Win32.FunLove.4099
FunLove是一个非破坏性的内存驻留的Win32病毒,它感染本地驱动器和网络驱动器上的PE格式文件,因为有网络传播能力,它以一个感染的工作站为基地,通过对当前用户写授权的网络资源进行传播。虽然FunLove病毒对数据没有直接的破坏性,但也会占用系统资源,降低运行速度。下面介绍手工清除方法:
Windows 9X系统上:
⒈断开网络,备份重要文件;
⒉将病毒生成的FLCSS.exe文件删除;
⒊用启动盘引导系统,在DOS下查找并清除。
Windows 2000/NT系统上:
若Windows 2000/NT系统的NTFS硬盘分区患有此毒,处理比较烦琐。因为使用DOS软盘引导后不认硬盘分区,所以无法杀毒。在患毒的Windows 2000/NT系统下又杀不干净病毒。
推荐消除方法为:
⒈断开网络,备份重要文件将,病毒生成的FLCSS.exe文件删除;
⒉将患毒的硬盘挂接在无毒的机器上作为从盘;
⒊用无毒的主盘引导机器后,查找并清除从盘中的病毒。
欢乐时光(Happytime)
“欢乐时光”(Happytime)是一个VB源程序蠕虫。它专门感染.htm、.html、.vbs、.asp和.htt文件。它作为电子邮件的附件,并利用Outlook Express的功能缺陷把自己传播出去。它利用一个被人们所知的Microsoft Outlook Express的安全漏洞,可以在你没有运行任何附件时就运行自己。它利用Outlook Express的信纸功能,使自己复制在信纸的Html模板上,以便传播。这和“Wscript.KakWorm”病毒很相似,当你发信出去时,“欢乐时光”的源病毒隐藏在HTML文件上。只要你在Outlook Express上预览了隐藏有病毒的HTML文件,甚至你都不用打开它,它就能感染你的电脑。
清除“欢乐时光”病毒方法:
⒈在C:WindowsWeb文件夹下,搜索文件和文件夹,名为“*.htt”;
⒉删除找到的文件;
⒊更改注册表,并删除键值: HKEY_CURRENT_USERSoftwareHelpCount HKEY_CURRENT_USERSoftwareHelp
FileName ;
⒋重新启动机器;
⒌升级IE到6.0。
I-Worm.BadTrans.II
“I-Worm.BadTrans.II”是一种蠕虫病毒,如果邮件Client程序上没有修补漏洞,只要读邮件,被设置了储藏键盘输入内容的特洛伊木马,就会通过邮件传播。该蠕虫病毒运行时,会将自己拷贝到Windows的System目录下,并命名为KERNEL32.EXE,并将它加到注册表HKLMSOFTWAREMicrosoftWindows
CurrentVersionRunOnce中,使自己能在下次Windows启动时运行。同时还会生成一个dll文件:KDLL.DLL,该文件是储藏输入键盘内容功能的特洛伊木马。
下面介绍手动清除方法:
Windows 9X系统上:
⒈按Alt+Shift+Ctrl 键,结束Kernel32.exe的进程;
⒉在 Windowssystem 下查找Kernel32.exe 、Kdll.dll文件并删除它们;
⒊删除注册表中HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunOnceKemel32=Kemel32.exe的主键。
Windows 2000/NT系统上:
⒈在Windows 2000/NT下结束进程 ;方法:按Alt+Shift+Ctrl 键出现任务管理器窗口,在进程选项中,查找Kernel32.exe文件,选中后结束程序进程;
⒉回到系统目录 WINNT
system32 删除文件Kernel32.exe和KDLL.dll;
(⒊删除注册表中HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunOnceKemel32=Kemel32.exe的主键;
最后,别忘了升级IE6.0。
尼姆达(Nimda)
在手工查杀尼姆达(Nimda)时,需注意不同的平台采取不同的方法。
对于Windows 98用户:
⒈打开进程管理器,查看进程列表,结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中xxx为任意文件名);
⒉切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;
⒊切换到系统的System目录,寻找大小为57344字节名称为Riched20.DLL的文件并删掉它;
⒋继续在系统的System目录下寻找名称为load.exe,删掉它;
⒌如果遇到Office运行异常,请将Windows 98安装目录下的压缩包内的RICHED20.DLL文件复制到C:windowssystem下,替换掉到原有的RICHED20.DLL文件;
⒍如发现C:盘共享,请打开共享文件夹管理,将共享“C$”去除;
⒎打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”;
⒏升级IE到6.0版本。
对于Windows2000 Professional/Server /Advanced server/ NT4 Server:
⒈首先安装IIS补丁及IE相应的最新补丁;
⒉将服务器隔离,断开所有网线;
⒊将IIS服务的Scripts目录中TFTP*.exe和ROOT.exe文件全部移除;
⒋当受到尼姆达病毒的入侵后,系统中会出现一些新的共享,如C、D等,应该将其共享属性去掉;
⒌另外,查看一下administrators组中是否加进了“guest”用户,如果是,请将guest用户从administrators组中删除;
⒍彻底清除Nimda病毒,查找与清除方式同Windows 98系统;
⒎恢复网络连接;
⒏如果按照以上步骤仍无法解决问题,说明IIS补丁安装有问题.请重新安装IIS补丁;
⒐如果用户服务器不提供Web服务,请将Web服务停止.,这样比较安全。
蠕虫Zoher
蠕虫Zoher病毒通过邮件传播,邮件的主题为Fw: Scherzo!,附件名称为:javascript.exe。
邮件内容为意大利文。该病毒的突出特点在于:此病毒会自动从http://banners.interfree.it/网站下载一个名为list.txt病毒文件,它会自动搜索本地邮件地址簿中的所有邮件地址,并按地址发送。
目前,list.txt文件的破坏性不是很强,市面上的最新版杀毒软件都可清除,最后一定不要忘了升级IE到6.0。
红色代码III
红色代码III是针对中文 Windows 操作系统的攻击性病毒,CodeRed III 与 CodeRed II 都将对简体中文/繁体中文 Windows 系统进行双倍的攻击。这里所介绍的清除方法对CodeRed II、CodeRed III型都有效,手动清除方法如下(如果不幸中了此病毒,应该立即关闭所有 80 端口的 Web 服务,避免病毒继续传播):
⒈清除的 Web 服务器中的两个后门文件C:Inetpubscripts oot.exe、C:progra~1common~1system MSADC
oot.exe。
⒉清除本地硬盘中C:explorer.exe 和 D:explorer.exe。先要杀掉进程explorer.exe,打开任务管理器,选择进程。检查是否进程中有两个“exploer.exe”。如果找到两个“exploer.exe”,说明木马已经在你的机器上运行了,在菜单中选择 查看 -> 选定列 -> 线程计数,按确定。这时会发现显示框中增加了新的一列“线程数”。检查两个“exploer.exe”, 显示线程数为“1”的“exploer.exe”就是木马程序。结束这个进程。删除掉C:exploer.exe和D:exploer.exe了,这两个程序都设置了隐藏和只读属性。需要设置“资源管理器”的查看->选项->隐藏文件为“显示所有文件”才能看到它们。
⒊清除病毒在注册表中添加的项目:HKLMSOFTWAREMicrosoft
WindowsNTCurrentVersionWinlogon,删除键值为0FFFFFF9Dh的SFCDisable 键,或将键值改为0。
⒋将HKLMSYSTEM
CurrentControlSetServicesW3SVC
ParametersVirtual RootsScripts键值由“,,217” 改为 “,,201”。
⒌将HKLMSYSTEM
CurrentControlSetServicesW3SVC
ParametersVirtual Rootsmsadc键值由“,,217” 改为 “,,201”。
⒍删除HKLMSYSTEM
CurrentControlSetServicesW3SVC
ParametersVirtual Roots键值为:C:,,217的主键。
⒎删除HKLMSYSTEM
CurrentControlSetServicesW3SVC
ParametersVirtual Roots键值为:D:,,217的主键;
⒏重新启动系统,以确保 CodeRed.v3 彻底清除。最后,不要忘了为操作系统打上最新的补丁。
笑哈哈Shoho
“笑哈哈”病毒,又名Worm.Shoho.110592,是一种基于Windows的常驻内存型病毒,通过E-mail方式传播,利用IE的漏洞自动执行,并向Microsoft Outlook 地址簿中的邮箱反复发送自身,造成邮箱堵塞,还会随机删除当前目录下的文件,造成系统启动困难。
下面介绍手工清除方法:
⒈选择“开始->运行”,输入Regedit命令,修改注册表文件;
⒉ 双击如下条目: HKEY_
LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun;
⒊在窗口右侧中寻找并删除如下项:WINL0G0N.EXE = “%windows% WINL0G0N.EXE” ;双击如下条目:
HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun ;
⒋在窗口右侧中寻找并删除如下项:WINL0G0N.EXE = “%windows%
WINL0G0N.EXE”;
⒌双击如下条目:HKEY_USER
DefaultSoftwareMicrosoft WindowsCurrentVersionRun;
⒍在窗口右侧中寻找并删除如下项:WINL0G0N.EXE = “%windows% WINL0G0N.EXE”,最后别忘了升级IE到6.0。
Sircam
手动清除方法:
⒈清空回收站,因为Sircam.sys文件将隐藏在回收站中 ;
⒉在DOS模式下打开Autoexec.bat文件,如果有“@win ecycledsirc32.exe”的字段则删除;
⒊更改注册表,将regedit.exe 改名为 regedit.com;
⒋进入dos模式,键入“copy regedit.exe regedit.com”;
⒌回到Windows模式,进入注册表编辑器,查找主键:HKEY_CLASSES
_ROOTexefileshellopencommand,删除其原有键值,并将其键值改为 “%1”%*,查找主键 HKEY_LOCAL_MACHINE
SoftwareSirCam 并将其删除,再查找主键HKEY_LOCAL_MACHINESoftware
MicrosoftWindowsCurrentVersion
RunServices,在其右侧的窗口中,如果有 Driver32. 则删除。
混客绝情炸弹
“混客绝情炸弹”是一种危害极大的新型病毒。它并不传播,只是将病毒做在网页内,当用户在不知情的情况下打开含病毒的网页,病毒就会发作。爆发现象有多种,如修改IE默认主页、关机直至破坏系统、格式化硬盘等。由于这种病毒是在异地对本地客户机进行破坏,所以一般的防火墙很难对它进行有效的防范。同时反病毒专家告诫用户,陌生人介绍的网站一定要谨慎登录。
下面介绍手工清除方法:
⒈清除以下键值HKCUSoftware
MicrosoftInternet ExplorerMainStart Page;
⒉删除以下键HKLMSoftware
MicrosoftInternet Explorer MainWindow TitleHKCUSoftware MicrosoftInternet Explorer MainWindow Title;
⒊删除以下主键(包括子键)
HKCUSoftwareMicrosoftWindows
CurrentVersionPoliciesExplorer
HKCUSoftwareMicrosoftWindows
CurrentVersionPoliciesSystem
HKCUSoftwareMicrosoftWindows
CurrentVersionPoliciesWinOldApp
HKLMSoftwareMicrosoftWindows
CurrentVersionWinlogon;
⒋最后自己手工清除收藏夹中的连接。
死者Goner
“死者Goner”是一种典型的网络蠕虫病毒,主要有三种传播方式:
⒈通过Outlook电子邮件地址簿向用户发送带有蠕虫病毒附件文件的邮件;
⒉通过IRC聊天工具传送病毒文件,插入mIRC SCRIPT脚本使染毒机器可以用来进行DDOS攻击;
⒊通过ICQ聊天程序,判断ICQ的版本,如果版本正确则将自身发给在线的网友。
采用手动方式清除:
⒈在纯DOS模式下,键入:CD WINNTSYSTEM或在Windows的系统目录,键入:DEL GONE.SCR,删除gone.scr文件;
⒉接着回到Windows,启动注册表编辑器,HKEY_LOCAL_MACHINE
SoftwareMicrosoftWindowsCurrentVersion
Run,删除其中名称中含有“gone.scr”的键值;
⒊删除mIRC目录中的REMOTE32.INI 文件;
⒋删除MIRC.INI文件,用以前的备份文件中恢复该文件;
⒌重新启动系统。
中国黑客
“中国黑客”病毒主要危害体现在四个方面:
⒈跨系统性:此病毒做了两套不同的感染机制,可以分别在Windows 9X系列和Windows NT系列的操作系统中正确运行;
⒉智能性:在Windows 9X系列操作系统中,此病毒可以获得系统的最高权限,并采用双线程机制,用一个系统级别更高的母线程监视跟踪另一个子线程的运行,当母线程发现子线程被杀掉时,它会马上再产生出一个子线程,继续在内存中活动,造成大部分杀毒软件失效;
⒊隐蔽性:在Windows NT系列操作系统中,由于任何病毒都无法进入核心态,此病毒则将自己的病毒线程注入到浏览器(Explorer.exe)的内存进程空间中,这样一般用户都无法看到病毒进程,也就无法发现此病;
⒋自动性:此病毒生成的EML文件利用了Outlook的漏洞,在用户预览邮件的情况下都可发现;
⒌强传播性:可以利用局域网上的共享文件夹进行传染,其传播特点类似“尼姆达”病毒,因此对于某些不具备全网同时杀毒功能的杀毒软件时,将意味着不拔掉网线,在网络环境下,根本无法彻底清除该病毒。另外,此病毒还可以通过寻找用户邮件地址簿向外乱发邮件,从Internet网上进行广泛传播。
对于这种新型病毒,目前可以到下面的网址下载专杀工具:
http://www.iduba.net/download/othertools/Duba_RunOuce.EXE和
http://www8.pconline.com.cn/download/download.phtml?id=92891。
文章转载地址:http://www.365master.com/kt_article_show.php?article_id=1423&categ_code=10041003