设为首页收藏本站 官方微信

创幻股票

 找回密码
 注册

扫一扫,访问微社区

楼主: 幸运的西瓜

[安全相关] 各类常见病毒解决办法。不断更新中。。[注明转载收集]

[复制链接]
 楼主| 发表于 2007-8-9 00:51 | 显示全部楼层
AUT0CHK.PIF Rpcs.exe wmid.exe IEXPLORE.Sys IEXPLORE.Dat svrhost.exe Kernel32.exe kl.exe

案例来源:http://forum.xilu.com/msg/peaset/f/173.html
这是一堆超级超级变态的病毒,隐藏进程5个,连接网络下载病毒程序到本地执行,因此,清除过程必须严谨,请看清楚后再操作。

一、准备工作:
SRE的下载和使用方法见和IceSword下载和使用方法见楼上都已说明。

_____________________________________________________________________

二、清除步骤:
1、关闭系统还原(Win2000系统可以忽略):右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
    清除IE的临时文件:打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、用IceSword禁止进程创建:文件——设置——勾选“禁止进程创建”。

3、用IceSword结束所有红色的隐藏进程。

4、用SRE删除以下注册表项(如果有的话):

<rffeuv><C:\DOCUME~1\Skunk\LOCALS~1\Temp\servicer.exe>
<load><C:\WINDOWS/system32/AUT0CHK.PIF>
<CoolSwitch><C:\WINDOWS\system32\taskswitch.exe>
<Cmaudio><RunDll32 cmicnfg.cpl,CMICtrlWnd>
<Hupoo><"C:\WINDOWS\system32\Hupoo.exe " >
<ltnward><C:\WINDOWS\system32\ltnward.exe>
<svrhost><C:\WINDOWS\system32\svrhost.exe>
<kernel32><C:\WINDOWS\Kernel32.exe>
<><C:\Program Files\Common Files\Microsoft Shared\MSClientDataMgr\MsInfo.Dll>
<><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys>
<><C:\Program Files\Internet Explorer\IEXPLORE.Sys>  
<><C:\Program Files\Internet Explorer\IEXPLORE.Dat>
<><C:\Program Files\Internet Explorer\IEXPLORE.win>

5、用SRE删除以下服务项(如果有的话):

Cryptographic Machine / ClipArt
DCOM Server Process Launher / DC0r
Microsoft Update Service / BRGNS2
sdffgcb24345 / dsfg3
Windows Management Instrumentation Driver / WMID
Remote Procedure Call System(RPCS) / RpcS
Remote Procedure Call System(RPCS1) / RpcS1

6、用SRE删除以下驱动项(如果有的话):

00 / 00
sptd / sptd
bffcdeig / bffcdeig
caibbgif / caibbgif
paraudio / paraudio
vaxscsi / vaxscsi
WINIO / WINIO

7、用SRE删除以下BHO(如果有的话):

IEMonitor Class

8、用IceSword删除以下文件或者文件夹(如果有的话):

C:\WINDOWS\system32\kl.exe
C:\WINDOWS\system32\s3fvod.exe
C:\WINDOWS\SYSTEM32\WBEM(这个文件夹全删)
C:\WINDOWS\system32\wmid.exe
C:\WINDOWS\system32\Rpcs1.exe
C:\WINDOWS\system32\Rpcs.exe
C:\Program Files\DeskAdTop (这个文件夹全删)
C:\WINDOWS\System32\drivers\9024781.sys
C:\WINDOWS\system32\drivers\bffcdeig.sys
C:\WINDOWS\system32\drivers\caibbgif.sys
C:\WINDOWS\system32\drivers\paraudio.sys
C:\WINDOWS\System32\Drivers\sptd.sys
C:\WINDOWS\System32\Drivers\vaxscsi.sys
E:\Tencent\253396804\MyRecvFiles\winio.sys
C:\DOCUME~1\Skunk\LOCALS~1\Temp\TmpD.tmp.rom
C:\DOCUME~1\Skunk\LOCALS~1\Temp\servicer.exe
C:\WINDOWS/system32/AUT0CHK.PIF
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\Hupoo.exe
C:\WINDOWS\system32\ltnward.exe
C:\WINDOWS\system32\svrhost.exe
C:\WINDOWS\Kernel32.exe
C:\WINDOWS\system32\cmicnfg.cpl
C:\Program Files\Common Files\Microsoft Shared\MSClientDataMgr\MsInfo.Dll
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\Program Files\Internet Explorer\IEXPLORE.Sys
C:\Program Files\Internet Explorer\IEXPLORE.Dat
C:\Program Files\Internet Explorer\IEXPLORE.win
C:\WINDOWS\system32\drivers\etc\hosts (这个文件被病毒利用来屏蔽百度搜索)
C:\WINDOWS\System32\drivers\(这个目录里的凡是以纯数字命名的文件全删)
—————————————————————————————————————


最后重新启动电脑。病毒就被搞定了!
-------------------------------------------------------------------------------------------------------------------------------

出处:http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 02:21 编辑 ]
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-8-9 00:51 | 显示全部楼层
SVCH0ST.EXE yqr.exe mhso.exe TIMPLATF0RM.exe wgs3.exe Updaterun.exe IEINFO5.sys isignup.sys

案例来源:http://hi.baidu.com/ceci44399258 ... a7b12e06088bf3.html

SRE的下载和使用方法见和如何查看隐藏文件和unlocker的下载和使用方法见楼上都说了。
_______________________________________________________________________________

首先,清除IE的临时文件:打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。


用SRE删除以下注册表项:
<ravshell><C:\WINDOWS\system32\SVCH0ST.EXE>
<svc><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\yqr.exe>
<mhsa><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso.exe>
<upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\TIMPLATF0RM.exe>  
<wgs3><C:\WINDOWS\wgs3.exe>
<mppdys><C:\WINDOWS\mppdys.exe>
<cmdbcs><C:\WINDOWS\cmdbcs.exe>  
<msccrt><C:\WINDOWS\msccrt.exe>  
<wsttrs><C:\WINDOWS\wsttrs.exe>
<twin><C:\WINDOWS\system32\twunk32.exe>  
<System><C:\Program Files\Common Files\System\Updaterun.exe>
<{5D06580A-08EB-4DD0-8425-DDBB5198B30C}><C:\Program Files\Common Files\Microsoft Shared\MSInfo\IEINFO5.sys>
<{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys>

用SRE删除以下服务项:

DNS Cache / BRGNS
Help and Support / helpsvc
NetMeeting Remote Desktop Sharing / mnmsrvc
SmartLinkService / SLService

用SRE删除以下驱动项:

Amt Packet / Amt
ikff / ikffk
Mtlstrm / Mtlstrm
NtMtlFax / NtMtlFax

用unlocker删除以下文件或者文件夹:

C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE
C:\WINDOWS\SYSTEM32\WBEM\FYYPH.DLL
C:\WINDOWS\system32\mnmsrvc.exe
C:\WINDOWS\wgs3.exe
C:\WINDOWS\mppdys.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\System32\Amt.sys
C:\WINDOWS\system32\DRIVERS\Mtlstrm.sys
C:\WINDOWS\system32\DRIVERS\NtMtlFax.sys
C:\WINDOWS\system32\twunk32.exe
C:\WINDOWS\System32\DRIVERS\ikffk.sys
C:\Program Files\Common Files\System\Updaterun.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xrc.dll  
C:\WINDOWS\system32\mppdys.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\msccrt.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wgs0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\oyxvy.dll
C:\WINDOWS\system32\SVCH0ST.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\yqr.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhso.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\TIMPLATF0RM.exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\IEINFO5.sys
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
——————————————————————————————————————————
最后重新启动电脑。病毒就被搞定了!

出处:http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 02:24 编辑 ]
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-8-9 00:51 | 显示全部楼层
LgSy0.dll LgSy1.dll Rav20.dll iexpl0re.exe rundl132.exe winlog0n.exe病毒清除办法

清除步骤:
1、关闭系统还原(Win2000系统可以忽略):右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
       清除IE的临时文件:打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、开始--运行--regedit,打开注册表,点注册表中的"我的电脑"—>点"编辑"—>查找,输入winlog0n.exe ,找到的项目就点右键--删除,按F3继续,直到查找完毕.
(用同样的方法查找并删除iexpl0re.exe 和 rundl132.exe )

3、显示“受保护的操作系统文件”
     使用unlocker删除以下文件:
      C:\DOCUME~1\用户名\LOCALS~1\Temp\Rav20.dll
      C:\DOCUME~1\用户名\LOCALS~1\Temp\LgSy0.dll
      C:\DOCUME~1\用户名\LOCALS~1\Temp\LgSy1.dll
      C:\DOCUME~1\用户名\LOCALS~1\Temp\iexpl0re.exe
      C:\DOCUME~1\用户名\LOCALS~1\Temp\rundl132.exe
      C:\DOCUME~1\用户名\LOCALS~1\Temp\winlog0n.exe

4、重启计算机,病毒清除完毕。

出处:http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 02:26 编辑 ]
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-8-9 00:51 | 显示全部楼层
LgSy0.dll cmdbcs.dll Kernel32.exe iexpl0re.exe c0nime.exe servicer.exe SystemKb.sys NewInfo.rxk

案例来源:http://forum.xilu.com/msg/peaset/f/64.html

清除步骤:
SRE的下载和使用方法见和如何查看隐藏文件和unlocker的下载和使用方法见楼上的已说明。
__________________________________________________________________________________

首先,清除IE的临时文件:打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

用SRE删除以下注册表项:(如果有的话)
<ji25qq8sjgt><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c0nime.exe>
<byjz6><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\servicer.exe>
<sig><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe>
<CameraFixer><C:\WINDOWS\CameraFixer.exe>
<tsnpstd3><C:\WINDOWS\tsnpstd3.exe>  
<snpstd3><C:\WINDOWS\vsnpstd3.exe>
<kernel32><C:\WINDOWS\Kernel32.exe>
<><C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk>
<><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys>
<><c:\program files\rising\rfw\tpjauwzn.dll>

用SRE删除以下驱动项:(如果有的话)
mhqgqhrh / mhqgqhrh
3294587 / 3294587

用unlocker删除以下文件或者文件夹:(如果有的话)
SystemRoot\\SystemRoot\System32\drivers\mhqgqhrh.sys
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c0nime.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\servicer.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\Kernel32.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~TmD.tmp.rom
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Qqzo0.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\cmdbcs.exe
——————————————————————————————————————————
最后重新启动电脑。病毒就被搞定了!

出处:http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 02:28 编辑 ]
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-8-9 00:51 | 显示全部楼层
Ghook.dll svchost.exe病毒清除办法

病毒名称:Win32.PswTroj.Cabal.*
病毒别名:Infostealer.Perfwo
病毒文件:Ghook.dll svchost.exe
病毒行为:   这是一个游戏木马,盗取网络游戏“惊天动地”及“完美国际”等的帐号信息。

清除步骤:
1、用unlocker删除类似于C:\SysDayN6这样的文件夹:例如C:\Syswm1i、C:\SysAd5D等等,这些文件夹有个共同特点,就是名称为 Sys*** (***是三到五位的随机字母),这样的文件夹有几个就删几个。

2、开始——运行——输入“regedit”——打开注册表,展开注册表到以下位置:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

删除右边所有用纯数字为名的键,如
                        <66><C:\SysDayN6\svchost.exe>
                         <333><C:\Syswm1i\svchost.exe>
                         <50><C:\SysAd5D\svchost.exe>
                         <4><C:\SysWsj7\svchost.exe>

3、重新启动计算机,病毒清除完毕。
------------------------------------------------------------------------------------------------------------------------------

出处:http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 02:31 编辑 ]
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-8-9 00:51 | 显示全部楼层
608769M.BMP crasos.exe Kernelmh.exe servet.exe ntmsoprq.exe RpcS.exe compmgmt.exe病毒

案例来源:http://forum.xilu.com/msg/peaset/f/41.html

病毒文件包括:608769M.BMP crasos.exe Kernelmh.exe servet.exe ntmsoprq.exe RpcS.exe compmgmt.exe upxdnd.dll mppds.dll cmdbcs.dll wsttrs.exe prnmngr.exe iexpl0re.exe rundl132.exe update3.exe Servere.exe NewInfo.rxk

清除办法:
SRE的下载和使用方法和如何查看隐藏文件:和unlocker的下载和使用方法见楼上已说明。
__________________________________________________________________________________

首先,清除IE的临时文件:打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。


用SRE删除以下注册表项:
<cmdbcs><C:\WINDOWS\cmdbcs.exe>
<upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\update3.exe>
<mppds><C:\WINDOWS\mppds.exe>
<twin><C:\WINDOWS\system32\twunk32.exe>
<><C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk>
<compmgmt><; C:\WINDOWS\system32\compmgmt.exe>
<iz46z07lw><; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\crasos.exe>
<kernelmh><; C:\WINDOWS\Kernelmh.exe>
<ntmsoprq><; C:\WINDOWS\system32\ntmsoprq.exe>
<qt3ii85kvbfc><; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Servere.exe>
<scrnsave><; C:\WINDOWS\system32\prnmngr.exe>
<upxdnd><; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\update3.exe>
<viq88><; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe>
<wsttrs><; C:\WINDOWS\wsttrs.exe>
<yi4jgw1ff><; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe>  

用SRE修复以下注册表项:
    <AppInit_DLLs><608769M.BMP>

用SRE删除以下服务项:
Remote Procedure Call System(RPCS) / RpcS
Windows SystemDown / WindowsDown


用unlocker删除以下文件:
C:\WINDOWS\system32\mppds.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\compmgmt.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\crasos.exe
C:\WINDOWS\608769M.BMP
C:\WINDOWS\system32\servet.exe
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\system32\ntmsoprq.exe
C:\WINDOWS\Kernelmh.exe
C:\WINDOWS\system32\RpcS.exe
C:\WINDOWS\system32\prnmngr.exe
C:\WINDOWS\mppds.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Servere.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\update3.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk

——————————————————————————————————————————
最后重新启动电脑。病毒就被搞定了!


出处:http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 02:32 编辑 ]
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-8-9 02:34 | 显示全部楼层
winform.exe mppds.exe cmdbcs.exe upxdnd.exe svchost.exe Ghook.dll autorun.exe超级变态病毒

案例来源:http://forum.xilu.com/msg/peaset/f/5.html

解决办法:
首先,清除IE的临时文件:打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

用SRE删除以下注册表项:
<66><C:\SysDayN6\svchost.exe>
<Soltek><C:\WINDOWS\system32\autorun.exe>
<upxdnd><C:\DOCUME~1\laji\LOCALS~1\Temp\upxdnd.exe>
<NEWSHKLL><C:\WINDOWS\system32\wanmei.exe>    []
<realplayer><C:\WINDOWS\system32\moyu.exe>    []
<msccrt><C:\WINDOWS\msccrt.exe>
<stup.exe><C:\PROGRA~1\TENCENT\Adplus\stup.exe>
cmdbcs><C:\WINDOWS\cmdbcs.exe>    []
<winform><C:\WINDOWS\winform.exe>    []
<wsttrs><C:\WINDOWS\wsttrs.exe>    []
<mppds><C:\WINDOWS\mppds.exe>
<><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys>    []
<><C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk>  

用SRE修复以下注册表项:
<shell><explorer.exe C:\WINDOWS\system32\scrnsave.exe>  

用unlocker删除以下文件:
C:\SysDayN6\svchost.exe
C:\WINDOWS\system32\autorun.exe
C:\DOCUME~1\laji\LOCALS~1\Temp\upxdnd.exe
C:\WINDOWS\system32\wanmei.exe
C:\WINDOWS\msccrt.exe
C:\PROGRA~1\TENCENT\Adplus\stup.exe
C:\WINDOWS\cmdbcs.exe>  
C:\WINDOWS\winform.exe>
C:\WINDOWS\wsttrs.exe>  
C:\WINDOWS\mppds.exe>
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk
C:\WINDOWS\system32\rs.bin
c:\SysDayN6\Ghook.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\winform.dll
C:\DOCUME~1\laji\LOCALS~1\Temp\upxdnd.dll
C:\WINDOWS\system32\windowstools.exe
C:\WINDOWS\system32\wanmei.exe
C:\WINDOWS\system32\moyu.exe
C:\WINDOWS\system32\scrnsave.exe

—————————————————————————

最后重新启动电脑。病毒就被搞定了!

出处:http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 02:36 编辑 ]
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-8-9 02:36 | 显示全部楼层
病毒常用伎俩解决办法

解除禁用注册表

方法一:应用组策略

在“开始——运行”中输入gpedit.msc,〔确定〕后打开“组策略”窗口。在“组策略”的左窗口中依次找到“用户配置→管理模板→系统”分支,在右边的窗口中双击〔阻止访问注册表编辑工具〕,打开其属性对话框,并在设置中点选〔已禁用),然后〔应用〕并〔确定〕就可以了。现在,再在“开始-运行”中输入Regedit看看,是不是你的注册表编辑器又回来了?

方法二:

打开记事本,把下面两条虚线之间的内容复制进去,
--------------------------------------------------------------------
Set wso = CreateObject("WScript.Shell")
wso.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools,0,"REG_DWORD"
msgbox"修复成功!"
--------------------------------------------------------------------
另存为a.vbs 然后双击运行即可。


解决不能显示隐藏文件

打开记事本,把下面两条虚线之间的内容复制进去,

--------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
--------------------------------------------------------------------

保存文件名:“显示被隐藏的文件.REG”,(确保在“文件夹选项”中去掉“隐藏已知文件类型的扩展名”),双击运行此文件,再重新到“文件夹选项”中设置显示隐藏文件。

注意:如果上述方法无效,先检查CheckedValue的类型是否为REG_DWORD,如果不是则删掉“李鬼”CheckedValue(例如在本“案例”中,应该把类型为REG_SZ的CheckedValue删除)。然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”。

经过刚才一番操作,我的电脑里的隐藏文件可以看到了,假如上述方法无效,那么可能是

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden

的数据丢失或损坏,遇到这种情况,找一部没有问题的电脑,把

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden

这个分支导出(假如命名为1.reg);然后备份有问题的电脑的该注册表分支;最后把1.reg导入解决问题。

附:文件夹选项默认值:(XP系统,可以将以下文本保存为注册表文件导入注册表,以修复相关问题)

--------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
       00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
       48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
       00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
--------------------------------------------------------------------

任务管理器已被系统管理员停用

一、组策略”法,请按照下面步骤进行组策略操作:

1、点击『开始』菜单
2、点击“运行”并键入"gpedit.msc"(不包括双引号)后确定
3、在“组策略”中依次展开

"本地计算机"策略/用户配置/管理模板/系统/Ctrl+Alt+Del 选项

4、在该列表中打开 删除“任务管理器” 的属性
5、在 删除“任务管理器” 属性中的“设置”选项卡中点选“已禁用”或“未配置”单选项,确定。

注:该策略的效果为,“任务栏”上的右键菜单上的“任务管理器”呈不可点击状,而按下组合键Ctrl+Alt+Del之后会弹出题目为

“任务管理器”的对话框,内容是“任务管理器已被系统管理员停用”。

上述策略须在管理员帐户下操作
上述方法因需用到“组策略”,故该法适用于:
·Microsoft Windows XP Professional

二、“注册表”法,请按照下面步骤进行注册表编辑操作:

方法一:
1、点击『开始』
2、点击“运行”并键入"regedit"(不包括双引号)后确定
3、在“注册表编辑器”中依次展开

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\

在该注册表项下建立名为 System 的项(如在Policies分支下已有System项,则无须此步骤)
在 System 项下建立名为 DisableTaskMgr 的“字串符值”或者“DWORD值”,键值为0。

方法二:
打开记事本,把下面的内容保存成1.reg文件,然后双击导入恢复。
--------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskmgr"=dword:00000000
--------------------------------------------------------------------

无法删除所有指定的值——注册表权限问题

选择要删除的键,点击编辑-权限,在用户和组中添加你的用户名,并赋予它完全控制权限。

磁盘分区右键第一项为AUTO的解决办法(在已经不存在autorun.inf的条件下)

1、定位注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\,把C、D、E、F...项下面的分支全部删除;
2、定位注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers删除除EventHandlersDefaultSelection以外的其他分支。

[ 本帖最后由 幸运的西瓜 于 2007-8-9 04:05 编辑 ]
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-8-9 02:38 | 显示全部楼层
病毒wsctf.exe和explorer.exe 清除办法

打开资源管理器,发现这两个可恶的病毒wsctf.exe和explorer.exe 。一般杀毒软件并不能杀干净,它们的传播途径主要是移动硬盘,一般也不易察觉
试了很多方法,这个方法可能最有效

——按"Ctrl+Alt+Del"调出Windows任务管理器,结束掉EXPLORER.EXE进程,其中EXPLORER.EXE进程有两个,一个是系统的,一个是病毒的,系统的所在位置是"C:\WINDOWS”,病毒的所在位置是"C:\WINDOWS\system32",只需结束掉病毒的进程就行了。若不能区别两个进程,可以把两个进程都结束掉,然后再切换到——应用程序——新任务——浏览——选择"C:\WINDOWS"文件夹下的explorer.exe,然后打开、确定就可以重新启动系统的EXPLORER.EXE进程了

——结束掉wsctf.exe进程

——进入"C:\WINDOWS\system32"——工具——文件夹选项——查看——去掉“隐藏受保护的操作系统文件”前面的勾,在弹出的对话框中按“是”,然后再选择“显示所有文件和文件夹”——确定——删除掉文件夹里面的wsctf.exe和EXPLORER.EXE两个文件——按刚才的操作,重新隐藏系统文件

——开始——运行——输入regedit,按确定后打开注册表,进入HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run目录,右键删除掉wsctf.exe和EXPLORER.EXE两条记录。进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, 可以看到项Userinit,其内容为userinit.exe,EXPLORER.EXE,双击Userinit将中间的逗号和EXPLORER.EXE删除——确定

CODE
@echo off
color 0a
taskkill /fi "modules eq %windir%\system32\explorer.exe" /f
taskkill /fi "modules eq %windir%\system32\wsctf.exe" /f
taskkill /im explorer.exe /f
taskkill /im wsctf.exe /f
attrib -s -h -r %windir%\system32\explorer.exe
attrib -s -h -r %windir%\system32\wsctf.exe
del %windir%\system32\explorer.exe /q
del %windir%\system32\wsctf.exe /q
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t reg_sz /d "C:\WINDOWS\system32\userinit.exe," /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v EXPLORER.EXE /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v wsctf.exe /f
cls
echo
set /p over=该病毒清除完毕,请按回车显示桌面,然后关闭该窗口就可以了。
c:\windows\explorer.exe

以上内容粘贴到记事本,然后另存为.BAT文件,再运行就可以了

[ 本帖最后由 幸运的西瓜 于 2007-8-9 03:22 编辑 ]
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-8-9 02:38 | 显示全部楼层
QQ自动发送文件病毒解决方法

手动删除病毒

  1.查找进程rundll32.exe k掉

  2.如果有 .exe(注意是一个特殊字符不是空格)进程,k掉

  3.定位[HKEY_LOCAL_MACHINESOFTWAREClasses xtfileshellopencommand]

  改默认键值为 `notepad %1` (注意前面没有那个类似于空格的特殊字符)

  4.定位 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command

  改默认键值为 `%1` %* (注意前面没有那个类似于空格的特殊字符)

  5.定位[HKEY_LOCAL_MACHINESOFTWARE\TENCENT\QQ]

  得到你的qq目录,再转到你的qq目录下

  可发现 有两个文件

  TIMPlatform.exe

  TIMP1atform.exe (注意是1不是L)

  删除TIMPlatform.exe(病毒,为winrar图标),把TIMP1atform.exe改名为TIMPlatform.exe

  6.病毒文件删除,下面是要删除的病毒文件(都为winrar图标),假设windows目录为c:winnt

  c:winntsystem undll32.exe

  c:winntsystem32?.exe

  c:winntsystem32 otepad?.exe

  *为你的系统打上此病毒`补丁`*

  打此补丁后以后不会再中此病毒

  定位注册表项(没有则新建)

  HKEY_LOCAL_MACHINESOFTWAREClassesMSipv

  添加一键值

  MainVer 类型为REG_DWORD,值为ffffffff(16进制)

  病毒启动判断状态参数完毕后会查询此值,如当前版本值比它小则会弹出个对话框就退出。

[ 本帖最后由 幸运的西瓜 于 2007-8-9 03:24 编辑 ]
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-8-9 02:38 | 显示全部楼层
针对插入式木马的清除方法

 目前网络上最猖獗的病毒估计非木马程序莫数了,现在的木马攻击性越来越强,在进程隐藏方面,很少采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等,这些木马也是目前最难对付的。现在教你查找和清除线程插入式木马。

  一、通过自动运行机制查木马

  一说到查找木马,许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”,具体的地方一般有以下几处:

  (1)注册表启动项

  在“开始/运行”中输入“regedit.exe”打开注册表编辑器,依次展开

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\] 和

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]

  查看下面所有以Run开头的项,其下是否有新增的和可疑的键值,

  也可以通过键值所指向的文件路径来判断,是新安装的软件还是木马程序。另外

  [HKEY_LOCAL_MACHINE\Software\classes\exefile\shell\open\command\]

  键值也可能用来加载木马,比如把键值修改为“X:\windows\system\ABC.exe %1%”。

  (2)系统服务

  有些木马是通过添加服务项来实现自启动的,大家可以打开注册表编辑器,在

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunserviCES]

  下查找可疑键值,并在

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]

  下查看的可疑主键。然后禁用或删除木马添加的服务项:在“运行”中输入“Services.msc”打开服务设置窗口,里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找到木马所启动的服务,双击打开它,把启动类型改为“已禁用”,确定后退出。也可以通过注册表进行修改,依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服务显示名称”键,在右边窗格中找到二进制值“Start”,修改它的数值数,“2”表示自动,“3”表示手动,而“4”表示已禁用。当然最好直接删除整个主键,平时可以通过注册表导出功能,备份这些键值以便随时对照。

  (3)开始菜单启动组

  现在的木马大多不再通过启动菜单进行随机启动,但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项,可以右击它选择“查找目标”到文件的目录下查看一下,如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看,它的位置为

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]

  键名为Startup。
  (4)系统INI文件Win.ini和System.ini

  系统INI文件Win.ini和System.ini里也是木马喜欢隐蔽的场所。选择“开始/运行”,输入“msconfig”调出系统配置实用程序,检查Win.ini的[Windows]小节下的load和run字段后面有没有什么可疑程序,一般情况下“=”后面是空白的;还有在System.ini的[boot]小节中的Shell=Explorer.exe后面也要进行检查。

  (5)批处理文件

  如果你使用的是Win9X系统,C盘根目录下“AUTOEXEC.BAT”和WINDOWS目录下的“WinStart.bat”两个批处理文件也要看一下,里面的命令一般由安装的软件自动生成,在系统默认会将它们自动加载。在批处理文件语句前加上“echo off”,启动时就只显示命令的执行结果,而不显示命令的本身;如果再在前面加一个“@”字符就不会出现任何提示,以前的很多木马都通过此方法运行。

  二、通过文件对比查木马

  新出现的木马主程序成功加载后,会将自身做为线程插入到系统进程中,然后删除系统目录中的病毒文件和病毒在注册表中的启动项,以使反病毒软件和用户难以查觉,然后它会监视用户是否在进行关机和重启等操作,如果有,它就在系统关闭之前重新创建病毒文件和注册表启动项。下面的几招可以让它现出原形(下面均以Win XP系统为例):

  (1)对照备份的常用进程

  大家平时可以先备份一份进程列表,以便随时进行对比查找可疑进程。方法如下:开机后在进行其他操作之前即开始备份,这样可以防止其他程序加载进程。在运行中输入“cmd”,然后输入“tasklist /svc >X:\proCESslist.txt”(提示:不包括引号,参数前要留空格,后面为文件保存路径)回车。这个命令可以显示应用程序和本地或远程系统上运行的相关任务/进程的列表。输入“tasklist /?”可以显示该命令的其它参数。

  (2)对照备份的系统DLL文件列表

  对于没有独立进程的DLL木马怎么办吗?既然木马打的是DLL文件的主意,我们可以从这些文件下手,一般系统DLL文件都保存在system32文件夹下,我们可以对该目录下的DLL文件名等信息作一个列表,打开命令行窗口,利用CD命令进入system32目录,然后输入“dir *.dll>X:\listdll.txt”敲回车,这样所有的DLL文件名都被记录到listdll.txt文件中。日后如果怀疑有木马侵入,可以再利用上面的方法备份一份文件列表“listdll2.txt”,然后利用“UltraEdit”等文本编辑工具进行对比;或者在命令行窗口进入文件保存目录,输入“fc listdll.txt listdll2.txt”,这样就可以轻松发现那些发生更改和新增的DLL文件,进而判断是否为木马文件。

  (3)对照已加载模块

  频繁安装软件会使system32目录中的文件发生较大变化,这时可以利用对照已加载模块的方法来缩小查找范围。在“开始/运行”中输入“msinfo32.exe”打开 “系统信息”,展开“软件环境/加载的模块”,然后选择“文件/导出”把它备份成文本文件,需要时再备份一个进行对比即可。

  (4)查看可疑端口

  所有的木马只要进行连接,接收/发送数据则必然会打开端口,DLL木马也不例外,这里我们使用netstat命令查看开启的端口。我们在命令行窗口中输入“netstat -an”显示出显示所有的连接和侦听端口。Proto是指连接使用的协议名称,Local ADDRess是本地计算机的IP地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的IP地址和端口号,State则是表明TCP连接的状态。Windows XP所带的netstat命令比以前的版本多了一个-O参数,使用这个参数就可以把端口与进程对应起来。输入“netstat /?”可以显示该命令的其它参数。接着我们可以通过分析所打开的端口,将范围缩小到具体的进程上,然后使用进程分析软件,例如卡卡助手和瑞星个人防火墙。

[ 本帖最后由 幸运的西瓜 于 2007-8-9 03:26 编辑 ]
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-8-9 02:38 | 显示全部楼层
流氓网站8749,7255,4318专杀工具

专杀工具下载地址:
http://220.165.9.61/zhuansha.exe


【专杀工具使用指南】

  方法一:在未感染该病毒的机器上下载本专杀工具,拷贝至U盘,插入已感染的机器中进行查杀,查杀完成后使用
                360安全卫士IE修复功能修复首页

  方法二:在已感染该病毒的机器上使用firefox浏览器访问360安全卫士网站,通过IP方式下载专杀工具进行查杀,        
                查杀完成后使用360安全卫士IE修复功能修复首页

注意:如果使用专杀工具后仍无法删除该流氓网站,请使用系统诊断工具(http://220.165.9.61/CheckTool.rar),
         

【8749,7255,4318流氓网站简介】

      8749主要通过网页漏洞进行传播,并且监控用户的行为,当用户在浏览器中输入"360safe"、"安全卫士"等字样,浏览器就被自动关闭,使得用户无法使用360安全卫生进行查杀。

      "8749"运行大约20分钟左右用户的主页就会被修改成8749.com 或 7255.com。并且如果存在qq的情况下,8749将会下在一份 rasadhlp.dll 文件到 qq的目录下,导致网民在启动QQ时会一并激活8749。由于其对于自身有多种保护手段,无怪乎网民用"小强"、"蟑螂"、"牛皮糖"之类的词来比喻此恶意软件之顽固、难缠。更甚至于有部分网友惊呼为"最强恶意程序"。

具体表现如下:

1.IE首页被篡改为8749.com,7255.com,4318.com

2.无法访问任何安全站点:

例如“专”和“杀”两个汉字不能在一起出现 ,一起就会关闭,打空格、干扰码都不行
程序、网页等的标题或内容中含有“360”、“ 杀毒”、“ AV” 、“ 终结者”、“金山”、“江民”、“卡巴”、“瑞星”、“专杀”、“安全”、“杀毒”等词语在标题出现的 就会被关闭窗体所对应的进程。

3.安全模式注册表被破坏 无法进入安全模式,随机名进入QQ目录 植入DLL文件 用于重生
***温馨提示:部分用户的7255.com/?g为首页的可能是 “飘雪变种”,
请尝试飘雪专杀点击下载:http://dl.360safe.com/pxzs.exe

[ 本帖最后由 幸运的西瓜 于 2007-8-9 03:33 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-8-9 02:39 | 显示全部楼层
修改系统时间病毒专杀工具




[ 本帖最后由 幸运的西瓜 于 2007-8-9 03:37 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-8-9 02:39 | 显示全部楼层
“AV终结者”中毒后5步解决方案-以及专杀工具下载[中毒电脑上网看此文]屏蔽毒字

症状如下:
1. 禁用所有杀du软件以相关安全工具,让用户电脑失去安全保障;

2. 破坏安全模式,致使用户根本无法进入安全模式清除病du;

3. 强行关闭带有病du字样的网页,只要在网页中输入“病du”相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法;

4. 格式化系统盘重装后很容易被再次感染。用户格式化后,只要双击其他盘符,病du将再次运行。

解决方法和步骤

第1步:打上浏览器补丁,彻底远离和禁止“AV终结者”
下载Firefox,Firefox已经集成了“AV终结者”病DU的补丁,
下载火狐后安装并运行一次,自动安装此病DU补丁。以后用这上网将不会再感染该病DU。
同时因为此病DU破坏了IE浏览器,输入些关键字被屏蔽,
请使用火狐浏览器下载专SHA工具,点此免费下载:http://cn.91fox.cn/down.htm

第2步:下载这个“AV终结者”专杀的工具。 附件:


第3步:在正常的电脑上禁止自动播放功能,避免插入U盘或移动硬盘而被病du感染。
[
关闭Windows自动播放功能、防范ARP病毒攻击的解决办法:
1.使用组策略编辑器
点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击"关闭自动播放",对话框中选择所有驱动器,确定即可。
]


把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中du的电脑上。

第4步:执行AV终结者专杀工具,清除已知的病du,修复被破坏的系统配置。

第5步:不要立即重启电脑,然后启动杀du软件,升级病du库,进行全盘扫描。以清除木马下载器下载的其它病du。

[ 本帖最后由 幸运的西瓜 于 2007-8-9 03:49 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
回复 支持 反对

使用道具 举报

 楼主| 发表于 2007-8-9 02:39 | 显示全部楼层
Exploit.Win32.IMG-ANI.x这个病毒的专杀清除方法

近日,一名为ANI漏洞的蠕虫病毒非常活跃(现已被国家计算机病毒应急处理中心统一命名为"艾妮")。一时间,媒体争先报道,很多用户也纷纷中招,但大家都很困惑,不知道感染了这个病毒后究竟该如何处理?虽然网络上关于这个病毒的文章很多,但大多数都停留在介绍病毒阶段,即使涉及到解决方案也只有简单几句,对那些感染该病毒的用户也只是杯水车薪。

  金山毒霸反病毒工程师李铁军在自己的博客里详细地介绍了该病毒的预防及解决方案,希望能够对已经感染该病毒的用户有所帮助!

  下面具体介绍下这个"艾妮"(ANI)蠕虫病毒

  病毒名:艾妮(别名,麦英、ANI蠕虫)
  英文名:MyInfect.af/DlOnlineGames/Trojan-Downloader.Win32.Agent.bky

  技术分析
  1、释放病毒文件到如下路径:
  %SYSTEM%\sysload3.exe

  2、修改注册表,添加如下键值:
  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  "System Boot Check"="C:\WINDOWS\system32\sysload3.exe"

  3、起IE进程,注入病毒代码,连接网络下载大量病毒、木马程序,当发现病毒新版本时,会下载更新。

  4、发送邮件传播自身:

  主题:你和谁视频的时候被拍下的?给你笑死了!
  内容:看你那小样!我看你是出名了!
  你看这个地址!你的脸拍的那么清楚!你变明星了!

  5、起NOTEPAD进程,便利本地磁盘,网络共享目录,感染大小在10K---10M之间的.exe文件,感染扩展名为.ASP、.JSP、PHP、HTM、ASPX、HTML的脚本文件,使病毒难以被察觉。

  6、修改host文件,屏蔽访问某些网站

  7、检测软驱,若存在则复制病毒文件到其中文件名为tool.exe,并生成autorun.inf文件,使病毒可以自动运行,以传播自身。
  这个应该是病毒编写的BUG,目前软驱已经基本被淘汰了,如果发现以下提示框,您很可能是中了"爱你"病毒。
  

  清除步骤
  1.因为利用ANI漏洞的木马和病毒很多,艾妮病毒变种也很多,并且艾妮是个感染型的蠕虫,会感染破坏EXE程序和网页格式的文件,首先推荐你使用杀毒软件查杀。
  2.手工查杀,首先结束notepad.exe进程和iexplore.exe进程
  3. 删除病毒自启动项:
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "System Boot Check"="%System%\sysbmw.exe"
  4. 删除引用的病毒文件:
  %System%\sysbmw.exe
  %System%\sys_ini.ini

  防护措施:
  1.少去不安全站点,对通过MSN,QQ,以及邮件发来的不明链接,不要去点击
  2.注意微软发布该漏洞补丁程序的信息,发布后,请第一时间下载安装
  3.升级杀毒软件,目前金山毒霸已经升级提供了针对ANI漏洞本身和艾妮蠕虫病毒的免疫程序,可有效阻止上网时被此类病毒感染。


  附:如何应对ANI漏洞带来的病毒危机?

  上周,金山反病毒中心发现部分网站利用Windows动画光标(ANI)文件漏洞传播木马,这些木马通常以盗号为目的。微软尚未就此漏洞发布补丁程序,同时,互联网已经出现利用该漏洞的网页木马生成器。

  不久,首个利用该漏洞传播的蠕虫病毒--艾妮(Worm.MyInfect.af)出现,该病毒集熊猫烧香、维金两大病毒的特点于一身,是一个传播性与破坏性极强的蠕虫,不但能疯狂感染用户电脑中的.exe文件,还会下载其它木马和病毒程序,病毒通过局域网传播可能导致内网大面积瘫痪。更为严重的是,利用微软动画光标(ANI)漏洞传播,使得包括在安全性上煞废苦心的Vista系统也无法幸免,用户只要浏览带有恶意代码的Web网页或电子邮件将立刻感染该病毒。金山反病毒中心针对该漏洞的危险性,已紧急提供免疫程序。据最新统计结果表明,仅1天时间,该免疫器就成功阻止了超过3万次攻击事件发生。

  漏洞表现:
  访问带毒网页时,会感觉IE窗口显示有点慢,有时IE窗口会失去响应,部分杀毒软件会报告发现木马或病毒。但这种现象可能只会被少数用户所关注,多数用户感觉不明显。


  受此漏洞影响的操作系统:
  Windows 2000
  Windows XP 32/64
  Windows 2003 32/64
  Windows Vista 32/64

  受此影响的浏览器:
  IE6、IE7、Firefox、Opera

  受此影响的其它应用软件:
  QQ、MSN、电子邮件客户端、AcdSee、RSS阅读器

  清除方法:
  因为利用该漏洞传播的木马、病毒非常多,并且"艾妮"蠕虫同时会感染可执行程序,手工查杀更加困难。同样,因为此类病毒较多,金山反病毒中心不会提供针对此漏洞的专杀工具。建议用户安装金山毒霸,并立即升级到最新病毒库,以清除已知利用该漏洞传播的病毒、木马程序。企业用户一旦在内网发现"艾妮"病毒,应立即进行全网查杀。金山毒霸在4月3日的紧急更新中还提供了针对"艾妮"类蠕虫病毒的免疫功能,可阻止此类蠕虫病毒通过其它途径大量传播。

  ANI漏洞免疫是如何实现的?

  ANI漏洞免疫功能:在有害ANI文件下载到本地时立即进行拦截,根本不给IE浏览器加载ANI文件的机会,从而避免了利用ANI漏洞的攻击。

  艾妮病毒的免疫功能:是毒霸专门为"艾妮"类蠕虫病毒制作的免疫程序,因为艾妮病毒具备和熊猫烧香类似的传播特点,启动毒霸的这个免疫功能后,可以阻止"艾妮"类蠕虫病毒利用其它途径大量传播。

  防范措施:
  1.因微软公司尚未发布针对此漏洞的补丁程序,建议用户立即安装杀毒软件并升级到最新,以降低安全风险。
  2.金山毒霸单机版、企业版客户端已经集成针对动画光标(ANI)漏洞的免疫功能,升级后,即可阻止下载利用该漏洞传播的木马、病毒程序。
  3.目前,该漏洞几乎影响所有的互联网浏览器,浏览不安全的网就会中毒,目前,已经发现有部分大网站也被植入含有动画光标漏洞的特殊ANI文件。提醒广大网民朋友,不要轻易点击通过QQ、MSN、电子邮件等发送的网页链接。
  4.提醒网页编辑朋友,立即使用杀毒软件检查本地网页文件,清除因"艾妮"病毒的感染破坏导致网页中嵌入病毒代码,防止其它网民上网浏览带毒的网页而反复中毒。
现在的病毒无孔不入,所以一般都是很难清除,所以建议你防范才是最终要的,专家统计,现在的病毒80%是浏览有病毒的网页带来的,所以建议你使用火狐浏览器,防止电脑中毒
火狐浏览器推荐下载:http://firefox.jfpxb.cn

[ 本帖最后由 幸运的西瓜 于 2007-8-9 03:52 编辑 ]
回复 支持 反对

使用道具 举报

发表回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表