2006十大病毒手工查殺方法 2012-03-14 來源: 卓杰科技(www.08vd.com) 瀏覽:

核心提示:2006十大病毒手工查殺方法!

  2006十大病毒手工查殺方法

  一、“灰鴿子”

  病毒名稱:Backdoor/Huigezi

  病毒中文名:“灰鴿子”

  病毒類型:后門

  影響平臺:Win9X/ME/NT/2000/XP

  描述:Backdoor/Huigezi.**“灰鴿子”是一個未經授權遠程訪問用戶計算機的后門。以“灰鴿子”變種cm為例,該變種運行后,會自我復制到系統目錄下。修改注冊表,實現開機自啟。偵聽黑客指令,記錄鍵擊,盜取用戶機密信息,例如用戶撥號上網口令,URL密碼等。利用掛鉤API函數隱藏自我,防止被查殺。另外,“灰鴿子”變種cm可下載并執行特定文件,發送用戶機密信息給黑客等。

  手工清除方法:

  對于灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的服務器端文件名是什么,一般都會在操作系統的安裝目錄下生成一個以“_hook.dll”結尾的文件。通過這一點,我們可以較為準確手工檢測出灰鴿子木馬。

  由于正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇“SafeMode”或“安全模式”。

  1、由于灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,點擊“查看”,取消“隱藏受保護的操作系統文件”前的對勾,并在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”,然后點擊“確定”。

  2、打開Windows的“搜索文件”,文件名稱輸入“_hook.dll”,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。

  3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名為*****_Hook.dll的文件。

  4、根據灰鴿子原理分析我們知道,如果*****_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有*****.exe和*****.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用于記錄鍵盤操作的*****Key.dll文件。

  5、打開注冊表編輯器(點擊“開始”-》“運行”,輸入“Regedit.exe”,確定。),打開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。

  6、點擊菜單“編輯”-》“查找”,“查找目標”輸入“*****.exe”,點擊確定,我們就可以找到灰鴿子的服務項(此例為*****_Server)。

  7、刪除整個*****_Server項。

  二、“傳奇竊賊”

  病毒名稱:Trojan/PSW.LMir

  病毒中文名:“傳奇竊賊”

  病毒類型:木馬

  危險級別:★

  影響平臺:Win9x/2000/XP/NT/Me

  描述:傳奇竊賊是專門竊取網絡游戲“傳奇2”登錄帳號密碼的木馬程序。該木馬運行后,主程序文件自己復制到系統目錄下。修改注冊表,實現開機自啟。終止某些防火墻、殺毒軟件進程。病毒進程被終止后,會自動重啟。竊取“傳奇2”帳號密碼,并將盜取的信息發送給黑客。

  手動清除方法:

  它會在%WinDir%目錄下生成的explorer.com文件也很迷惑人,與explorer.exe就差一個擴展名(如圖2)。病毒經過UPX加殼處理,脫掉后可以看出是用VisualC++6.0編寫的。

  1、先再任務管理器中結束explorer.com進程,注意:是explorer.com而不是explorer.exe。

  2再將每個硬盤分區根目錄下bbs.exe和web.exe兩個文件刪除掉,注意:刪除后就不要再打開這個分區了,否則會再次感染。

  3刪除%WinDir%\explorer.com文件(注:WindowsXP系統在C:\windows\explorer.com,Windows2000/NT系統在C:\WINNT\explorer.com。)

  4最后在注冊表中刪除

在線咨詢

020-89202380

国产在线亚洲欧美手机