科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道手工清除经典病毒方法[1]

手工清除经典病毒方法[1]

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

如果硬盘分区是Windows NT 4.0、Windows 2000/XP的NTFS格式,则可以安装KVW3000 5.0以上版本,该版本可在任何Windows系统下杀除内存和被Windows已经调用的染毒文件,可在系统染毒的情况下杀除病毒。如果硬盘装的系统是Windows 98以下,也可使用干净DOS软盘启动机器

来源:论坛整理 2008年8月30日

关键字: 安全防范 病毒查杀 病毒

  • 评论
  • 分享微博
  • 分享邮件
一、“本.拉登”病毒的清除

   “本•拉登”是恶性网络蠕虫病毒“中国一号”(尼姆达)的最新变种。该病毒利用病毒体内VBScript代码在本地的可执行性(通过WindowsScriptHost进行),对当前计算机进行感染和破坏,并且大量发送E-mail邮件,传染Html、nws、eml、doc、exe等文件,将这些文件大部分破坏或替换。病毒的清除方法是:

  1、如果硬盘分区是Windows NT 4.0、Windows 2000/XP的NTFS格式,则可以安装KVW3000 5.0以上版本,该版本可在任何Windows系统下杀除内存和被Windows已经调用的染毒文件,可在系统染毒的情况下杀除病毒。如果硬盘装的系统是Windows 98以下,也可使用干净DOS软盘启动机器。

  2、执行KV3000.exe或KVD3000,查杀所有硬盘,查到病毒体时会先问我们是否要删除,此时按“Y”键删除病毒体。其他被感染的文件,如EXE文件、KV3000.exe 或KVD3000会将病毒体从文件中清除,保留原文件。

  3、在System.ini文件中将Load.exe文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。

  4、为了预防该病毒在浏览该带毒邮件时可以自动执行的特点,必须下载微软公司的补丁程序。地址是www.Microsoft.com/technet/security/bulletin/MS01-020.asp,这样可以预防此类病毒的破坏。

  5、在Windows 2000下,如果不需要可执行的CGI,可以删除可执行虚拟目录。如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区。

  6、对Windows NT/2000系统,微软公司已经发布了一个安全补丁,可以从下列地址下载:www.Microsoft.com/technet/security/bulletin/ms00-078.asp。

  7、病毒被清除后,在Windows的System目录下的文件Riched20.dll将被删除,请从Windows的安装盘上或无毒机中拷贝一份干净的无病毒的该文件。否则,写字板和Word等程序将不能正常运行。

  8、将邮箱中的带毒邮件一一删除,否则又会重复感染。

  二、“红色代码”病毒的清除 

  “红色代码”病毒能够破坏Windows 2000服务器安全体系,更改系统设置,修改Windows文件并放置特洛伊木马程序,最终导致受感染系统后门大开, 丧失安全策略。 

  “红色代码”病毒入侵系统后,将Cmd.exe复制到C:盘及D:盘以下目录中: 

  \inetpub\scripts 

  \program files\common files\system\msadc 

  然后, 病毒将开始扫描网络, 寻找其他可被攻击的系统, 这一过程在英文Windows 2000系统中将持续24小时, 而在运行中文Windows 2000的系统中将持续48小时。

  接着, 病毒程序在C:盘和D:盘的根目录下生成一个大小为8,192字节的Explorer.exe木马程序,然后重启系统,执行木马程序。

  这个病毒程序首先运行Windows的Exploer程序, 然后通过修改系统注册表的以下键值,使Windows系统丧失对系统文件的保护能力: 

  HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion

\Winlogon\SFCDisable=0xFFFFFF9D 

  该键值的缺省值为 0。

  修改之后,木马程序通过修改系统注册表以下键值,创建两个虚拟IIS目录C和D,分别映射到系统的C:盘和D:盘。

  HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots 

  这些虚拟目录被赋予读写及可执行权限,这样木马程序通过IIS向所有黑客提供了对被感染服务器C:盘和D:盘的完全控制能力。

  在这之后,木马程序完成了它的感染周期,并会每隔10分钟重复进行以上提到的注册表项修改。

  要清除“红色代码”病毒,需运行相应补丁程序(可从微软公司网站获得)。然后删除c:\explorer.exe和d:\explorer.exe(这两个为隐藏,只读文件),(改HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SFCDisable键值为0。把HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots对于c:和d:的完全控制键值删除\inetpub\scripts 和 \program files\common files\system\msadc 如有cmd.exe,删掉)其中括号内的内容不是每台机器都有。最后,重新启动计算机。 

 三、“求职信”病毒的清除

  计算机感染“求职信”病毒之后,机器速度变慢,系统资源明显减少,硬盘可用空间急剧减少。我们可以用下面两种方法确定计算机是否感染“求职信”病毒。

  1、用“查找文件”检查系统目录下是否包含Wqk.exe和Krn132.exe两个文件,如果有则表明已感染“求职信”病毒。

  2、运行Regedit,打开系统注册表,检查

  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中是否包含名称为Windowssystemkrn132.exe的键值和名称为Windowssystemwqk.exe的键值,如果有则表明已感染“求职信”病毒。  

  当计算机感染了“求职信”病毒时,我们可以采用如下的方法进行清除。

  1、下载金山毒霸“求职信”专杀工具Duba_WantJob.exe;

  2、去掉网络的完全可写的共享,断开网络;

  3、使用专杀工具扫描所有文件,清除机器上的“求职信”病毒,或者用最新版毒霸创建启动盘和杀毒盘启动到DOS下清除该病毒,然后重新启动动计算机;

  4、运行Regedit,修改注册表, 删除

  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中的名称为

  Windowssystemkrn132.exe的键值和名称为Windowssystemwqk.exe的键值。

  四、“欢乐时光”病毒的清除

  当计算机感染了“欢乐时光”病毒后,可以采取如下的步骤进行清除。

  1、在Windows“开始”菜单下选择“运行”,运行Regedit,寻找Hkey_Current_UserIdentities{AECF6CA3-9614-4AF4-AEF2-CT63FE9D97A4}SoftwareMicrosoftOutlook Express.0Mail,其中有3项: 

  Message Send Html=“1” 

  Com Pose Use Stationery=“1” 

  Stationery Name=“C:\Windows\Untitled.htm”

  找到后将其键值删除即可。然后用同样方法将Hkey_Current_UserControl PanelDesktop中Wallpaper=“C:\WINDOWS\HELP.HTM”键值删除。 

  2、在Windows的“开始”菜单中运行“win.ini”,将其中的“Wallpaper=”等号后的键值删除。 

  3、运行最新版KV3000或KVD3000查杀硬盘,杀毒过程中如果出现“Help.vbs、help.hta、untitled.htm”等文件提示“删除”选择“Y”即可。 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章