手工清除经典病毒方法[1]

　　 “本•拉登”是恶性网络蠕虫病毒“中国一号”（尼姆达）的最新变种。该病毒利用病毒体内VBScript代码在本地的可执行性（通过WindowsScriptHost进行），对当前计算机进行感染和破坏，并且大量发送E－mail邮件，传染Html、nws、eml、doc、exe等文件，将这些文件大部分破坏或替换。病毒的清除方法是：

　　1、如果硬盘分区是Windows NT 4.0、Windows 2000/XP的NTFS格式，则可以安装KVW3000 5．0以上版本，该版本可在任何Windows系统下杀除内存和被Windows已经调用的染毒文件，可在系统染毒的情况下杀除病毒。如果硬盘装的系统是Windows 98以下，也可使用干净DOS软盘启动机器。

　　2、执行KV3000.exe或KVD3000，查杀所有硬盘，查到病毒体时会先问我们是否要删除，此时按“Y”键删除病毒体。其他被感染的文件，如EXE文件、KV3000.exe 或KVD3000会将病毒体从文件中清除，保留原文件。

　　3、在System.ini文件中将Load.exe文件改掉，如没有变，就不用改。正常的［boot］下的应该是shell＝explorer.exe．必须修改该文件中的shell项目，否则清除病毒后，系统启动会提示有关load.exe的错误信息。

　　4、为了预防该病毒在浏览该带毒邮件时可以自动执行的特点，必须下载微软公司的补丁程序。地址是www.Microsoft.com／technet／security／bulletin／MS01－020.asp，这样可以预防此类病毒的破坏。

　　5、在Windows 2000下，如果不需要可执行的CGI，可以删除可执行虚拟目录。如果确实需要可执行的虚拟目录，建议可执行虚拟目录单独在一个分区。

　　6、对Windows NT/2000系统，微软公司已经发布了一个安全补丁，可以从下列地址下载：www.Microsoft.com／technet／security／bulletin／ms00－078.asp。

　　7、病毒被清除后，在Windows的System目录下的文件Riched20.dll将被删除，请从Windows的安装盘上或无毒机中拷贝一份干净的无病毒的该文件。否则，写字板和Word等程序将不能正常运行。

　　8、将邮箱中的带毒邮件一一删除，否则又会重复感染。

　　二、“红色代码”病毒的清除 

　　“红色代码”病毒能够破坏Windows 2000服务器安全体系，更改系统设置，修改Windows文件并放置特洛伊木马程序，最终导致受感染系统后门大开, 丧失安全策略。 

　　“红色代码”病毒入侵系统后，将Cmd.exe复制到C:盘及D:盘以下目录中: 

　　\inetpub\scripts 

　　\program files\common files\system\msadc 

　　然后, 病毒将开始扫描网络, 寻找其他可被攻击的系统, 这一过程在英文Windows 2000系统中将持续24小时, 而在运行中文Windows 2000的系统中将持续48小时。

　　接着, 病毒程序在C:盘和D:盘的根目录下生成一个大小为8,192字节的Explorer.exe木马程序，然后重启系统，执行木马程序。

　　这个病毒程序首先运行Windows的Exploer程序, 然后通过修改系统注册表的以下键值，使Windows系统丧失对系统文件的保护能力: 

　　HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion

\Winlogon\SFCDisable=0xFFFFFF9D 

　　该键值的缺省值为 0。

　　修改之后，木马程序通过修改系统注册表以下键值，创建两个虚拟IIS目录C和D，分别映射到系统的C:盘和D:盘。

　　HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots 

　　这些虚拟目录被赋予读写及可执行权限，这样木马程序通过IIS向所有黑客提供了对被感染服务器C:盘和D:盘的完全控制能力。

　　在这之后，木马程序完成了它的感染周期，并会每隔10分钟重复进行以上提到的注册表项修改。

　　要清除“红色代码”病毒，需运行相应补丁程序（可从微软公司网站获得）。然后删除c:\explorer.exe和d:\explorer.exe(这两个为隐藏，只读文件)，（改HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SFCDisable键值为0。把HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots对于c:和d:的完全控制键值删除\inetpub\scripts 和 \program files\common files\system\msadc 如有cmd.exe，删掉）其中括号内的内容不是每台机器都有。最后，重新启动计算机。 

　三、“求职信”病毒的清除

　　计算机感染“求职信”病毒之后，机器速度变慢，系统资源明显减少，硬盘可用空间急剧减少。我们可以用下面两种方法确定计算机是否感染“求职信”病毒。

　　1、用“查找文件”检查系统目录下是否包含Wqk.exe和Krn132.exe两个文件，如果有则表明已感染“求职信”病毒。

　　2、运行Regedit，打开系统注册表，检查

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中是否包含名称为Windowssystemkrn132.exe的键值和名称为Windowssystemwqk.exe的键值，如果有则表明已感染“求职信”病毒。 　

　　当计算机感染了“求职信”病毒时，我们可以采用如下的方法进行清除。

　　1、下载金山毒霸“求职信”专杀工具Duba_WantJob.exe；

　　2、去掉网络的完全可写的共享，断开网络；

　　3、使用专杀工具扫描所有文件，清除机器上的“求职信”病毒，或者用最新版毒霸创建启动盘和杀毒盘启动到DOS下清除该病毒，然后重新启动动计算机；

　　4、运行Regedit，修改注册表， 删除

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中的名称为

　　Windowssystemkrn132.exe的键值和名称为Windowssystemwqk.exe的键值。

　　四、“欢乐时光”病毒的清除

　　当计算机感染了“欢乐时光”病毒后，可以采取如下的步骤进行清除。

　　1、在Windows“开始”菜单下选择“运行”，运行Regedit，寻找Hkey_Current_UserIdentities{AECF6CA3-9614-4AF4-AEF2-CT63FE9D97A4}SoftwareMicrosoftOutlook Express.0Mail，其中有3项:　

　　Message Send Html=“1”　

　　Com Pose Use Stationery=“1”　

　　Stationery Name=“C:\Windows\Untitled.htm”

　　找到后将其键值删除即可。然后用同样方法将Hkey_Current_UserControl PanelDesktop中Wallpaper=“C:\WINDOWS\HELP.HTM”键值删除。 

　　2、在Windows的“开始”菜单中运行“win.ini”，将其中的“Wallpaper=”等号后的键值删除。 

　　3、运行最新版KV3000或KVD3000查杀硬盘，杀毒过程中如果出现“Help.vbs、help.hta、untitled.htm”等文件提示“删除”选择“Y”即可。