- UID
- 1
- 主题
管理员
- CN币
- 币
- 威望
- 值
- 报料奖
- 元
- 贡献
- 值
- 回复
- 帖
- 日志
- 好友
- 帖子
- 主题
- 听众
- 收听
- 性别
- 保密
|
<div id="googlead"> <script language="JavaScript" src="/ad/gg-250.js"></script></div><p> 如何手动删除病毒(灰鸽子等9大流行病毒)</p>
<p> 一、“灰鸽子”</p>
<p> 病毒名称:Backdoor/Huigezi</p>
<p> 病毒中文名:“灰鸽子”</p>
<p> 病毒类型:后门</p>
<p> 影响平台:Win9X/ME/NT/2000/XP</p>
<p> 描述:Backdoor/Huigezi.**“灰鸽子”是一个未经授权远程访问用户计算机的后门。以“灰鸽子”变种cm为例,该变种运行后,会自我复制到系统目录下。修改注册表,实现开机自启。侦听黑客指令,记录键击,盗取用户机密信息,例如用户拨号上网口令,URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外,“灰鸽子”变种cm可下载并执行特定文件,发送用户机密信息给黑客等。</p>
<p> 手动删除病毒的方法:</p>
<p> 对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。</p>
<p> 由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“SafeMode”或“安全模式”。</p>
<p> 1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。</p>
<p> 2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\\windows,2k/NT为C:\\Winnt)。</p>
<p> 3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为*****_Hook.dll的文件。</p>
<p> 4、根据灰鸽子原理分析我们知道,如果*****_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有*****.exe和*****.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的*****Key.dll文件。</p>
<p> 5、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services注册表项。</p>
<p> 6、点击菜单“编辑”-》“查找”,“查找目标”输入“*****.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为*****_Server)。</p>
<p> 7、删除整个*****_Server项。</p>
<p> 二、“传奇窃贼”</p>
<p> 病毒名称:Trojan/PSW.LMir</p>
<p> 病毒中文名:“传奇窃贼”</p>
<p> 病毒类型:木马</p>
<p> 危险级别:★</p>
<p> 影响平台:Win9x/2000/XP/NT/Me</p>
<p> 描述:传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后,主程序文件自己复制到系统目录下。修改注册表,实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后,会自动重启。窃取“传奇2”帐号密码,并将盗取的信息发送给黑客。</p>
<p> 手动清除方法:</p>
<p> 它会在%WinDir%目录下生成的explorer.com文件也很迷惑人,与explorer.exe就差一个扩展名(如图2)。病毒经过UPX加壳处理,脱掉后可以看出是用VisualC++6.0编写的。</p>
<p> 1、先再任务管理器中结束explorer.com进程,注意:是explorer.com而不是explorer.exe。</p>
<p> 2再将每个硬盘分区根目录下bbs.exe和web.exe两个文件删除掉,注意:删除后就不要再打开这个分区了,否则会再次感染。</p>
<p> 3删除%WinDir%\\explorer.com文件(注:WindowsXP系统在C:\\windows\\explorer.com,Windows2000/NT系统在C:\\WINNT\\explorer.com。)</p>
<p> 4最后在注册表中删除</p>
<p> [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]</p>
<p> \"Net\"=%WinDir%\\services.exe</p>
<p> [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Windows]</p>
<p> \"Load\"=%WinDir%\\assistse.exe</p>
<p> 这两个键值,这样病毒就不会随这机器开机运行了。</p>
<p> 三,高波和瑞波</p>
<p> 高波: Backdoor/Agobot.** “高波”主要利用网络弱密码共享进行传播的后门程序。该后门程序还可利用微软DCOM RPC漏洞提升权限,允许黑客利用IRC通道远程进入用户计算机。该程序运行后,程序文件自我复制到系统目录下,并修改注册表,以实现程序的开机自启。开启黑客指定的TCP端口。连接黑客指定的IRC通道,侦听黑客指令。</p>
<p> 瑞波:该病毒经过多层压缩加密壳处理,可以利用多种系统漏洞进行传播,感染能力很强。中毒计算机将被黑客完全控制,成为\"僵尸电脑\"。由于此病毒会扫描感染目标,因此可以造成局域网拥堵。</p>
<p> 高波:</p>
<p> 第一种</p>
<p> 1、自动清除:断开网络,升级杀毒软件对电脑进行全盘扫描。</p>
<p> 2、高波手工清除:打好微软MS03-007、MS03-026、MS04-011、MS04-031补丁,在系统目录下找到病毒文件名为Medman.exe,并将其删除。</p>
<p> 第二种</p>
<p> 1、进入任务管理器,结束winaii.exe和netlink32.exe进程,然后打开资源管理器,进入c:\\windows\\system32目录,查找winaii.exe和netlink32.exe两文件,将其删除。在系统启动项目(开始&gt;运行&gt;msconfig进入)中去掉其相应的加载启动项。然后安装杀毒软件,升级病毒库后进行杀毒。接着安装相应windowsXP或windows2000的补丁程序,重启系统。</p>
<p> 2、如果按如上的方法不能清除病毒,可以从安全模式下进行处理,方法如下:在安全模式下,打开注册表,在“编辑”中“查找”“winaii.exe”和“netlink32.exe”,删除找到的“winaii.exe”和“netlink32.exe”项目。查看window</p>
<p>s\\system32目录下是否有winaii.exe和netlink3 |
|
湘公网安备: 43048202000025号
信息产业部备案:湘ICP备17012258号
晒晒照片 都来围观哈
91年女孩想早点遇到你,也想余生都是你
家里催着找个 男朋友.有意向的男士来看看吧
26岁小姐姐求脱单,进来了解一下
【常宁之星】第248期:忘性大的~詹阳花
不以结婚为目的的请勿扰
常宁人注意啦!这家早餐店生产销售有害食品
常宁二中新校区:施工“后顾无忧” 建设全
万科紫台:长沙天奕设计室内设计实景欣赏
天奕园区别墅设计案例-现代简约风
塔山风景好
客厅空间设计案例分析
太洋气!常宁公交车竟然有⑥种支付方式,你还
常宁万象阳光城大门旁,有一个专属女人的秘
2016最新方法 pageadmin3.0去掉顶部和底部
惊险!常宁一女子被骗近5万元,常宁警方紧急
常宁街采丨600元—1000元,常宁随份子
试营业:这个老板拿出30万现金请你吃一场全
IP卡
狗仔卡
发表于 2010-12-28 00:18:35
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2011-1-29 10:29:17
