十大病毒手工查殺方法2007年09月17日 星期一 上午 02:07殺人不動刀槍,殺毒不用工具/軟件!

雙手萬能

十大病毒手工查殺的方法

終告:

開機先看啟動項是否正常!

常在河邊走的朋友請經(jīng)常看哈你的進程!

每天看下你的WINDOWS文件下的文件

C:\WINDOWS\system32

經(jīng)常使有垃圾工具軟件的就別裝殺毒軟件自己給愛機種下木馬

殺毒不用工具.殺人不用刀!

先

一、“灰鴿子”

病毒名稱：Backdoor/Huigezi

病毒中文名：“灰鴿子”

病毒類型：后門

影響平臺：Win9X/ME/NT/2000/XP

描述：Backdoor/Huigezi.**“灰鴿子”是一個未經(jīng)授權遠程訪問用戶計算機的后門。以“灰鴿子”變種cm為例，該變種運

行后，會自我復制到系統(tǒng)目錄下。修改注冊表，實現(xiàn)開機自啟。偵聽黑客指令，記錄鍵擊，盜取用戶機密信息，例如用戶

撥號上網(wǎng)口令，URL密碼等。利用掛鉤API函數(shù)隱藏自我,防止被查殺。另外，“灰鴿子”變種cm可下載并執(zhí)行特定文件，發(fā)

送用戶機密信息給黑客等。

手工清除方法：

對于灰鴿子的檢測仍然是有規(guī)律可循的。從上面的運行原理分析可以看出，無論自定義的服務器端文件名是什么，一般都

會在操作系統(tǒng)的安裝目錄下生成一個以“_hook.dll”結尾的文件。通過這一點，我們可以較為準確手工檢測出灰鴿子木馬

。

由于正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動計算

機，在系統(tǒng)進入Windows啟動畫面前，按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放)，在出現(xiàn)的啟動選項菜單中，選擇“

SafeMode”或“安全模式”。

1、由于灰鴿子的文件本身具有隱藏屬性，因此要設置Windows顯示所有文件。打開“我的電腦”，選擇菜單“工具”—》

“文件夾選項”，點擊“查看”，取消“隱藏受保護的操作系統(tǒng)文件”前的對勾，并在“隱藏文件和文件夾”項中選擇“

顯示所有文件和文件夾”，然后點擊“確定”。

2、打開Windows的“搜索文件”，文件名稱輸入“_hook.dll”，搜索位置選擇Windows的安裝目錄(默認98/xp為

C:\windows，2k/NT為C:\Winnt)。

3、經(jīng)過搜索，我們在Windows目錄(不包含子目錄)下發(fā)現(xiàn)了一個名為*****_Hook.dll的文件。

4、根據(jù)灰鴿子原理分析我們知道，如果*****_Hook.DLL是灰鴿子的文件，則在操作系統(tǒng)安裝目錄下還會有*****.exe和

*****.dll文件。打開Windows目錄，果然有這兩個文件，同時還有一個用于記錄鍵盤操作的*****Key.dll文件。

5、打開注冊表編輯器(點擊“開始”-》“運行”，輸入“Regedit.exe”，確定。)，打開

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。

6、點擊菜單“編輯”-》“查找”，“查找目標”輸入“*****.exe”，點擊確定，我們就可以找到灰鴿子的服務項(此例

為*****_Server)。

7、刪除整個*****_Server項。

二、“傳奇竊賊”

病毒名稱：Trojan/PSW.LMir

病毒中文名：“傳奇竊賊”

病毒類型：木馬

危險級別：★

影響平臺：Win9x/2000/XP/NT/Me

描述：傳奇竊賊是專門竊取網(wǎng)絡游戲“傳奇2”登錄帳號密碼的木馬程序。該木馬運行后，主程序文件自己復制到系統(tǒng)目錄

下。修改注冊表，實現(xiàn)開機自啟。終止某些防火墻、殺毒軟件進程。病毒進程被終止后，會自動重啟。竊取“傳奇2”帳號

密碼，并將盜取的信息發(fā)送給黑客。

手動清除方法：

它會在%WinDir%目錄下生成的explorer.com文件也很迷惑人，與explorer.exe就差一個擴展名(如圖2)。病毒經(jīng)過UPX加殼

處理，脫掉后可以看出是用VisualC++6.0編寫的。

1、先再任務管理器中結束explorer.com進程，注意：是explorer.com而不是explorer.exe。

2再將每個硬盤分區(qū)根目錄下bbs.exe和web.exe兩個文件刪除掉，注意：刪除后就不要再打開這個分區(qū)了，否則會再次感染

。

3刪除%WinDir%\explorer.com文件(注：WindowsXP系統(tǒng)在C:\windows\explorer.com，Windows2000/NT系統(tǒng)在

C:\WINNT\explorer.com。)

4最后在注冊表中刪除

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Net"=%WinDir%\services.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows]

"Load"=%WinDir%\assistse.exe

這兩個鍵值，這樣病毒就不會隨這機器開機運行了。
三，高波和瑞波

高波： Backdoor/Agobot.** “高波”主要利用網(wǎng)絡弱密碼共享進行傳播的后門程序。該后門程序還可利用微軟DCOM RPC

漏洞提升權限，允許黑客利用IRC通道遠程進入用戶計算機。該程序運行后，程序文件自我復制到系統(tǒng)目錄下，并修改注冊

表，以實現(xiàn)程序的開機自啟。開啟黑客指定的TCP端口。連接黑客指定的IRC通道，偵聽黑客指令。

瑞波：該病毒經(jīng)過多層壓縮加密殼處理，可以利用多種系統(tǒng)漏洞進行傳播，感染能力很強。中毒計算機將被黑客完全控制

，成為"僵尸電腦"。由于此病毒會掃描感染目標，因此可以造成局域網(wǎng)擁堵。

高波：

第一種

1、自動清除：斷開網(wǎng)絡，升級殺毒軟件對電腦進行全盤掃描。

2、高波手工清除：打好微軟MS03-007、MS03-026、MS04-011、MS04-031補丁，在系統(tǒng)目錄下找到病毒文件名為Medman.exe

，并將其刪除。

第二種

1、進入任務管理器，結束winaii.exe和netlink32.exe進程，然后打開資源管理器，進入c:\windows\system32目錄，查找

winaii.exe和netlink32.exe兩文件，將其刪除。在系統(tǒng)啟動項目(開始>運行>msconfig進入)中去掉其相應的加載啟動項。

然后安裝殺毒軟件，升級病毒庫后進行殺毒。接著安裝相應windowsXP或windows2000的補丁程序，重啟系統(tǒng)。

2、如果按如上的方法不能清除病毒，可以從安全模式下進行處理，方法如下：在安全模式下，打開注冊表，在“編輯”中

“查找”“winaii.exe”和“netlink32.exe”,刪除找到的“winaii.exe”和“netlink32.exe”項目。查看

windows\system32目錄下是否有winaii.exe和netlink32.exe這兩個文件，有則刪除。最后殺毒、打補丁并重啟計算機。

3、該病毒具有密碼庫，能夠破解機子的一些較簡單的密碼(密碼僅包含數(shù)字或26個字母稱為簡單密碼)，尤其是對于

windows2000系統(tǒng)，往往剛殺完病毒后又染上該病毒了。所以建議在殺毒的過程中最好斷開網(wǎng)絡連接，確定殺完病毒和打好

補丁(MS03-007、MS03-026、MS04-011、MS04-031補丁)后，為機子重設一個復雜的密碼(密碼包含問號，點號等特殊符號)

。

瑞波：

手工清除：在系統(tǒng)目錄下找到病毒文件msxml32.exe，在注冊表中找到鍵值msxml32.exe，將其刪除。打上微軟MS03-007、

MS03-026、MS04-011、MS04-031四個漏洞補丁
四、“CHM木馬”

病毒名稱：Exploit.MhtRedir

病毒中文名：“CHM木馬”

病毒類型：木馬、腳本

危險級別：★★

影響平臺：Windows98/ME/NT/2000/XP/2003

描述：

利用IE瀏覽器MHTML跨安全區(qū)腳本執(zhí)行漏洞(MS03-014)的惡意網(wǎng)頁腳本，

自從2003年以來，一直是國內最為流行的種植網(wǎng)頁木馬的惡意代碼類型，

2005年下半年，泛濫趨勢稍有減弱，2006年上半年的感染數(shù)量仍然很大，

沒有短期內消亡的跡象。

手工清除方法：

打上微軟MS03-014和MS04-023系統(tǒng)漏洞補丁，找到以下病毒和配置文件并將其刪除：

%SystemDir%\dllcache\pk.bin,3680字節(jié)，病毒配置文件

%SystemDir%\dllcache\phantom.exe,393216字節(jié)，病毒程序

%SystemDir%\dllcache\kw.dat,803字節(jié)，病毒配置文件

%SystemDir%\dllcache\phantomhk.dll,8704字節(jié)，病毒模塊

%SystemDir%\dllcache\phantomi.dll,215040字節(jié)，病毒模塊

%SystemDir%\dllcache\phantomwb.dll,40960字節(jié)，病毒模塊

在注冊表中定位到鍵值，并將該鍵值刪除：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Phantom"=%SystemDir%

\dllcache\phantom.exe
五、“QQ大盜”

病毒名稱：Trojan/QQPass

病毒中文名：“QQ大盜”

病毒類型：木馬

危險級別：★

影響平臺：Win9X/2000/XP/NT/Me

描述：Trojan/QQPass.ak是用Delphi編寫并經(jīng)過壓縮的木馬，用來竊取游戲"傳奇"信息。

傳播過程及特征：

1.創(chuàng)建下列文件：

%System%\winsocks.dll,91136字節(jié)

%Windir%\intren0t.exe,91136字節(jié)

2.修改注冊表：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intren0t"=%Windir%\intren0t.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]"Intren0t"=%Windir%\intren0t.exe

這樣，在Windows啟動時，病毒就可以自動執(zhí)行。

注：%Windir%為變量，一般為C:\Windows或C:\Winnt;%System%為變量，一般為C:\Windows\System

(Windows95/98/Me),C:\Winnt\System32(WindowsNT/2000),或C:\Windows\System32(WindowsXP)。

手工清除：

在系統(tǒng)目錄找到病毒文件winsocks.dll和intren0t.exe，并將其刪除。打開注冊表并定位到以下鍵值，將鍵值刪除：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intren0t"=%Windir%\intren0t.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Intren0t"=%Windir%\intren0t.exe
六、“工行釣魚木馬”

病毒名稱：TrojanSpy.Banker.**

病毒中文名：“工行釣魚木馬”

病毒類型：木馬

危險級別：★★★

影響平臺：Windows98/ME/NT/2000/XP/2003

描述：這是一個十分狡猾的盜取網(wǎng)上銀行密碼的木馬病毒。病毒運行后，在系統(tǒng)目錄下生成svchost.exe文件，然后修改注

冊表啟動項以使病毒文件隨操作系統(tǒng)同時運行。

病毒運行后，會監(jiān)視微軟IE瀏覽器正在訪問的網(wǎng)頁，如果發(fā)現(xiàn)用戶在工行網(wǎng)上銀行個人銀行登錄頁面上輸入了帳號、密碼

，并進行了提交，就會彈出偽造的IE窗，內容如下：“為了給您提供更加優(yōu)良的電子銀行服務，6月25日我行對電子銀行系

統(tǒng)進行了升級。請您務必修改以上信息!”

病毒以此誘騙用戶重新輸入密碼，并將竊取到的密碼通過郵件發(fā)送到一個指定的163信箱。該病毒同時還會下載灰鴿子后門

病毒，感染灰鴿子的用戶系統(tǒng)將被黑客遠程完全控制。

手工清除：在系統(tǒng)目錄下找到svchost.exe病毒文件，并將其刪除，打開注冊表找到svchost.exe的關聯(lián)鍵值，并將其刪除

。
七、“敲詐者”

病毒名稱：Trojan/Agent.**

病毒中文名：“敲詐者”

病毒類型：木馬

危險級別：★★★

影響平臺：Win9X/ME/NT/2000/XP/2003

描述：毒在本地磁盤根目錄下建立一個屬性為系統(tǒng)、隱藏和只讀的備份文件夾，名為“控制面板.{21EC2020-3AEA-1069-

A2DD-08002B30309D}”，同時搜索本地磁盤上的用戶常用格式文檔(包括.xls、.doc、.mdb、.ppt、wps、.zip、.rar)，把

搜索到的文件移動到上述備份文件夾中，造成用戶常用文檔丟失的假象

手工清除方法:

1、打開工具選項—〉文件夾選項—〉選擇顯示所有文件和文件夾并且將隱藏受保護的操作系統(tǒng)把文件前的√去掉。

2、將根目錄下的名為“控制面板”隱藏文件夾用WinRAR壓縮，然后啟動WinRAR，切換到該文件夾的上級文件夾，右鍵單擊

該文件夾，在彈出菜單中選擇"重命名"。

3、去掉文件夾名“控制面板”后面的ID號，即可變?yōu)槠胀ㄎ募A了;也可直接進入該文件夾找回丟失的文件。
八、維京

該病毒同時具有文件型病毒、蠕蟲病毒、病毒下載器等類病毒的特點，進入用戶的電腦之后，它會從網(wǎng)上瘋狂下載多個木

馬、QQ尾巴等安裝在中毒的電腦中，竊取用戶的網(wǎng)絡游戲密碼，嚴重時造成系統(tǒng)完全崩潰。

手工清除方法：

在下列系統(tǒng)目錄中找到相應病毒文件并刪除：

%SystemRoot%\rundl132.exe

%SystemRoot%\logo_1.exe

病毒目錄\vdll.dll

定位到以下注冊表鍵值并將其刪除：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\current\Version\Run]

"load"="C:\\Windows\\rundl132.exe"

[HKEY_CURRENT_USER\Softwre\Microsoft\Windows NT\CurrentVersion\Windows]

"load"="C:\\Windows\\rundl132.exe"
九，愛情后門

一、感染后的癥狀

在每個盤里自動生成幾個壓縮包，install.ZIP pass.ZIP setup.ZIP bak.RAR

pass.RAR

二、方法

第一種

結束進程： hxdef.exe iexplore.exe NetMeeting.exe

(如果結束不了，進安全模式(開機,按F8)在殺毒。或者先刪注冊表中的各項，重啟后再刪文件)

刪掉%systemroot%system32下(systemroot,即安裝系統(tǒng)的分區(qū),一般為 C:\ )的：

hxdef.exe

ravmond.exe

iexplore.exe

kernel66.dll

odbc16.dll

msjdbc11.dll

MSSIGN30.DLL

spollsv.exe

NetMeeting.exe

(注意，有的文件是隱藏文件)

刪掉%systemroot%目錄下的systra.exe

刪掉各個磁盤跟目錄下的autorun.inf和command.exe(都是隱藏文件)

刪掉各個磁盤跟目錄下的rar和zip文件(大小126k)

關閉系統(tǒng)還原(此病毒可能感染系統(tǒng)還原目錄內的文件)

搜索各磁盤中的.zmx文件，把相應目錄中的exe文件刪掉(如果是abc.zmx，就刪掉abc.exe，注意，此文件是125k。)然后把

zmx文件改回exe(如abc.zmx改成abc.exe)。文件屬性被修改，通過下面這條命令改回屬性：attrib -s -h *.zmx /s(在發(fā)

現(xiàn)zmx文件的磁盤跟目錄下運行，如：F:>attrib -s -h *.zmx /s

刪掉注冊表中下面各項：

HKEY_LOCAL_MACHINESOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

"Hardware Profile"="%Windir%\System32\hxdef.exe"

"VFW Encoder/Decoder Settings"="

RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"Program In Windows"="%Windir%\System32\IEXPLORE.EXE"

"Shell Extension"="%Windir%\System32\spollsv.exe"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

unServices

"SystemTra"="%Windir%\SysTra.EXE"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices_reg

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows

Management Protocol v.0 (experimental)

進入注冊表的方法: "開始" \ "運行" \ 輸入"regedit" \ 回車

第二種

手工殺毒步驟為：

1.刪除了以上列出的病毒文件，有些文件只能在安全模式下刪除。

2.然后修改注冊表，刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run]中的相應條目。

3.刪除服務，可以使用resource kit中的delsrv命令，也可以到注冊表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services中刪除。

做了以上工作后，計算機暫時恢復正常。但是過了一段時間以后，發(fā)現(xiàn)計算機重新感染病毒，原來的所有現(xiàn)象重新出現(xiàn)。

再做一遍仍然如此。使用任務管理器查看進程，未發(fā)現(xiàn)其它可疑進程。后來使用瑞星最新版本殺毒，可以看到

winnt\explorer.exe感染病毒，但無法殺掉。所以把注意力轉到這個文件上，經(jīng)檢查文件尺寸為238kb，到別的正常機器上

一看，結果是233kb，原來如此。由于操作系統(tǒng)運行過程中無法替換該explorer.exe文件，所以使用win2000安裝光盤啟動

，進入恢復控制臺。使用軟盤把從正常計算機上拷貝來的文件替換上。并且使用上面的三個步驟手工殺毒。
十、工行釣魚木馬：

這是一個十分狡猾的盜取網(wǎng)上銀行密碼的木馬病毒。病毒運行后，在系統(tǒng)目錄下生成svchost.exe文件，然后修改注冊表啟

動項以使病毒文件隨操作系統(tǒng)同時運行。

病毒運行后，會監(jiān)視微軟IE瀏覽器正在訪問的網(wǎng)頁，如果發(fā)現(xiàn)用戶在工行網(wǎng)上銀行個人銀行登錄頁面上輸入了帳號、密碼

，并進行了提交，就會彈出偽造的IE窗，內容如下： “為了給您提供更加優(yōu)良的電子銀行服務，6月25日我行對電子銀行

系統(tǒng)進行了升級。請您務必修改以上信息!”

病毒以此誘騙用戶重新輸入密碼，并將竊取到的密碼通過郵件發(fā)送到一個指定的163信箱。該病毒同時還會下載灰鴿子后門

病毒，感染灰鴿子的用戶系統(tǒng)將被黑客遠程完全控制。

1、自動清除：斷開網(wǎng)絡，升級殺毒軟件對電腦進行全盤掃描。

2、手工清除：在系統(tǒng)目錄下找到svchost.exe病毒文件，并將其刪除，打開注冊表找到svchost.exe的關聯(lián)鍵值，并將其刪

除