十大流行病毒手工删除法
高波和瑞波高波: Backdoor/Agobot.** “高波”主要利用网络弱密码共享进行传播的后门程序。该后门程序还
可利用微软DCOM RPC漏洞提升权限,允许黑客利用IRC通道远程进入用户计算机。该程序运行后,程序文
件自我复制到系统目录下,并修改注册表,以实现程序的开机自启。开启黑客指定的TCP端口。连接黑客
指定的IRC通道,侦听黑客指令。
瑞波:该病毒经过多层压缩加密壳处理,可以利用多种系统漏洞进行传播,感染能力很强。中毒计算
机将被黑客完全控制,成为"僵尸电脑"。由于此病毒会扫描感染目标,因此可以造成局域网拥堵。
高波:
第一种
1、自动清除:断开网络,升级杀毒软件对电脑进行全盘扫描。
2、高波手工清除:打好微软MS03-007、MS03-026、MS04-011、MS04-031补丁,在系统目录下找到病
毒文件名为Medman.exe,并将其删除。
第二种
1、进入任务管理器,结束winaii.exe和netlink32.exe进程,然后打开资源管理器,进入
c:windowssystem32目录,查找winaii.exe和netlink32.exe两文件,将其删除。在系统启动项目(开始>
运行>msconfig进入)中去掉其相应的加载启动项。然后安装杀毒软件,升级病毒库后进行杀毒。接着安装
相应windowsXP或windows2000的补丁程序,重启系统。
2、如果按如上的方法不能清除病毒,可以从安全模式下进行处理,方法如下:在安全模式下,打开
注册表,在“编辑”中“查找”“winaii.exe”和“netlink32.exe”,删除找到的“winaii.exe”和
“netlink32.exe”项目。查看windowssystem32目录下是否有winaii.exe和netlink32.exe这两个文件,
有则删除。最后杀毒、打补丁并重启计算机。
3、该病毒具有密码库,能够破解机子的一些较简单的密码(密码仅包含数字或26个字母称为简单密码
),尤其是对于windows2000系统,往往刚杀完病毒后又染上该病毒了。所以建议在杀毒的过程中最好断开
网络连接,确定杀完病毒和打好补丁(MS03-007、MS03-026、MS04-011、MS04-031补丁)后,为机子重设一个复杂的密码(密码包含问号,点号等特殊符号)。
瑞波:
手工清除:在系统目录下找到病毒文件msxml32.exe,在注册表中找到键值msxml32.exe,将其删除。
打上微软MS03-007、MS03-026、MS04-011、MS04-031四个漏洞补丁
四、“CHM木马”
病毒名称:Exploit.MhtRedir
病毒中文名:“CHM木马”
病毒类型:木马、脚本
危险级别:★★
影响平台:Windows98/ME/NT/2000/XP/2003
描述:
利用IE浏览器MHTML跨安全区脚本执行漏洞(MS03-014)的恶意网页脚本,
自从2003年以来,一直是国内最为流行的种植网页木马的恶意代码类型,
2005年下半年,泛滥趋势稍有减弱,2006年上半年的感染数量仍然很大,
没有短期内消亡的迹象。
手工清除方法:
打上微软MS03-014和MS04-023系统漏洞补丁,找到以下病毒和配置文件并将其删除:
%SystemDir%dllcachepk.bin,3680字节,病毒配置文件
%SystemDir%dllcachephantom.exe,393216字节,病毒程序
%SystemDir%dllcachekw.dat,803字节,病毒配置文件
%SystemDir%dllcachephantomhk.dll,8704字节,病毒模块
%SystemDir%dllcachephantomi.dll,215040字节,病毒模块
%SystemDir%dllcachephantomwb.dll,40960字节,病毒模块
在注册表中定位到键值,并将该键值删除:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]"Phantom"=%SystemDir%
dllcachephantom.exe
五、“QQ大盗”
病毒名称:Trojan/QQPass
病毒中文名:“QQ大盗”
病毒类型:木马
危险级别:★
影响平台:Win9X/2000/XP/NT/Me
描述:Trojan/QQPass.ak是用Delphi编写并经过压缩的木马,用来窃取游戏"传奇"信息。
传播过程及特征:
1.创建下列文件:
%System%winsocks.dll,91136字节
%Windir%intren0t.exe,91136字节
2.修改注册表:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Intren0t"=%Windir%intren0t.exe
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]"Intren0t"=%
Windir%intren0t.exe
这样,在Windows启动时,病毒就可以自动执行。
注:%Windir%为变量,一般为C:Windows或C:Winnt;%System%为变量,一般为C:WindowsSystem
(Windows95/98/Me),C:WinntSystem32(WindowsNT/2000),或C:WindowsSystem32(WindowsXP)。
手工清除:
在系统目录找到病毒文件winsocks.dll和intren0t.exe,并将其删除。打开注册表并定位到以下键值
,将键值删除:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"Intren0t"=%Windir%intren0t.exe
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]
"Intren0t"=%Windir%intren0t.exe 现在没有这么容易就搞定的哈~~~~~~~~~~你删了双击立马就又生成了。和病毒斗 ,要有心,有胆,有时间。。。。。。。。。
页:
[1]