十大病毒手工查殺方法2007年09月17日 星期一 上午 02:07殺人不動(dòng)刀槍,殺毒不用工具/軟件!

雙手萬能

十大病毒手工查殺的方法

終告:

開機(jī)先看啟動(dòng)項(xiàng)是否正常!

常在河邊走的朋友請(qǐng)經(jīng)常看哈你的進(jìn)程!

每天看下你的WINDOWS文件下的文件

C:\WINDOWS\system32

經(jīng)常使有垃圾工具軟件的就別裝殺毒軟件自己給愛機(jī)種下木馬

殺毒不用工具.殺人不用刀!

先

一、“灰鴿子”

病毒名稱：Backdoor/Huigezi

病毒中文名：“灰鴿子”

病毒類型：后門

影響平臺(tái)：Win9X/ME/NT/2000/XP

描述：Backdoor/Huigezi.**“灰鴿子”是一個(gè)未經(jīng)授權(quán)遠(yuǎn)程訪問用戶計(jì)算機(jī)的后門。以“灰鴿子”變種cm為例，該變種運(yùn)

行后，會(huì)自我復(fù)制到系統(tǒng)目錄下。修改注冊表，實(shí)現(xiàn)開機(jī)自啟。偵聽黑客指令，記錄鍵擊，盜取用戶機(jī)密信息，例如用戶

撥號(hào)上網(wǎng)口令，URL密碼等。利用掛鉤API函數(shù)隱藏自我,防止被查殺。另外，“灰鴿子”變種cm可下載并執(zhí)行特定文件，發(fā)

送用戶機(jī)密信息給黑客等。

手工清除方法：

對(duì)于灰鴿子的檢測仍然是有規(guī)律可循的。從上面的運(yùn)行原理分析可以看出，無論自定義的服務(wù)器端文件名是什么，一般都

會(huì)在操作系統(tǒng)的安裝目錄下生成一個(gè)以“_hook.dll”結(jié)尾的文件。通過這一點(diǎn)，我們可以較為準(zhǔn)確手工檢測出灰鴿子木馬

。

由于正常模式下灰鴿子會(huì)隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進(jìn)行。進(jìn)入安全模式的方法是：啟動(dòng)計(jì)算

機(jī)，在系統(tǒng)進(jìn)入Windows啟動(dòng)畫面前，按下F8鍵(或者在啟動(dòng)計(jì)算機(jī)時(shí)按住Ctrl鍵不放)，在出現(xiàn)的啟動(dòng)選項(xiàng)菜單中，選擇“

SafeMode”或“安全模式”。

1、由于灰鴿子的文件本身具有隱藏屬性，因此要設(shè)置Windows顯示所有文件。打開“我的電腦”，選擇菜單“工具”—》

“文件夾選項(xiàng)”，點(diǎn)擊“查看”，取消“隱藏受保護(hù)的操作系統(tǒng)文件”前的對(duì)勾，并在“隱藏文件和文件夾”項(xiàng)中選擇“

顯示所有文件和文件夾”，然后點(diǎn)擊“確定”。

2、打開Windows的“搜索文件”，文件名稱輸入“_hook.dll”，搜索位置選擇Windows的安裝目錄(默認(rèn)98/xp為

C:\windows，2k/NT為C:\Winnt)。

3、經(jīng)過搜索，我們在Windows目錄(不包含子目錄)下發(fā)現(xiàn)了一個(gè)名為*****_Hook.dll的文件。

4、根據(jù)灰鴿子原理分析我們知道，如果*****_Hook.DLL是灰鴿子的文件，則在操作系統(tǒng)安裝目錄下還會(huì)有*****.exe和

*****.dll文件。打開Windows目錄，果然有這兩個(gè)文件，同時(shí)還有一個(gè)用于記錄鍵盤操作的*****Key.dll文件。

5、打開注冊表編輯器(點(diǎn)擊“開始”-》“運(yùn)行”，輸入“Regedit.exe”，確定。)，打開

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項(xiàng)。

6、點(diǎn)擊菜單“編輯”-》“查找”，“查找目標(biāo)”輸入“*****.exe”，點(diǎn)擊確定，我們就可以找到灰鴿子的服務(wù)項(xiàng)(此例

為*****_Server)。

7、刪除整個(gè)*****_Server項(xiàng)。

二、“傳奇竊賊”

病毒名稱：Trojan/PSW.LMir

病毒中文名：“傳奇竊賊”

病毒類型：木馬

危險(xiǎn)級(jí)別：★

影響平臺(tái)：Win9x/2000/XP/NT/Me

描述：傳奇竊賊是專門竊取網(wǎng)絡(luò)游戲“傳奇2”登錄帳號(hào)密碼的木馬程序。該木馬運(yùn)行后，主程序文件自己復(fù)制到系統(tǒng)目錄

下。修改注冊表，實(shí)現(xiàn)開機(jī)自啟。終止某些防火墻、殺毒軟件進(jìn)程。病毒進(jìn)程被終止后，會(huì)自動(dòng)重啟。竊取“傳奇2”帳號(hào)

密碼，并將盜取的信息發(fā)送給黑客。

手動(dòng)清除方法：

它會(huì)在%WinDir%目錄下生成的explorer.com文件也很迷惑人，與explorer.exe就差一個(gè)擴(kuò)展名(如圖2)。病毒經(jīng)過UPX加殼

處理，脫掉后可以看出是用VisualC++6.0編寫的。

1、先再任務(wù)管理器中結(jié)束explorer.com進(jìn)程，注意：是explorer.com而不是explorer.exe。

2再將每個(gè)硬盤分區(qū)根目錄下bbs.exe和web.exe兩個(gè)文件刪除掉，注意：刪除后就不要再打開這個(gè)分區(qū)了，否則會(huì)再次感染

。

3刪除%WinDir%\explorer.com文件(注：WindowsXP系統(tǒng)在C:\windows\explorer.com，Windows2000/NT系統(tǒng)在

C:\WINNT\explorer.com。)

4最后在注冊表中刪除

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Net"=%WinDir%\services.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows]

"Load"=%WinDir%\assistse.exe

這兩個(gè)鍵值，這樣病毒就不會(huì)隨這機(jī)器開機(jī)運(yùn)行了。
三，高波和瑞波

高波： Backdoor/Agobot.** “高波”主要利用網(wǎng)絡(luò)弱密碼共享進(jìn)行傳播的后門程序。該后門程序還可利用微軟DCOM RPC

漏洞提升權(quán)限，允許黑客利用IRC通道遠(yuǎn)程進(jìn)入用戶計(jì)算機(jī)。該程序運(yùn)行后，程序文件自我復(fù)制到系統(tǒng)目錄下，并修改注冊

表，以實(shí)現(xiàn)程序的開機(jī)自啟。開啟黑客指定的TCP端口。連接黑客指定的IRC通道，偵聽黑客指令。

瑞波：該病毒經(jīng)過多層壓縮加密殼處理，可以利用多種系統(tǒng)漏洞進(jìn)行傳播，感染能力很強(qiáng)。中毒計(jì)算機(jī)將被黑客完全控制

，成為"僵尸電腦"。由于此病毒會(huì)掃描感染目標(biāo)，因此可以造成局域網(wǎng)擁堵。

高波：

第一種

1、自動(dòng)清除：斷開網(wǎng)絡(luò)，升級(jí)殺毒軟件對(duì)電腦進(jìn)行全盤掃描。

2、高波手工清除：打好微軟MS03-007、MS03-026、MS04-011、MS04-031補(bǔ)丁，在系統(tǒng)目錄下找到病毒文件名為Medman.exe

，并將其刪除。

第二種

1、進(jìn)入任務(wù)管理器，結(jié)束winaii.exe和netlink32.exe進(jìn)程，然后打開資源管理器，進(jìn)入c:\windows\system32目錄，查找

winaii.exe和netlink32.exe兩文件，將其刪除。在系統(tǒng)啟動(dòng)項(xiàng)目(開始>運(yùn)行>msconfig進(jìn)入)中去掉其相應(yīng)的加載啟動(dòng)項(xiàng)。

然后安裝殺毒軟件，升級(jí)病毒庫后進(jìn)行殺毒。接著安裝相應(yīng)windowsXP或windows2000的補(bǔ)丁程序，重啟系統(tǒng)。

2、如果按如上的方法不能清除病毒，可以從安全模式下進(jìn)行處理，方法如下：在安全模式下，打開注冊表，在“編輯”中

“查找”“winaii.exe”和“netlink32.exe”,刪除找到的“winaii.exe”和“netlink32.exe”項(xiàng)目。查看

windows\system32目錄下是否有winaii.exe和netlink32.exe這兩個(gè)文件，有則刪除。最后殺毒、打補(bǔ)丁并重啟計(jì)算機(jī)。

3、該病毒具有密碼庫，能夠破解機(jī)子的一些較簡單的密碼(密碼僅包含數(shù)字或26個(gè)字母稱為簡單密碼)，尤其是對(duì)于

windows2000系統(tǒng)，往往剛殺完病毒后又染上該病毒了。所以建議在殺毒的過程中最好斷開網(wǎng)絡(luò)連接，確定殺完病毒和打好

補(bǔ)丁(MS03-007、MS03-026、MS04-011、MS04-031補(bǔ)丁)后，為機(jī)子重設(shè)一個(gè)復(fù)雜的密碼(密碼包含問號(hào)，點(diǎn)號(hào)等特殊符號(hào))

。

瑞波：

手工清除：在系統(tǒng)目錄下找到病毒文件msxml32.exe，在注冊表中找到鍵值msxml32.exe，將其刪除。打上微軟MS03-007、

MS03-026、MS04-011、MS04-031四個(gè)漏洞補(bǔ)丁
四、“CHM木馬”

病毒名稱：Exploit.MhtRedir

病毒中文名：“CHM木馬”

病毒類型：木馬、腳本

危險(xiǎn)級(jí)別：★★

影響平臺(tái)：Windows98/ME/NT/2000/XP/2003

描述：

利用IE瀏覽器MHTML跨安全區(qū)腳本執(zhí)行漏洞(MS03-014)的惡意網(wǎng)頁腳本，

自從2003年以來，一直是國內(nèi)最為流行的種植網(wǎng)頁木馬的惡意代碼類型，

2005年下半年，泛濫趨勢稍有減弱，2006年上半年的感染數(shù)量仍然很大，

沒有短期內(nèi)消亡的跡象。

手工清除方法：

打上微軟MS03-014和MS04-023系統(tǒng)漏洞補(bǔ)丁，找到以下病毒和配置文件并將其刪除：

%SystemDir%\dllcache\pk.bin,3680字節(jié)，病毒配置文件

%SystemDir%\dllcache\phantom.exe,393216字節(jié)，病毒程序

%SystemDir%\dllcache\kw.dat,803字節(jié)，病毒配置文件

%SystemDir%\dllcache\phantomhk.dll,8704字節(jié)，病毒模塊

%SystemDir%\dllcache\phantomi.dll,215040字節(jié)，病毒模塊

%SystemDir%\dllcache\phantomwb.dll,40960字節(jié)，病毒模塊

在注冊表中定位到鍵值，并將該鍵值刪除：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Phantom"=%SystemDir%

\dllcache\phantom.exe
五、“QQ大盜”

病毒名稱：Trojan/QQPass

病毒中文名：“QQ大盜”

病毒類型：木馬

危險(xiǎn)級(jí)別：★

影響平臺(tái)：Win9X/2000/XP/NT/Me

描述：Trojan/QQPass.ak是用Delphi編寫并經(jīng)過壓縮的木馬，用來竊取游戲"傳奇"信息。

傳播過程及特征：

1.創(chuàng)建下列文件：

%System%\winsocks.dll,91136字節(jié)

%Windir%\intren0t.exe,91136字節(jié)

2.修改注冊表：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intren0t"=%Windir%\intren0t.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]"Intren0t"=%Windir%\intren0t.exe

這樣，在Windows啟動(dòng)時(shí)，病毒就可以自動(dòng)執(zhí)行。

注：%Windir%為變量，一般為C:\Windows或C:\Winnt;%System%為變量，一般為C:\Windows\System

(Windows95/98/Me),C:\Winnt\System32(WindowsNT/2000),或C:\Windows\System32(WindowsXP)。

手工清除：

在系統(tǒng)目錄找到病毒文件winsocks.dll和intren0t.exe，并將其刪除。打開注冊表并定位到以下鍵值，將鍵值刪除：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intren0t"=%Windir%\intren0t.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Intren0t"=%Windir%\intren0t.exe
六、“工行釣魚木馬”

病毒名稱：TrojanSpy.Banker.**

病毒中文名：“工行釣魚木馬”

病毒類型：木馬

危險(xiǎn)級(jí)別：★★★

影響平臺(tái)：Windows98/ME/NT/2000/XP/2003

描述：這是一個(gè)十分狡猾的盜取網(wǎng)上銀行密碼的木馬病毒。病毒運(yùn)行后，在系統(tǒng)目錄下生成svchost.exe文件，然后修改注

冊表啟動(dòng)項(xiàng)以使病毒文件隨操作系統(tǒng)同時(shí)運(yùn)行。

病毒運(yùn)行后，會(huì)監(jiān)視微軟IE瀏覽器正在訪問的網(wǎng)頁，如果發(fā)現(xiàn)用戶在工行網(wǎng)上銀行個(gè)人銀行登錄頁面上輸入了帳號(hào)、密碼

，并進(jìn)行了提交，就會(huì)彈出偽造的IE窗，內(nèi)容如下：“為了給您提供更加優(yōu)良的電子銀行服務(wù)，6月25日我行對(duì)電子銀行系

統(tǒng)進(jìn)行了升級(jí)。請(qǐng)您務(wù)必修改以上信息!”

病毒以此誘騙用戶重新輸入密碼，并將竊取到的密碼通過郵件發(fā)送到一個(gè)指定的163信箱。該病毒同時(shí)還會(huì)下載灰鴿子后門

病毒，感染灰鴿子的用戶系統(tǒng)將被黑客遠(yuǎn)程完全控制。

手工清除：在系統(tǒng)目錄下找到svchost.exe病毒文件，并將其刪除，打開注冊表找到svchost.exe的關(guān)聯(lián)鍵值，并將其刪除

。
七、“敲詐者”

病毒名稱：Trojan/Agent.**

病毒中文名：“敲詐者”

病毒類型：木馬

危險(xiǎn)級(jí)別：★★★

影響平臺(tái)：Win9X/ME/NT/2000/XP/2003

描述：毒在本地磁盤根目錄下建立一個(gè)屬性為系統(tǒng)、隱藏和只讀的備份文件夾，名為“控制面板.{21EC2020-3AEA-1069-

A2DD-08002B30309D}”，同時(shí)搜索本地磁盤上的用戶常用格式文檔(包括.xls、.doc、.mdb、.ppt、wps、.zip、.rar)，把

搜索到的文件移動(dòng)到上述備份文件夾中，造成用戶常用文檔丟失的假象

手工清除方法:

1、打開工具選項(xiàng)—〉文件夾選項(xiàng)—〉選擇顯示所有文件和文件夾并且將隱藏受保護(hù)的操作系統(tǒng)把文件前的√去掉。

2、將根目錄下的名為“控制面板”隱藏文件夾用WinRAR壓縮，然后啟動(dòng)WinRAR，切換到該文件夾的上級(jí)文件夾，右鍵單擊

該文件夾，在彈出菜單中選擇"重命名"。

3、去掉文件夾名“控制面板”后面的ID號(hào)，即可變?yōu)槠胀ㄎ募A了;也可直接進(jìn)入該文件夾找回丟失的文件。
八、維京

該病毒同時(shí)具有文件型病毒、蠕蟲病毒、病毒下載器等類病毒的特點(diǎn)，進(jìn)入用戶的電腦之后，它會(huì)從網(wǎng)上瘋狂下載多個(gè)木

馬、QQ尾巴等安裝在中毒的電腦中，竊取用戶的網(wǎng)絡(luò)游戲密碼，嚴(yán)重時(shí)造成系統(tǒng)完全崩潰。

手工清除方法：

在下列系統(tǒng)目錄中找到相應(yīng)病毒文件并刪除：

%SystemRoot%\rundl132.exe

%SystemRoot%\logo_1.exe

病毒目錄\vdll.dll

定位到以下注冊表鍵值并將其刪除：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\current\Version\Run]

"load"="C:\\Windows\\rundl132.exe"

[HKEY_CURRENT_USER\Softwre\Microsoft\Windows NT\CurrentVersion\Windows]

"load"="C:\\Windows\\rundl132.exe"
九，愛情后門

一、感染后的癥狀

在每個(gè)盤里自動(dòng)生成幾個(gè)壓縮包，install.ZIP pass.ZIP setup.ZIP bak.RAR

pass.RAR

二、方法

第一種

結(jié)束進(jìn)程： hxdef.exe iexplore.exe NetMeeting.exe

(如果結(jié)束不了，進(jìn)安全模式(開機(jī),按F8)在殺毒。或者先刪注冊表中的各項(xiàng)，重啟后再刪文件)

刪掉%systemroot%system32下(systemroot,即安裝系統(tǒng)的分區(qū),一般為 C:\ )的：

hxdef.exe

ravmond.exe

iexplore.exe

kernel66.dll

odbc16.dll

msjdbc11.dll

MSSIGN30.DLL

spollsv.exe

NetMeeting.exe

(注意，有的文件是隱藏文件)

刪掉%systemroot%目錄下的systra.exe

刪掉各個(gè)磁盤跟目錄下的autorun.inf和command.exe(都是隱藏文件)

刪掉各個(gè)磁盤跟目錄下的rar和zip文件(大小126k)

關(guān)閉系統(tǒng)還原(此病毒可能感染系統(tǒng)還原目錄內(nèi)的文件)

搜索各磁盤中的.zmx文件，把相應(yīng)目錄中的exe文件刪掉(如果是abc.zmx，就刪掉abc.exe，注意，此文件是125k。)然后把

zmx文件改回exe(如abc.zmx改成abc.exe)。文件屬性被修改，通過下面這條命令改回屬性：attrib -s -h *.zmx /s(在發(fā)

現(xiàn)zmx文件的磁盤跟目錄下運(yùn)行，如：F:>attrib -s -h *.zmx /s

刪掉注冊表中下面各項(xiàng)：

HKEY_LOCAL_MACHINESOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

"Hardware Profile"="%Windir%\System32\hxdef.exe"

"VFW Encoder/Decoder Settings"="

RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"Program In Windows"="%Windir%\System32\IEXPLORE.EXE"

"Shell Extension"="%Windir%\System32\spollsv.exe"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

unServices

"SystemTra"="%Windir%\SysTra.EXE"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices_reg

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows

Management Protocol v.0 (experimental)

進(jìn)入注冊表的方法: "開始" \ "運(yùn)行" \ 輸入"regedit" \ 回車

第二種

手工殺毒步驟為：

1.刪除了以上列出的病毒文件，有些文件只能在安全模式下刪除。

2.然后修改注冊表，刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run]中的相應(yīng)條目。

3.刪除服務(wù)，可以使用resource kit中的delsrv命令，也可以到注冊表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services中刪除。

做了以上工作后，計(jì)算機(jī)暫時(shí)恢復(fù)正常。但是過了一段時(shí)間以后，發(fā)現(xiàn)計(jì)算機(jī)重新感染病毒，原來的所有現(xiàn)象重新出現(xiàn)。

再做一遍仍然如此。使用任務(wù)管理器查看進(jìn)程，未發(fā)現(xiàn)其它可疑進(jìn)程。后來使用瑞星最新版本殺毒，可以看到

winnt\explorer.exe感染病毒，但無法殺掉。所以把注意力轉(zhuǎn)到這個(gè)文件上，經(jīng)檢查文件尺寸為238kb，到別的正常機(jī)器上

一看，結(jié)果是233kb，原來如此。由于操作系統(tǒng)運(yùn)行過程中無法替換該explorer.exe文件，所以使用win2000安裝光盤啟動(dòng)

，進(jìn)入恢復(fù)控制臺(tái)。使用軟盤把從正常計(jì)算機(jī)上拷貝來的文件替換上。并且使用上面的三個(gè)步驟手工殺毒。
十、工行釣魚木馬：

這是一個(gè)十分狡猾的盜取網(wǎng)上銀行密碼的木馬病毒。病毒運(yùn)行后，在系統(tǒng)目錄下生成svchost.exe文件，然后修改注冊表啟

動(dòng)項(xiàng)以使病毒文件隨操作系統(tǒng)同時(shí)運(yùn)行。

病毒運(yùn)行后，會(huì)監(jiān)視微軟IE瀏覽器正在訪問的網(wǎng)頁，如果發(fā)現(xiàn)用戶在工行網(wǎng)上銀行個(gè)人銀行登錄頁面上輸入了帳號(hào)、密碼

，并進(jìn)行了提交，就會(huì)彈出偽造的IE窗，內(nèi)容如下： “為了給您提供更加優(yōu)良的電子銀行服務(wù)，6月25日我行對(duì)電子銀行

系統(tǒng)進(jìn)行了升級(jí)。請(qǐng)您務(wù)必修改以上信息!”

病毒以此誘騙用戶重新輸入密碼，并將竊取到的密碼通過郵件發(fā)送到一個(gè)指定的163信箱。該病毒同時(shí)還會(huì)下載灰鴿子后門

病毒，感染灰鴿子的用戶系統(tǒng)將被黑客遠(yuǎn)程完全控制。

1、自動(dòng)清除：斷開網(wǎng)絡(luò)，升級(jí)殺毒軟件對(duì)電腦進(jìn)行全盤掃描。

2、手工清除：在系統(tǒng)目錄下找到svchost.exe病毒文件，并將其刪除，打開注冊表找到svchost.exe的關(guān)聯(lián)鍵值，并將其刪

除