手工清除顽固木马、蠕虫病毒简易手册

　具体情况是这样的:拨号上网后，FTP屡次报与服务器联通失败。经检查，电脑中安装的Norton个人版防病毒软件以及Norton防火墙已被停用，尝试启用时报错，不能正常启用;打开任务管理器，发现非法进程5个，尝试停止，报“拒绝访问”；重启到安全模式后再尝试停止非法进程，报错依旧，不能停止；于是进入计算机本地服务列表，发现2个不明自动启动服务，尝试停止，报“停止服务失败”，无奈之下，修改该服务属性为“禁用”，再次重启到安全模式，不明服务终于没有自动启动。于是依据之前发现的非法进程名搜索系统盘C盘，发现其在Winnt目录以及Winnt\system32\目录，手工删除之。然后进入Winnt\system32\目录，发现大量的不明程序文件，其共同的特点为：文件属性为隐藏，文件名为类似“diALoGUe”的随机名称，图标为类似DOS程序图标，查属性无公司、版本等信息;由于我排毒时的习惯为首先设置【文件夹选项】使显示所有文件和显示所有受保护系统文件以便于查找文件，于是轻松发现此批大量不明可运行程序文件，抽查属性确认后全体收入回收站。然后检查注册表，删除run类不明自启动键值。最后运行升级SP5，10余分钟后所有补丁打完，重启到正常模式下，win2000显示正常，启动Norton病毒、网络防火墙成功，拨号上网FTP成功。

　　由以上经历以及耳闻目染，风闻其势，得出此类病毒感染以及发作之可能经过:用户由于系统漏洞没有及时安装补丁，或者使用超级用户权限帐号浏览过恶意网站、运行了不明程序或文件，导致感染了病毒。此病毒常驻系统后自我复制并自动连接上线肉鸡然后下载多种木马种植于此新肉鸡，并疯狂使用此肉鸡用弱口令试图登陆其他网络计算机，使感染更多机器;感染到其他机器后，疯狂发送各类其他木马、蠕虫病毒以供受感染机器感染更多病毒，成就更多肉鸡。此举势必占用大量网络带宽，与DDOS洪水攻击有异曲同工之妙，将迫使网络交换、路由设备不堪重负而瘫痪。此极有可能就是网络变缓，但重启交换机或路由器后网速又能得到改善的根本原因。并且由于病毒占用过多进程，导致系统资源满负荷运行，中毒机器运行将明显变缓。

　　此类病毒的危害在于:

　　1、借助内部网络高速带宽，感染大量网内其他存在漏洞的电脑，往往使病毒一中一大片。

　　2、占用大量网络带宽，使网速变缓。

　　3、有一定智能，变种极多，防毒软件遵循总是迟于病毒出现时间有效的原则，可能受制于新变种病毒。

　　4、借助类似DDOS手段，读取其他网络计算机SAM帐号，强行并发式使用弱口令试图登陆其他计算机，导致未感染病毒的其他计算机帐号登录次数超过限制，帐号被锁，影响正常使用。

　　总结手工杀毒步骤如下:

　　1、手工下载并收藏所有SP5单个小文件(就win2k而言，合共已有近100M)

　　2、断开网络

　　3、重启到安全模式

　　4、检查并清除【HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*】各不明启动项键值

　　5、检查并清除【HCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*】各不明启动项键值

　　6、查不明服务并禁止之，如无，继续步骤7;如有，禁止后，回到步骤3。

　　7、重点查【%SystemRoot%\system32\】目录下所有隐藏exe、com，检查其属性，不明来历者删无赦(可先放回收站，重启没事后再清除)。

　　8、在更新最新病毒库后不妨用杀毒软件扫描系统盘所有文件一次。

　　9、确认SP4已安装的基础上打全所有SP5补丁

　　10、重启到正常模式使用

　　注:由于判断是否非法程序需要一定经验，特提供一简单办法:点击可疑程式查阅【属性】，正常程式都在【版本】栏附带有公司名、版本、版权等信息，就算是3721、败毒等垃圾也带有相应的信息，而蠕虫、木马等程式则极大可能无任何信息可供查阅、参考，据此可判断大多数非法程序。

　　保持“没毒”的几个小技巧:

　　1、使用Proxy或者NAT隔离局域网与外网的无缝隙联通

　　2、在局域网所有机器杜绝超级用户密码为空、帐号与密码相同、密码超级简单等弱智行为。

　　3、权限分配严格遵循【够用】原则，尽量防止不必要的超级用户产生。

　　4、使用企业版杀毒软件安装防病毒中央服务器，设置好使及时自动检查、下载更新病毒库并自动向客户端分发最新病毒库。

　　5、借助SUS等同类windows补丁自动下载服务软件，设置好使其能向所有客户端自动分发并安装最新补丁。

　　6、及时提醒同事注意上网安全，不去不必要的网站，不执行任何不明文件， 注意上网卫生。

　　7、有空多检查一下任务管理器是否有不明进程，多登陆windows自动升级中心检查最新补丁升级。