以文本方式查看主题 - 开封论坛 (http://www.izhen.cn/dv/index.asp) -- 电脑网络 (http://www.izhen.cn/dv/list.asp?boardid=18) ---- 【公告】常见病毒/木马解决方法索引 (更新) (http://www.izhen.cn/dv/dispbbs.asp?boardid=18&id=27175) |
-- 作者:梦在梦中 -- 发布时间:2006-12-28 10:28:11 -- 【公告】常见病毒/木马解决方法索引 (更新) 以下是一些常见病毒/木马解决方法 Q: 为什么我的杀软/清理助手可查出病毒/木马/恶意软件,但总是不能彻底清除? A: 可能病毒/木马/恶意软件正在运行/被调用了,你可以试试在安全模式下用杀软/清理助手清除 Q: 如何清除Win32.Parite,W32/Pate,Win32.Pinfi? A: 你可以使用BitDefender的Win32.Parite专杀,下载后,按"Scan"即可 http://buy.bitdefender.com/bd/downloads/removaltools/Antiparite-en.exe |
-- 作者:梦在梦中 -- 发布时间:2006-12-28 10:28:34 -- 【公告】灰鸽子,huigezi,GPigeon 解决指导 灰鸽子 Vip 2005 清除器 http://ftpe.ttian.net/2005/07/DelHgzvip2005Server.zip BlackHole&灰鸽子后门专杀工具 http://www.cert.org.cn/articles/tools/common/2005051322256.shtml 如果专杀工具没有发现灰鸽子,请参考下面方法手工删除 按照下面指导,3步就能彻底删除系统里的灰鸽子木马 1. 下载HijackThis扫描系统 下载地址: http://www.skycn.com/soft/15753.html zww3008汉化版 http://www.merijn.org/files/hijackthis.zip 英文版 2. 从HijackThis日志的 O23项可以发现灰鸽子自的服务项 如最近流行的: O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\\WINDOWS\\setemy.bat O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\\WINDOWS\\uinstall.exe O23 - Service: winServer - Unknown owner - C:\\WINDOWS\\winserver.exe O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\\WINDOWS\\G_Server.exe 用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked" 3. 用Killbox删除灰鸽子对应的木马文件 可以从这里下载Killbox http://yncnc.onlinedown.net/soft/37257.htm 直接把文件的路径复制到 Killbox里删除 通常都是下面这样的文件 "服务名"具体通过HijackThis判断 C:\\windows\\服务名.dll C:\\windows\\服务名.exe C:\\windows\\服务名.bat C:\\windows\\服务名key.dll C:\\windows\\服务名_hook.dll C:\\windows\\服务名_hook2.dll 举例说明: C:\\WINDOWS\\setemykey.dll C:\\WINDOWS\\setemy.dll C:\\WINDOWS\\setemy.exe C:\\WINDOWS\\setemy_hook.dll C:\\WINDOWS\\setemy_hook2.dll 用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已经删除就没关系了 |
-- 作者:梦在梦中 -- 发布时间:2006-12-28 10:30:42 -- 【转】灰鸽子2006手工查杀 |
-- 作者:梦在梦中 -- 发布时间:2006-12-28 10:32:21 -- 【转】Searchnet.exe (trojan-spy.agent.iw) 清除方法 (有更新) 06年6月30日更新内容: 最新版的SearchNet根据测试,可以通过运行C:\\Program Files\\SearchNet文件夹下面的Uninstall.exe卸载程序卸载。 最近霏凡论坛出现了一些网友反映电脑有一个叫Searchnet.exe的文件被杀软报毒但是无法清除(Kaspersky定名为trojan-spy.agent.iw)。该程序位于C:\\Program Files\\Searchnet文件夹,里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件(某些变种的Searchnet.exe是在C:\\Program Files\\下)。在C:\\WINDOWS\\System32还有servehost.exe文件,并添加自身到系统服务为Remote Log。最近还发现除了通过服务加载后,还会通过注册表的RUN键加载,O4 - HKLM\\..\\Run: [SearchNet_Up] "C:\\Program Files\\SearchNet\\ServeUp.exe" 还会修改系统设置使用户无法显示文件夹所有文件等。使用KILLBOX无法删除这些文件。经过霏凡Bon Jovi版主的研究终于发现该LJ程序是用户在不注意安装了网络猪广告程序后,由它在后台自动联网下载并安装在用户电脑的,所以大家安装软件一定要小心小心再小心! 清除方法(因为该程序在不停的升级中,故本方法不一定对所有情况都有效,):在安全模式下点开始,在运行里输入REGEDIT然后按回车,启动注册表编辑器。展开以下内容HKLM\\System\\CurrentControlSet\\Services 然后删除里面的FAD,Anfad,hProcess,Remote Log。删除后重启电脑,删除C:\\Program Files\\SearchNet文件夹,以及 C:\\WINDOWS\\System32\\drivers\\Anfad.sys C:\\WINDOWS\\System32\\drivers\\FAD.sys C:\\WINDOWS\\System32\\drivers\\hProcess.sys C:\\WINDOWS\\System32\\ServeHost.exe文件。 (SearchNet程序介绍): SearchNet这个程序是中搜地址,大陆著名的流氓广告软件公司。它提供的卸载程序是虚假的用来迷惑用户的!! 青年论坛的Deadwoods网友详细分析了,由于原帖图片已经失效,我将内容稍微编辑一下转过来: 今天卡巴斯基报告发现木马 (12月19日) 最新版的金山毒霸和瑞星杀毒软件都还不能识别此木马。 以下是在装有正版瑞星的机器上对该木马进行了特征分析。 该木马具有以下特征:自我隐藏,自我保护,自我恢复,网络访问,后台升级,监视用户操作,无法彻底删除。 一、隐藏文件 该木马隐藏了Program File下的SearchNet文件夹和Drivers下的驱动文件。 资源管理器下没有发现SearchNet文件夹 用IceSword能发现SearchNet文件夹 资源管理器下没有发现其驱动文件 用IceSword发现三个驱动文件: FAD.sys Anfad.sys hProcess.sys 二、隐藏进程 该木马隐藏了自己的两个进程:SearchNet.exe 和 ServeHost.exe 任务管理器下没有发现SearchNet.exe 和 ServeHost.exe进程 用IceSword发现SearchNet.exe 和 ServeHost.exe进程 (IceSword自动用红色将其显示) 用IceSword查看内核模块(发现该木马的底层驱动) 三、隐藏注册表 该木马隐藏了与其相关的所有注册表项: 用Regedit无法查看其注册表启动项 用IceSword查看到 SearchNet_Up启动项和FAD.sys,Anfad.sys,hProcess.sys驱动项 四、监视用户操作 该木马,安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子,监视着用户的一举一动。 用IceSword能查看到SearchNet进程安装的全局钩子 五、自我保护,自我修复 该木马采用驱动文件FAD.sys Anfad.sys hProcess.sys对其所有和注册表进行了保护,甚至用IceSword都无法删除! 六、网络访问与后台升级 该木马可通过悄悄访问网络,后台升级,以保持其最新版本,躲过杀毒软件的查杀。 七、卸载欺骗 该木马提供一个虚假的卸载方式,来欺骗用户。 用户按其提供的虚假卸载方式,卸载后,控制面板内就没有中搜寻址卸载项了,但用IceSword查看,其文件和注册表都原封不动的保存在原地,而且其驱动依然在保护着自己不被用户发现,不被用户删除。也就是说,用户根本无法删除这个木马! 八、病毒防治 1、查找 大家可以用IceSword工具来查看System32\\Drivers文件夹下是否存在FAD.sys、Anfad.sys hProcess.sys 这三个驱动文件,以确定自己是否中了此木马。 2、警惕 该木马会通过以下软件悄悄植入用户机器:1、网络猪 2、划词搜索 3、桌面媒体等,如果您的机器上有这些软件,可要小心了! 3、删除 目前,大部分杀毒软件还不能查杀该木马。由于该木马在驱动级实行了隐藏和保护,在其悄悄工作时,最新版卡巴斯基也不能发现,只有当其暂停其保护功能试图升级时,才会被发现,但也无法删除其主要文件。 有多操作系统的用户,可以通过引导到其它系统删除此木马的所有文件,彻底清除该木马。 |
-- 作者:梦在梦中 -- 发布时间:2006-12-28 10:33:27 -- 【转】有关369.com的小分析和清除 近日见到有不少的会员,都被369.com绑架了首页,问题应该就是出自这几个文件 %SystemRoot%\\system32\\Serveremail.exe %SystemRoot%\\system32\\msxml4r.exe %SystemRoot%\\system32\\wServer.exe %SystemRoot%\\System32\\exp1orer.exe Preliminary analysis ================== Serveremail.exe 是一个Trojan Downloader 下载 http://www.jfg[REMOVED].net/info/softverfile.txt http://[REMOVED].1mms.net/16.exe Serveremail.exe会读取softverfile.txt中的网址,下载另一些文件 16.exe是一个NSIS Installer,入面有wServer.exe,b16.exe(msxml4r.exe),101228.exe,198897.exe(很棒小秘书) wServer.exe会下载安装YAHOO助手 b16.exe(msxml4r.exe),StartPage Trojan,会修改你的首页 101228.exe,不明LJ软件 198897.exe,很棒小秘书的释放安装程序 Removal Instructions ================== 1. 1. 下载 HijackThis 1.99.1,存到桌面后再解压 2. 运行 hijackthis.exe ,按 Do a system scan and save a logfile 3. 在O4项,找出并选取含有Serveremail.exe,msxml4r.exe,wServer.exe,LoadEWXD,MSService_v1.0的项目,按 Fix checked 修复 例子: O4 - HKLM\\..\\Run: [LoadEWXD] C:\\Windows\\system32\\msxml4r.exe O4 - HKLM\\..\\Run: [LoadEWXD] C:\\WINDOWS\\System32\\exp1orer.exe 4. 根据在HijackThis看到的文件位置,删除相关文件 例子: C:\\Windows\\system32\\msxml4r.exe 5. 下载恶意软件清理助手 http://www.tommsoft.com/Products.aspx?pid=2 6. 重新启动电脑,按F8进入安全模式,使用恶意软件清理助手,扫描 + 清除被装上的LJ软件 7. 再次重新启动电脑,回到正常模式,修改你的首页,看看你的首页会不会再被改了~ Write-up by: Krazaf (tkabc) Date: 21/5/2006 Update log: -27/5 Add some new items that may be also related to 369.com |
-- 作者:梦在梦中 -- 发布时间:2006-12-28 10:34:01 -- Q: 程式的图示都变花了 / 四处都是 _desktop.ini ..... A: 你应该中了Worm.Viking,除了可用杀软做全盘查杀,清除所有已感染的档案外 你还可以试试用 -金山提供的“维金”病毒专杀工具 -瑞星提供的Worm.Viking专杀工具 -网友 农夫 写的 Viking 专杀工具 (推荐!) Q: 怎么D盘有pagefile.pif / command.com?!..... A: 有可能中了Trojan.PWS.Wow,请看1楼的回覆 |
-- 作者:梦在梦中 -- 发布时间:2006-12-28 10:34:52 -- 【已解决】[转] 7939.com,7b.com.cn,9505.com,4199.com 清除工具 7939.com,7b.com.cn,9505.com,4199.com 这四个流氓,相信这几个月大家都看过不少 不停进行更新想逃过不少安全软件,清除工具的清除操作! 特别是9505.com,4199.com, 十分恶心! 9505.com作者还把 mopery 同 我tkabc 个空间都加到9505.com的 hosts,想阻止中招用户下载清除工具 新的变种会修改瑞星安装目录下的一个文件(RegWhite.usr) 加上有一些使用者说用不了上次的4199.com/9505.com清除工具,这几天花了点时间,看了下Microsoft Script Center,用VBS重写一下 再把 7939.com,7b.com.cn 清除加进去,方便大家 -USE IT AT YOUR OWN RISK!!! -不好用不要见怪...... -十分感谢以下的测试人员: hahahababy,qqbeau,bbiverson,mopery,sxqqqq,Cons,hzqedison 由于这VBS用上WMI,所以....应该只支持以下的作业系统: -Windows 2000 Pro -Windows XP Pro -Windows Server 2003 暂时发现不支持的: -Windows XP Home 使用方法: 1. 请必先卸载QQ, 因为 QQ 安装目录下的 Riched32.dll 被修改了,再运行QQ会再次中招 (如果只是想清除 7939.com,7b.com.cn ,可以跳过这步 ) 2. a) 下载附件 9541_KickThemOut_v1.zip 并放到桌面, 解包 b) 之后在桌面会多了一个 9541_KickThemOut_v1 文件夹,打开这个文件夹,运行 KickThemOut.vbs c) 按 Yes/是 开始,之后再提示你即将开始,按 OK/确定, 桌面将会消失 (如果桌面没有消失,应该是不支持) d) 等两至三分钟 (这时你可以去弄个泡面) , 之后会提示将要重新启动电脑, 按 OK/确定 e) 重新启动电脑后,清除就完成了! 3. 你会发现 %SYSTEMDRIVE%\\Suspicious file 这个文件夹, 没有文件的可以删除了,如果有DLL文件, 欢迎提交到 john31579@yahoo.com.hk PS: %SYSTEMDRIVE% 为环境变数,是指有 Windows/WINNT 文件夹的分区,一般是 C:\\ The VBScript is written by Krazaf/tkabc BFU.exe - 由Merijn.org,HijackThis 作者编写 |
-- 作者:梦在梦中 -- 发布时间:2006-12-28 10:37:09 -- Q: IE首页被锁定为 my123.com..... A: 可试试下载 -由MJ0011写的专杀工具进行查杀。 http://dl.360safe.com/m1v25.rar -由瑞星写的my123专杀工具 http://download.rising.com.cn/zsgj/My123Killer.exe |