十大病毒手工查殺方法2007年09月17日 星期一 上午 02:07殺人不動刀槍,殺毒不用工具/軟件!

雙手萬能

十大病毒手工查殺的方法

終告:

開機先看啟動項是否正常!

常在河邊走的朋友請經常看哈你的進程!

每天看下你的WINDOWS文件下的文件

C:\WINDOWS\system32

經常使有垃圾工具軟件的就別裝殺毒軟件自己給愛機種下木馬

殺毒不用工具.殺人不用刀!

先

一、“灰鴿子”

病毒名稱：Backdoor/Huigezi

病毒中文名：“灰鴿子”

病毒類型：后門

影響平臺：Win9X/ME/NT/2000/XP

描述：Backdoor/Huigezi.**“灰鴿子”是一個未經授權遠程訪問用戶計算機的后門。以“灰鴿子”變種cm為例，該變種運

行后，會自我復制到系統目錄下。修改注冊表，實現開機自啟。偵聽黑客指令，記錄鍵擊，盜取用戶機密信息，例如用戶

撥號上網口令，URL密碼等。利用掛鉤API函數隱藏自我,防止被查殺。另外，“灰鴿子”變種cm可下載并執行特定文件，發

送用戶機密信息給黑客等。

手工清除方法：

對于灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出，無論自定義的服務器端文件名是什么，一般都

會在操作系統的安裝目錄下生成一個以“_hook.dll”結尾的文件。通過這一點，我們可以較為準確手工檢測出灰鴿子木馬

。

由于正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：啟動計算

機，在系統進入Windows啟動畫面前，按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放)，在出現的啟動選項菜單中，選擇“

SafeMode”或“安全模式”。

1、由于灰鴿子的文件本身具有隱藏屬性，因此要設置Windows顯示所有文件。打開“我的電腦”，選擇菜單“工具”—》

“文件夾選項”，點擊“查看”，取消“隱藏受保護的操作系統文件”前的對勾，并在“隱藏文件和文件夾”項中選擇“

顯示所有文件和文件夾”，然后點擊“確定”。

2、打開Windows的“搜索文件”，文件名稱輸入“_hook.dll”，搜索位置選擇Windows的安裝目錄(默認98/xp為

C:\windows，2k/NT為C:\Winnt)。

3、經過搜索，我們在Windows目錄(不包含子目錄)下發現了一個名為*****_Hook.dll的文件。

4、根據灰鴿子原理分析我們知道，如果*****_Hook.DLL是灰鴿子的文件，則在操作系統安裝目錄下還會有*****.exe和

*****.dll文件。打開Windows目錄，果然有這兩個文件，同時還有一個用于記錄鍵盤操作的*****Key.dll文件。

5、打開注冊表編輯器(點擊“開始”-》“運行”，輸入“Regedit.exe”，確定。)，打開

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。

6、點擊菜單“編輯”-》“查找”，“查找目標”輸入“*****.exe”，點擊確定，我們就可以找到灰鴿子的服務項(此例

為*****_Server)。

7、刪除整個*****_Server項。

二、“傳奇竊賊”

病毒名稱：Trojan/PSW.LMir

病毒中文名：“傳奇竊賊”

病毒類型：木馬

危險級別：★

影響平臺：Win9x/2000/XP/NT/Me

描述：傳奇竊賊是專門竊取網絡游戲“傳奇2”登錄帳號密碼的木馬程序。該木馬運行后，主程序文件自己復制到系統目錄

下。修改注冊表，實現開機自啟。終止某些防火墻、殺毒軟件進程。病毒進程被終止后，會自動重啟。竊取“傳奇2”帳號

密碼，并將盜取的信息發送給黑客。

手動清除方法：

它會在%WinDir%目錄下生成的explorer.com文件也很迷惑人，與explorer.exe就差一個擴展名(如圖2)。病毒經過UPX加殼

處理，脫掉后可以看出是用VisualC++6.0編寫的。

1、先再任務管理器中結束explorer.com進程，注意：是explorer.com而不是explorer.exe。

2再將每個硬盤分區根目錄下bbs.exe和web.exe兩個文件刪除掉，注意：刪除后就不要再打開這個分區了，否則會再次感染

。

3刪除%WinDir%\explorer.com文件(注：WindowsXP系統在C:\windows\explorer.com，Windows2000/NT系統在

C:\WINNT\explorer.com。)

4最后在注冊表中刪除

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Net"=%WinDir%\services.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows]

"Load"=%WinDir%\assistse.exe

這兩個鍵值，這樣病毒就不會隨這機器開機運行了。
三，高波和瑞波

高波： Backdoor/Agobot.** “高波”主要利用網絡弱密碼共享進行傳播的后門程序。該后門程序還可利用微軟DCOM RPC

漏洞提升權限，允許黑客利用IRC通道遠程進入用戶計算機。該程序運行后，程序文件自我復制到系統目錄下，并修改注冊

表，以實現程序的開機自啟。開啟黑客指定的TCP端口。連接黑客指定的IRC通道，偵聽黑客指令。

瑞波：該病毒經過多層壓縮加密殼處理，可以利用多種系統漏洞進行傳播，感染能力很強。中毒計算機將被黑客完全控制

，成為"僵尸電腦"。由于此病毒會掃描感染目標，因此可以造成局域網擁堵。

高波：

第一種

1、自動清除：斷開網絡，升級殺毒軟件對電腦進行全盤掃描。

2、高波手工清除：打好微軟MS03-007、MS03-026、MS04-011、MS04-031補丁，在系統目錄下找到病毒文件名為Medman.exe

，并將其刪除。

第二種

1、進入任務管理器，結束winaii.exe和netlink32.exe進程，然后打開資源管理器，進入c:\windows\system32目錄，查找

winaii.exe和netlink32.exe兩文件，將其刪除。在系統啟動項目(開始>運行>msconfig進入)中去掉其相應的加載啟動項。

然后安裝殺毒軟件，升級病毒庫后進行殺毒。接著安裝相應windowsXP或windows2000的補丁程序，重啟系統。

2、如果按如上的方法不能清除病毒，可以從安全模式下進行處理，方法如下：在安全模式下，打開注冊表，在“編輯”中

“查找”“winaii.exe”和“netlink32.exe”,刪除找到的“winaii.exe”和“netlink32.exe”項目。查看

windows\system32目錄下是否有winaii.exe和netlink32.exe這兩個文件，有則刪除。最后殺毒、打補丁并重啟計算機。

3、該病毒具有密碼庫，能夠破解機子的一些較簡單的密碼(密碼僅包含數字或26個字母稱為簡單密碼)，尤其是對于

windows2000系統，往往剛殺完病毒后又染上該病毒了。所以建議在殺毒的過程中最好斷開網絡連接，確定殺完病毒和打好

補丁(MS03-007、MS03-026、MS04-011、MS04-031補丁)后，為機子重設一個復雜的密碼(密碼包含問號，點號等特殊符號)

。

瑞波：

手工清除：在系統目錄下找到病毒文件msxml32.exe，在注冊表中找到鍵值msxml32.exe，將其刪除。打上微軟MS03-007、

MS03-026、MS04-011、MS04-031四個漏洞補丁
四、“CHM木馬”

病毒名稱：Exploit.MhtRedir

病毒中文名：“CHM木馬”

病毒類型：木馬、腳本

危險級別：★★

影響平臺：Windows98/ME/NT/2000/XP/2003

描述：

利用IE瀏覽器MHTML跨安全區腳本執行漏洞(MS03-014)的惡意網頁腳本，

自從2003年以來，一直是國內最為流行的種植網頁木馬的惡意代碼類型，

2005年下半年，泛濫趨勢稍有減弱，2006年上半年的感染數量仍然很大，

沒有短期內消亡的跡象。

手工清除方法：

打上微軟MS03-014和MS04-023系統漏洞補丁，找到以下病毒和配置文件并將其刪除：

%SystemDir%\dllcache\pk.bin,3680字節，病毒配置文件

%SystemDir%\dllcache\phantom.exe,393216字節，病毒程序

%SystemDir%\dllcache\kw.dat,803字節，病毒配置文件

%SystemDir%\dllcache\phantomhk.dll,8704字節，病毒模塊

%SystemDir%\dllcache\phantomi.dll,215040字節，病毒模塊

%SystemDir%\dllcache\phantomwb.dll,40960字節，病毒模塊

在注冊表中定位到鍵值，并將該鍵值刪除：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Phantom"=%SystemDir%

\dllcache\phantom.exe
五、“QQ大盜”

病毒名稱：Trojan/QQPass

病毒中文名：“QQ大盜”

病毒類型：木馬

危險級別：★

影響平臺：Win9X/2000/XP/NT/Me

描述：Trojan/QQPass.ak是用Delphi編寫并經過壓縮的木馬，用來竊取游戲"傳奇"信息。

傳播過程及特征：

1.創建下列文件：

%System%\winsocks.dll,91136字節

%Windir%\intren0t.exe,91136字節

2.修改注冊表：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intren0t"=%Windir%\intren0t.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]"Intren0t"=%Windir%\intren0t.exe

這樣，在Windows啟動時，病毒就可以自動執行。

注：%Windir%為變量，一般為C:\Windows或C:\Winnt;%System%為變量，一般為C:\Windows\System

(Windows95/98/Me),C:\Winnt\System32(WindowsNT/2000),或C:\Windows\System32(WindowsXP)。

手工清除：

在系統目錄找到病毒文件winsocks.dll和intren0t.exe，并將其刪除。打開注冊表并定位到以下鍵值，將鍵值刪除：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intren0t"=%Windir%\intren0t.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Intren0t"=%Windir%\intren0t.exe
六、“工行釣魚木馬”

病毒名稱：TrojanSpy.Banker.**

病毒中文名：“工行釣魚木馬”

病毒類型：木馬

危險級別：★★★

影響平臺：Windows98/ME/NT/2000/XP/2003

描述：這是一個十分狡猾的盜取網上銀行密碼的木馬病毒。病毒運行后，在系統目錄下生成svchost.exe文件，然后修改注

冊表啟動項以使病毒文件隨操作系統同時運行。

病毒運行后，會監視微軟IE瀏覽器正在訪問的網頁，如果發現用戶在工行網上銀行個人銀行登錄頁面上輸入了帳號、密碼

，并進行了提交，就會彈出偽造的IE窗，內容如下：“為了給您提供更加優良的電子銀行服務，6月25日我行對電子銀行系

統進行了升級。請您務必修改以上信息!”

病毒以此誘騙用戶重新輸入密碼，并將竊取到的密碼通過郵件發送到一個指定的163信箱。該病毒同時還會下載灰鴿子后門

病毒，感染灰鴿子的用戶系統將被黑客遠程完全控制。

手工清除：在系統目錄下找到svchost.exe病毒文件，并將其刪除，打開注冊表找到svchost.exe的關聯鍵值，并將其刪除

。
七、“敲詐者”

病毒名稱：Trojan/Agent.**

病毒中文名：“敲詐者”

病毒類型：木馬

危險級別：★★★

影響平臺：Win9X/ME/NT/2000/XP/2003

描述：毒在本地磁盤根目錄下建立一個屬性為系統、隱藏和只讀的備份文件夾，名為“控制面板.{21EC2020-3AEA-1069-

A2DD-08002B30309D}”，同時搜索本地磁盤上的用戶常用格式文檔(包括.xls、.doc、.mdb、.ppt、wps、.zip、.rar)，把

搜索到的文件移動到上述備份文件夾中，造成用戶常用文檔丟失的假象

手工清除方法:

1、打開工具選項—〉文件夾選項—〉選擇顯示所有文件和文件夾并且將隱藏受保護的操作系統把文件前的√去掉。

2、將根目錄下的名為“控制面板”隱藏文件夾用WinRAR壓縮，然后啟動WinRAR，切換到該文件夾的上級文件夾，右鍵單擊

該文件夾，在彈出菜單中選擇"重命名"。

3、去掉文件夾名“控制面板”后面的ID號，即可變為普通文件夾了;也可直接進入該文件夾找回丟失的文件。
八、維京

該病毒同時具有文件型病毒、蠕蟲病毒、病毒下載器等類病毒的特點，進入用戶的電腦之后，它會從網上瘋狂下載多個木

馬、QQ尾巴等安裝在中毒的電腦中，竊取用戶的網絡游戲密碼，嚴重時造成系統完全崩潰。

手工清除方法：

在下列系統目錄中找到相應病毒文件并刪除：

%SystemRoot%\rundl132.exe

%SystemRoot%\logo_1.exe

病毒目錄\vdll.dll

定位到以下注冊表鍵值并將其刪除：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\current\Version\Run]

"load"="C:\\Windows\\rundl132.exe"

[HKEY_CURRENT_USER\Softwre\Microsoft\Windows NT\CurrentVersion\Windows]

"load"="C:\\Windows\\rundl132.exe"
九，愛情后門

一、感染后的癥狀

在每個盤里自動生成幾個壓縮包，install.ZIP pass.ZIP setup.ZIP bak.RAR

pass.RAR

二、方法

第一種

結束進程： hxdef.exe iexplore.exe NetMeeting.exe

(如果結束不了，進安全模式(開機,按F8)在殺毒。或者先刪注冊表中的各項，重啟后再刪文件)

刪掉%systemroot%system32下(systemroot,即安裝系統的分區,一般為 C:\ )的：

hxdef.exe

ravmond.exe

iexplore.exe

kernel66.dll

odbc16.dll

msjdbc11.dll

MSSIGN30.DLL

spollsv.exe

NetMeeting.exe

(注意，有的文件是隱藏文件)

刪掉%systemroot%目錄下的systra.exe

刪掉各個磁盤跟目錄下的autorun.inf和command.exe(都是隱藏文件)

刪掉各個磁盤跟目錄下的rar和zip文件(大小126k)

關閉系統還原(此病毒可能感染系統還原目錄內的文件)

搜索各磁盤中的.zmx文件，把相應目錄中的exe文件刪掉(如果是abc.zmx，就刪掉abc.exe，注意，此文件是125k。)然后把

zmx文件改回exe(如abc.zmx改成abc.exe)。文件屬性被修改，通過下面這條命令改回屬性：attrib -s -h *.zmx /s(在發

現zmx文件的磁盤跟目錄下運行，如：F:>attrib -s -h *.zmx /s

刪掉注冊表中下面各項：

HKEY_LOCAL_MACHINESOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

"Hardware Profile"="%Windir%\System32\hxdef.exe"

"VFW Encoder/Decoder Settings"="

RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"Program In Windows"="%Windir%\System32\IEXPLORE.EXE"

"Shell Extension"="%Windir%\System32\spollsv.exe"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

unServices

"SystemTra"="%Windir%\SysTra.EXE"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices_reg

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows

Management Protocol v.0 (experimental)

進入注冊表的方法: "開始" \ "運行" \ 輸入"regedit" \ 回車

第二種

手工殺毒步驟為：

1.刪除了以上列出的病毒文件，有些文件只能在安全模式下刪除。

2.然后修改注冊表，刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run]中的相應條目。

3.刪除服務，可以使用resource kit中的delsrv命令，也可以到注冊表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services中刪除。

做了以上工作后，計算機暫時恢復正常。但是過了一段時間以后，發現計算機重新感染病毒，原來的所有現象重新出現。

再做一遍仍然如此。使用任務管理器查看進程，未發現其它可疑進程。后來使用瑞星最新版本殺毒，可以看到

winnt\explorer.exe感染病毒，但無法殺掉。所以把注意力轉到這個文件上，經檢查文件尺寸為238kb，到別的正常機器上

一看，結果是233kb，原來如此。由于操作系統運行過程中無法替換該explorer.exe文件，所以使用win2000安裝光盤啟動

，進入恢復控制臺。使用軟盤把從正常計算機上拷貝來的文件替換上。并且使用上面的三個步驟手工殺毒。
十、工行釣魚木馬：

這是一個十分狡猾的盜取網上銀行密碼的木馬病毒。病毒運行后，在系統目錄下生成svchost.exe文件，然后修改注冊表啟

動項以使病毒文件隨操作系統同時運行。

病毒運行后，會監視微軟IE瀏覽器正在訪問的網頁，如果發現用戶在工行網上銀行個人銀行登錄頁面上輸入了帳號、密碼

，并進行了提交，就會彈出偽造的IE窗，內容如下： “為了給您提供更加優良的電子銀行服務，6月25日我行對電子銀行

系統進行了升級。請您務必修改以上信息!”

病毒以此誘騙用戶重新輸入密碼，并將竊取到的密碼通過郵件發送到一個指定的163信箱。該病毒同時還會下載灰鴿子后門

病毒，感染灰鴿子的用戶系統將被黑客遠程完全控制。

1、自動清除：斷開網絡，升級殺毒軟件對電腦進行全盤掃描。

2、手工清除：在系統目錄下找到svchost.exe病毒文件，并將其刪除，打開注冊表找到svchost.exe的關聯鍵值，并將其刪

除