOCK32.DLL /L C:\WINDOWS\SYSTEM,或是放入你的 Windows 95 CD-ROM,然后键入:EXTRACT /A D:\WIN95\WIN95_11.CAB WSOCK32.DLL /L C:\WINDOWS\SYSTEM. D: 指你的CD-ROM drive
二、Window 98用户更改WSOCK32.DLL
1.从开始->运行,键入SFC并按OK.
2.选择从安装软盘提取一个文件(E)
3.在空格中键入C:\WINDOWS\SYSTEM\WSOCK32.DLL 并按开始。
4.在提取文件表格中键入C:\WINDOWS\OPTIONS\CABS 或是在你的Windows 98 CD-ROM中浏览 Windows 98,会在CAB file这里发现命名为"PRECOPY1.CAB" 按OK 后跟着提示进行就可。
手动清除圣诞节病毒的方法:
1.开始——>程序——>MS-DOS模式
2.将DOS指令regedit.exe重新命名为 regedit.com
3.回到Windows运行Regedit。
4.开始——>运行
5.输入“regedit”。按一下“确定”。
6.在左边窗口,按一下含有 "+" 记号的方块以展开节点来寻找下列登录:
HKEY_CLASSES_ROOT exefile shell open command
7.在右边窗口,以展开节点来寻找含有下列登录的记录值并点选 (Default) = "% windir%\SYSTEM\WINSVRC.EXE"%1""%*" where %windir%
8.当编辑窗口出现,将所有整个部分删除,只留下 "%1"%*"。
9.同步骤 3-5,输入“regedit”。按一下“确定”,进入以下注册机值:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
10.点选Win32BaseServiceMOD = %windir%\SYSTEM\WINSVRC.EXE ,并按“删除”
11.开始——>程序——>MS-DOS模式
12.将 regedit.com重新命名为 regedit.exe。
Win32/MTX.A.Worm 病毒的清除方法
清除步骤:
1、对于蠕虫病毒生成的文件如:MTX_.exe,Ie_pack.exe和Win32.dll,需要彻底删除,它们的病毒报警为Win32/MTX.Attachment.Worm 或Win32/MTX.A.Downloader.Worm。
2、 开始---运行(regedit)修改注册表,将注册表中的关键字值删除,关键字值为:
Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run\Systembackup =\MTX_.EXE
3、 开始---运行(regedit)---编辑---查找(Win32.dll),将查找到的键值删除掉,用同样的方法 查找Ie_pack.exe和mtx,将查找到的键值也删除;
4、重新启动计算机。
摘要:本文是51CTO安全频道收集并整理的,近几年常见病毒的手工查杀方法,里面涵盖了今年比较流行的熊猫烧香、灰鸽子、MSN相册病毒,以及autorun.inf病毒等,希望对各位网友有所帮助。
标签:手工 清除 autorun.inf 熊猫烧香 灰鸽子 MSN相册 病毒 集锦
手动清除特洛伊木马TROJ_QAZ.A病毒
1、单击“开始│运行” 键入:Regedit,按Enter键
2、找到注册键:
HKEY_LOCAL_MACHIN/Software/Microsoft/Windows/CurrentVersion/Run
3、在右边的窗口中,找出任何包含下列数据的注册键值:
startIE=XXXX\Notepad.exe
4、在右边的窗口中,选中该键值,按删除键后再选是,删除该值。 退出注册表修改。 单击 “开始│关闭系统”,选择“重启动”后单击“是”。
5、重命名Note.com为Notepad.exe。
冰河的手工解决办法
病毒冰河的手工解决办法:
1、在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中找 到冰河(默认是C:\WINDOWS\SYSTEM\Kernel32.exe),将其删除。
2、在注册表中找到HKEY_CLASSES_ROOT\txtfile\,可以在其次键中发觉Shell\open\command中运行的程序,默认的是C:\WINDOWS\SYSTEM\Sysexplr.exe %1, 将它删掉就行。其他形式的伪装也照删不误。
3、重新启动,在纯Dos模式中删除冰河以及它的关联程序(默认是 C:\WINDOWS\SYSTEM\Kernel32.exe和sysexplr.exe)。
VBS_STAGES.A蠕虫的解决方案
进入以下注册表目录:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
查找含有以下键值的键:"C:\WINDOWS\WSCRIPT.EXE,C:\WINDOWS\SYSTEM\SCANREG.VBS" 将含有这些键值的键删除。
进入以下注册表目录:
HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/DefaultIcon
查找以下键值:"C:\RECYCLED\RECYCLED.VXD,1" 将其修改为:C:\WINDOWS\regedit.exe,1 to this input box
进入以下注册表目录:
HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/shell/open/command
查找以下键值:"C:\RECYCLED\RECYCLED.VXD,1" 将其修改为:C:\WINDOWS\regedit.exe,1 to this input box.,退出注册表 。重启后扫描整个系统,将感染了此病毒的文件删除。 从另一干净的机器上拷贝一个REGEDIT.EXE 程序到本机。
抵御港产电脑病毒“嘻哈”
近日传媒公布港产电脑病毒“嘻哈”即“F4student.heha”病毒,此ICQ病毒轰炸校园,而且通过ICQ扩散,威胁约一亿个香港与国际ICQ用户,只要通过它人用ICQ发给你的网址http://f4student.heha.net/????(为了避免误进入我将这个网址‘马赛克’了^-^)进入此网站后再重新开机,会删除整个电脑硬盘全部资料。
本人分析过此病毒,其实只是使用了IE5的一个漏洞,其“发作”时调用了start /m deltree c: d: e: /autotest /u这一危险的命令,只要将你们机器里的Deltree.exe作特殊处理(改名等)就可预防该‘病毒’了。
另外:本人在此提醒大家,一般来说,我建议电脑管理员将机器里面的(Format,Fdisk,Deltree等特殊的命令)作特殊处理,防止使用人员误操作导致发生灾难。
手工清除“I LOVE YOU”病毒
解决方案: 在开始菜单中选“运行”, 输入“Regedit”并回车, 在注册表编辑器的左边一栏内选“HKEY_LOCAL_MACHINE/Software/Micro soft/Windows/CurrentVersion/Run”, 在右边栏内查找值为“:\Windows\System\ MSKernel32.vbs”和“\WI N-BUGSFIX.exe”的键, 这些键值使得病毒在Windows启动的时候得以运行,选中这些键并删除。 在注册表中查找键值为“:\Windows\System\ Win32DLL.vbs”的键, 选中并删除。 退出注册表, 从开始菜单中选择“关闭系统”的“重新启动计算机并启动到MS-Dos方式”, 进入缺省目录“C:\”之后,接着输入DEL WIN-BUGSFIX.exe,回车, 重启计算机。这样,整个清除病毒过程就结束啦。
如何自行将MSIE.HTA(网路害虫)清除
1.将Windows\system目录下MSBOOT.BAT、MSIE.LST、MSIE.INI、MSIE.HTA四个文件删除。
2.将Windows\system\system目录删除。
3.将windows\Start Menu\Programs\启动\ 中的Microsoft Internet Explorer.hta文档删掉。
如何防范VBS_BUBBLEBOY(OUTLOOK.BubbleBoy)蠕虫
BubbleBoy(泡沫小子)是由VB 脚本撰写而成,且浏览器要求是安装了Windows Scripting Host的IE5。WindowsS-cripting Host是Windows 98 和Windows 2000标准安装程序。BubbleBoy 在Windows NT上无法运行。 若IE5的安全级别设定为最高,动态脚本组件(Active Scripting Components)就无法被执行。最好的办法就是从Microsoft获取最新的安全补丁程序。 Microsoft的Internet Explorer 5.0用户可以进入“Tools/ Windows Update”,来获得最新的补丁和插件程序。
清除黑客程序“煞伯7号”
1999年8月17日,南京信源公司的“病毒119”寻呼急促地响起,有一例黑客程序被上报到南京信公司技术部,经过紧张的分析测试,他们已经彻底的破解了该黑客程序。怎样判断你的机器内是否有“煞伯7号”?你可以到你的操作系统安装目录(一般为Windows目录)下,检查是否有Rundll16.exe文件。有没有?如果你发现了,哈哈你被“黑”了,黑客可能正在窃取你的秘密。赶快用文本编辑器修改该目录下的文件System.ini将 [boot] shell=Explorer.exe rundll16.exe 改为 [boot]shell=Explorer.exe 重新启动计算机,将Rundll16.exe删除,要快哦!否则就会有更大的破坏。到此为止,你已经躲开了该黑客程序的控制。 南京信源公司VRV2000的3.B版本及VRV31.0,能够彻底查杀“煞伯7号”。
摘要:本文是51CTO安全频道收集并整理的,近几年常见病毒的手工查杀方法,里面涵盖了今年比较流行的熊猫烧香、灰鸽子、MSN相册病毒,以及autorun.inf病毒等,希望对各位网友有所帮助。
标签:手工 清除 autorun.inf 熊猫烧香 灰鸽子 MSN相册 病毒 集锦
Back Orifice 2000的清除方法
手工删除Back Orifice 2000的方法:
1.在WINDOWS 9X 中运行REGEDIT。
2.将注册表中:HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUNSERVICES下的UMGR32.EXE 串值删除。
3.重新启动。
4.将WINDOWS/SYSTEM目录下的UMGR32~1.EXE文件删除即可。
摘要:本文是51CTO安全频道收集并整理的,近几年常见病毒的手工查杀方法,里面涵盖了今年比较流行的熊猫烧香、灰鸽子、MSN相册病毒,以及autorun.inf病毒等,希望对各位网友有所帮助。
标签:手工 清除 autorun.inf 熊猫烧香 灰鸽子 MSN相册 病毒 集锦
解决:“控险虫”
6月6日在以色列发现新的病毒“探险虫”,它通过邮件传播,专门攻击微软的Office文件,只攻击WINX/NT 操作系统,请大家收到邮件时千万不要随意打开附件,以免文件造破坏。另外,如果你有杀毒软件不能查杀的病毒或碰到“探险虫”,可与我们联系!你们可在杀毒专栏里找免费杀毒软件SODU1999清除“探险虫”。
清除Windows NT蠕虫病毒
目前,NAI公司已发现清除ExploreZIP.worm病毒的有效方法:Win9X:重启并进入MS_DOS模式,编辑WIN.INI并删掉“run=c:\windows\system\explore.exe”,然后删除“c:\windows\system\ explore.exe”,再重启Win9X即可。
Win NT:该蠕虫作为一个进程在Win NT Task manager中名为“explore”,用户可以终止该进程。运行REGEDIT(注意:不是REGEDIT32)并嵌入[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current\Version\Windows,删除“run=C:\\WINNT\System32\Explore.exe”,重启NT,删除文件“c:\winnt\system32\Explore.exe”即可。
清除“Pretty park 蠕虫”病毒
近日,一种名为“Pretty Park蠕虫”的病毒被赛门铁克在法国的Sscan&Deliver系统截获,并预言此病毒有蔓延扩散之趋势。为避免广大的电脑用户遭受此病毒的侵袭,赛门铁克防病毒专家提醒大家提早采取措施。
手工删除该病毒的步骤为:删除WINDOWS\SYSTEM\FILES32.VXD;使用REGEDIT,把注册项?HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command”从 Ffiles32.VXD“%1%*;通过Windows“开始”菜单的“运行”菜单 项启动 REGEDIT;然后在REGEDIT中搜索FILES32.VXD;删除“PrettyPark.exe”文件;再重新启 动计算机。需要注意的是,用户必须严格的执行 第二步,否则,如果只是简单的把FILES32.VXD删除掉,可执 行文件将不能正常运行。
教你如何手工删除“MSN照片”病毒
一、 删除病毒的注册表启动项目
1、运行regedit,打开注册表编辑器。打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad找到“rdshost”一项,将其值记录下来,并将该项删除。
注意:“rdshost”项的值为一个CLSID。病毒产生的这段CLSID不固定,本例中为:{C7B4EE78-A8FB-4C16-AE1F-C1A568949825}。
2、打开HKEY_CLASSES_ROOT\CLSID,找到刚才记录下的CLSID项,本例为:{C7B4EE78-A8FB-4C16-AE1F-C1A568949825},将其删除。
二、 重新启动计算机
由于该病毒驻留内存,因此,清除掉启动项目后必须重新启动计算机才能够删除病毒文件。
三、 删除病毒文件
1、 进入Windows,默认为C:\windows\,找到名为“photo album.zip”的文件并删除。
2、进入系统目录,默认为C:\windows\system32,找到名为“rdshost.dll”文件并删除(注意是DLL文件不是EXE)。
3、重新启动计算机,检查这几个文件是否存在,如果不存在,则病毒已被清除干净。
其他采取手动查杀如下:
1、断网(拨掉网线、禁用网卡都行)
2、取消MSN的自动运行(打开MSN-工具-选项-常规-取消“当我登录到Windows时自动运行……”)
3、重启(进不进安全模式都行,我没有进)
4、打开注册表(开始-运行-输入“regedit”-回车)
5、在注册表中搜索“photo album”,并将之删除(在注册表中按下F3键,文本框中输入“photo album”,回车,搜索到相关项,删除;再按F3,继续搜索,并删除……直到显示“注册表搜索完毕”)
6、删除接收到的文件,并重启计算机
7、可重复第5步,以查是否还有相关项(我重复了几次,没有发现)
8、运行MSN(我测试了20分钟,没有发现异常,发消息没有异常
灰鸽子的手工清除
清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
Windows2000/WindowsXP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。
Windows98/WindowsME系统:
在Windows9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005服务端已经被清除干净。
手工清除熊猫烧香
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(我的电脑里出现的是SVCHOST)注意别搞错了。
二、显示出被隐藏的系统文件
运行注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
四、删除病毒的自动运行项
打开注册表运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
其他方法一:
1. 断开网络
2. 结束病毒进程:%System%/drivers/spoclsv.exe
3. 删除病毒文件:%System%/drivers/spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:X:/setup.exe,X:/autorun.inf
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
"svcshare"="%System%/drivers/spoclsv.exe"
6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer
/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue"=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
其他方法二:
1、拔掉网线断开网络,打开Windows任务管理器,迅速找到spoclsv.exe,结束进程,找到explorer.exe,结束进程,再点击文件,新建任务,输入c:\WINDOWS\explorer.exe,确定。
2、点击开始,运行,输入cmd回车,输入以下命令:
del c:\setup.exe /f /q
del c:\autorun.inf /f /q
如果你的硬盘有多个分区,请逐次将c:改为你实际拥有的盘符(C盘-->Z盘)。上述两个木马文件为只读隐藏,会修改Windows属性,使用户无法通过设置文件夹选项显示所有文件及文件夹的功能看到。
3、进入注册表,删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。
4、删除C:\windows\system32\drivers\spoclsv.exe
5、修复或重新安装防病毒软件并升级病毒库,彻底全面杀毒,清除恢复被感染的.exe文件。
6、屏蔽熊猫烧香病毒网站pkdown.3322.org和ddos2.sz45.com,具体方法如下:
打开C:\WINDOWS\system32\drivers\etc\host文件,添加修改如下格式:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
127.0.0.1 *.3322.org
127.0.0.1 *.sz45.com
7、修复文件夹选项的“显示所有文件及文件夹”的方法:
A、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支,在右边的窗口中双击CheckedValue键值项,该键值应为1.如果值不为1,改为1即可。
如果你设置仍起不了作用,那么接下来看。
有些木马把自己的属性设置成隐藏、系统属性,并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除,致使通过procexp可以在进程中看到,但去文件所在目录又找不到源文件,无法进行删除。(正常如图,被修复后看不见图中标注的项)
针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\SuperHidden\Policy\DontShowSuperHidden]
@=""
具体操作方法:
1)通过记事本新建一个文件
2)将以上内容复制到新建的记事本文件中
3)通过记事本文件菜单另存为show.reg
4)双击存储的showall.reg文件,点击弹出的对话框是按钮即可。
注意:以上方法对win2000和XP有效
B、HKEY_LOCAL_MACHINE | Software |Microsoft | windows | CurrentVersion | explorer | Advanced | Folder | Hidden | SHOWALL,将CheckedValue键值修改为1
但可能依然没有用,隐藏文件还是没有显示,这是因为病毒在修改注册表达到隐藏文件目的之后,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!
方法:删除此CheckedValue键值,单击右键 新建Dword值,命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
全手工清除落雪
中途注意不要双击到其中任何一个文件,必须在文件夹选项里打开显示隐藏文件及显示已知文件扩展名。
1、打开始菜单的运行,输入命令 regedit,进注册表,到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除Torjan pragramme
2、然后注销! 重新进入系统后到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把pagefile.com和D:\autorun.inf删掉, 然后再到C盘把上面所列出来的文件都删掉,可以对比其他文件的日期判断。
3、头号文件WINLOGON.EXE在C:\Windows\WINLOGON.EXE 可能提示删不掉可以用光盘启动进入DOS模式,把它的系统,隐藏属性去掉然后删除它!
手工病毒清除后的系统修复
1、把那些病毒文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com ,然后双击这个COM文件,然后行动可以进入到DOS下的命令提示符。再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格) ftype exefile="%1" %* 这样exe文件就可以运行了。或者用Regfix.exe,sreng.exe等工具修复,将扩展名EXE改成COM,就可打开。
2、开机跳出找不到文件“1.com”
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
3、清除了这个出马出现IE不能下载 请在IE选项 然后安全 然后点默认级别就可以下载了。
autorun.inf病毒手工删除方法
一、 结束病毒进程
鼠标右键点击“任务栏”,选择“任务管理器”。点击菜单“查看”->“选择列”,在弹出的对话框中选择“PID(进程标识符)”,并点击“确定”。
找到映象名称为“LSASS.exe”,并且用户名不是“SYSTEM”的一项,记住其PID号。
点击“开始”-》“运行”,输入“CMD”,点击“确定”打开命令行控制台。输入“ntsd –c q -p (PID)”,比如我的计算机上就输入“ntsd –c q -p 1464”。
二、 删除病毒文件
打开“我的电脑”,设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件:
C:\Program Files\Common Files\INTEXPLORE.pif、
C:\Program Files\Internet Explorer\INTEXPLORE.com、
C:\WINDOWS\EXERT.exe、
C:\WINDOWS\IO.SYS.BAK、
C:\WINDOWS\LSASS.exe、
C:\WINDOWS\Debug\DebugProgram.exe、
C:\WINDOWS\system32\dxdiag.com、
C:\WINDOWS\system32\MSCONFIG.COM、
C:\WINDOWS\system32\regedit.com
如果硬盘有其他分区,则在其他分区上点击鼠标右键,选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件。
三、删除注册表中的其他垃圾信息
这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。
将Windows目录下的“regedit.exe”改名为“regedit.com”并运行,删除以下项目:
HKEY_CLASSES_ROOT\WindowFiles、
HKEY_CURRENT_USER\Software\VB and VBA Program Settings、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项、
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项。
将HKEY_CLASSES_ROOT\.exe的默认值修改为“exefile”
将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command的默认值修改为“C:\Program Files\Internet Explorer\IEXPLORE.EXE”
将HKEY_CLASSES_ROOT\ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\htmlfile\shell\open\command和HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默认值修改为“IEXPLORE.EXE”。
重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。