主题：【公告】常见病毒/木马解决方法索引 (更新)

以下是一些常见病毒/木马解决方法

Q: 为什么我的杀软/清理助手可查出病毒/木马/恶意软件,但总是不能彻底清除?
A: 可能病毒/木马/恶意软件正在运行/被调用了,你可以试试在安全模式下用杀软/清理助手清除

Q: 如何清除Win32.Parite,W32/Pate,Win32.Pinfi?
A: 你可以使用BitDefender的Win32.Parite专杀,下载后,按"Scan"即可
http://buy.bitdefender.com/bd/downloads/removaltools/Antiparite-en.exe

【公告】灰鸽子,huigezi,GPigeon 解决指导

灰鸽子 Vip 2005 清除器
http://ftpe.ttian.net/2005/07/DelHgzvip2005Server.zip


BlackHole&灰鸽子后门专杀工具
http://www.cert.org.cn/articles/tools/common/2005051322256.shtml



如果专杀工具没有发现灰鸽子，请参考下面方法手工删除


按照下面指导,3步就能彻底删除系统里的灰鸽子木马

1. 下载HijackThis扫描系统
下载地址:
http://www.skycn.com/soft/15753.html zww3008汉化版
http://www.merijn.org/files/hijackthis.zip 英文版

2. 从HijackThis日志的 O23项可以发现灰鸽子自的服务项

如最近流行的:


O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat
O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe
O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe


用HijackThis选中上面的O23项,然后选择"修复该项"或"Fix checked"

3. 用Killbox删除灰鸽子对应的木马文件 可以从这里下载Killbox
http://yncnc.onlinedown.net/soft/37257.htm


直接把文件的路径复制到 Killbox里删除

通常都是下面这样的文件 "服务名"具体通过HijackThis判断

C:\windows\服务名.dll
C:\windows\服务名.exe
C:\windows\服务名.bat
C:\windows\服务名key.dll
C:\windows\服务名_hook.dll
C:\windows\服务名_hook2.dll


举例说明:

C:\WINDOWS\setemykey.dll
C:\WINDOWS\setemy.dll
C:\WINDOWS\setemy.exe
C:\WINDOWS\setemy_hook.dll
C:\WINDOWS\setemy_hook2.dll


用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已经删除就没关系了

【转】灰鸽子2006手工查杀
先在这里感谢sxqqqq,xbs的测试,没有你们帮助,我就不成事了~呵呵
在较早前,灰鸽子工作室推出新版本的灰鸽子-------灰鸽子2006
灰鸽子06有更好的隐藏,在清除一般以前的灰鸽子(eg.
灰鸽子05),我们可以使用HijackThis,System Repair
Engineer等工具,查看有没有灰鸽子的服务,但灰鸽子06加入了隐藏服务功能,令HJT,SREng都查不到灰鸽子06的服务.
Q:
那如何知道自己是否中了灰鸽子06?
A: 我们可以从以下方法查看....
1. 利用SREng log,在SREng
log,我们看到G_Server2006Key.DLL插入到很多进程.当然,名称不一定是G_Server2006Key.DLL,还可以是svchootKey.DLL,tkabcKey.dll....etc.
名称格式基本都是
****.exe
****.DLL
****Key.DLL
****Key.log

2.
利用IceSword,我们可以用IceSword查看是否有iexplore.exe这个进程和灰鸽子档案
注意:
-这个iexplore.exe,用任务管理器或Process
Explorer都是看不到
-记得先关闭所以IE视窗才用IceSword看
但这个方法,只可以确定你的系统有很大机会中了恶意软件,因为PcClient/PcShare以及有一些后门,都会有这个iexplore.exe隐藏进程.


===========================
那知道中了灰鸽子06,What can I do?How can
I remove it?
这个是手工查杀,可供参考
1. 下载F-Secure BlackLight,并保存到 桌面
http://www.f-secure.com/exclude/blacklight/blbeta.exe
2.
下载完成后,按 Scan 开始扫瞄
3. 扫瞄完成后,F-Secure
BlackLight发现灰鸽子06的隐藏进程和隐藏档案,把G_Server2006.DLL,G_Server2006.exe,G_Server2006Key.DLL都
Rename


以下是FS
BlackLight的log (以 fsbl 作开头的,扫瞄完成后可以在桌面找到)
04/27/06
11:46:27 [Info]: Hidden process: C:\Program Files\Internet
Explorer\IEXPLORE.EXE
04/27/06 11:50:14 [Info]: Hidden file:
c:\WINDOWS\G_Server2006.DLL
04/27/06 11:50:14 [Info]: Hidden file:
c:\WINDOWS\G_Server2006.exe
04/27/06 11:50:14 [Info]: Hidden file:
c:\WINDOWS\G_Server2006Key.DLL
4. F-Secure BlackLight会提示你要重新启动,按
Restart Now 重新启动
5. 重新启动后,你会发现灰鸽子06隐藏档案都被FS
BlackLight重新命名,所以直接删除就可以了****

c:\WINDOWS\G_Server2006Key.DLL.ren
c:\WINDOWS\G_Server2006.exe.ren
c:\WINDOWS\G_Server2006.DLL.ren
c:\WINDOWS\G_Server2006Key.log
(这个档案记录了你用keyboard输入过什么的)
6.
最后,你可以用HijackThis扫瞄,找出灰鸽子服务名称,把服务从
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services删除

a)
图中的例子,灰鸽子服务名称是office,那就在开始--->运行--->regedit
b)
定位到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
c)
找出并删除office
PS: HijackThis内的O23项,eg. TKABC (tk) C:\tkabc.exe (file
missing),TKABC是显示名称,()内的tk才是服务名称
****: 如果找不到BlackLight log中所提及的档案,可以试试先作出以下设定
a) 在
我的电脑 ,点击 工具--->文件夹选项
b) 点 查看 选项卡,然后去掉
隐藏受保护的操作系统文件 前的勾,点选 显示所有文件和文件夹 ,最后 确定
===========================
近期看到的灰鸽子都加入了Rootkit.Vanti,而灰鸽子06就增强了隐藏性,不知道将来的灰鸽子会有什么新招数.....Hides
from IceSword?!呵呵
以上都只是我菜鸟分享,如果有任何出错的地方,欢迎PM我
Write-up by: tkabc (
Krazaf/ToNyzzz, john31579 [at] yahoo.com.hk )
Date: 27/4/2006

～～依然在心灵深处闪亮的，是昨天遗失的那份温暖。～～

【转】Searchnet.exe (trojan-spy.agent.iw) 清除方法 （有更新）

06年6月30日更新内容：
最新版的SearchNet根据测试，可以通过运行C:\Program Files\SearchNet文件夹下面的Uninstall.exe卸载程序卸载。

最近霏凡论坛出现了一些网友反映电脑有一个叫Searchnet.exe的文件被杀软报毒但是无法清除（Kaspersky定名为trojan-spy.agent.iw）。该程序位于C:\Program Files\Searchnet文件夹，里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件（某些变种的Searchnet.exe是在C:\Program Files\下）。在C:\WINDOWS\System32还有servehost.exe文件，并添加自身到系统服务为Remote Log。最近还发现除了通过服务加载后，还会通过注册表的RUN键加载，O4 - HKLM\..\Run: [SearchNet_Up] "C:\Program Files\SearchNet\ServeUp.exe"
还会修改系统设置使用户无法显示文件夹所有文件等。使用KILLBOX无法删除这些文件。经过霏凡Bon Jovi版主的研究终于发现该LJ程序是用户在不注意安装了网络猪广告程序后，由它在后台自动联网下载并安装在用户电脑的，所以大家安装软件一定要小心小心再小心！

清除方法（因为该程序在不停的升级中，故本方法不一定对所有情况都有效，）：在安全模式下点开始，在运行里输入REGEDIT然后按回车，启动注册表编辑器。展开以下内容HKLM\System\CurrentControlSet\Services
然后删除里面的FAD，Anfad，hProcess，Remote Log。删除后重启电脑，删除C:\Program Files\SearchNet文件夹，以及
C:\WINDOWS\System32\drivers\Anfad.sys
C:\WINDOWS\System32\drivers\FAD.sys
C:\WINDOWS\System32\drivers\hProcess.sys
C:\WINDOWS\System32\ServeHost.exe文件。


（SearchNet程序介绍）：
SearchNet这个程序是中搜地址，大陆著名的流氓广告软件公司。它提供的卸载程序是虚假的用来迷惑用户的！！
青年论坛的Deadwoods网友详细分析了，由于原帖图片已经失效，我将内容稍微编辑一下转过来：

今天卡巴斯基报告发现木马 (12月19日）


最新版的金山毒霸和瑞星杀毒软件都还不能识别此木马。

以下是在装有正版瑞星的机器上对该木马进行了特征分析。

该木马具有以下特征：自我隐藏，自我保护，自我恢复，网络访问，后台升级，监视用户操作，无法彻底删除。




一、隐藏文件
该木马隐藏了Program File下的SearchNet文件夹和Drivers下的驱动文件。
资源管理器下没有发现SearchNet文件夹
用IceSword能发现SearchNet文件夹
资源管理器下没有发现其驱动文件
用IceSword发现三个驱动文件: FAD.sys Anfad.sys hProcess.sys

二、隐藏进程
该木马隐藏了自己的两个进程：SearchNet.exe 和 ServeHost.exe
任务管理器下没有发现SearchNet.exe 和 ServeHost.exe进程
用IceSword发现SearchNet.exe 和 ServeHost.exe进程
(IceSword自动用红色将其显示)
用IceSword查看内核模块（发现该木马的底层驱动）


三、隐藏注册表
该木马隐藏了与其相关的所有注册表项：

用Regedit无法查看其注册表启动项

用IceSword查看到 SearchNet_Up启动项和FAD.sys，Anfad.sys，hProcess.sys驱动项


四、监视用户操作
该木马，安装了WH_MSGFILTER WH_KEYBOARD_LL WH_MOUSE钩子，监视着用户的一举一动。
用IceSword能查看到SearchNet进程安装的全局钩子


五、自我保护，自我修复
该木马采用驱动文件FAD.sys Anfad.sys hProcess.sys对其所有和注册表进行了保护，甚至用IceSword都无法删除！


六、网络访问与后台升级
该木马可通过悄悄访问网络，后台升级，以保持其最新版本，躲过杀毒软件的查杀。


七、卸载欺骗
该木马提供一个虚假的卸载方式，来欺骗用户。
用户按其提供的虚假卸载方式，卸载后，控制面板内就没有中搜寻址卸载项了，但用IceSword查看，其文件和注册表都原封不动的保存在原地，而且其驱动依然在保护着自己不被用户发现，不被用户删除。也就是说，用户根本无法删除这个木马！

八、病毒防治

1、查找
大家可以用IceSword工具来查看System32\Drivers文件夹下是否存在FAD.sys、Anfad.sys hProcess.sys 这三个驱动文件，以确定自己是否中了此木马。

2、警惕
该木马会通过以下软件悄悄植入用户机器：1、网络猪 2、划词搜索 3、桌面媒体等，如果您的机器上有这些软件,可要小心了！

3、删除
目前，大部分杀毒软件还不能查杀该木马。由于该木马在驱动级实行了隐藏和保护，在其悄悄工作时，最新版卡巴斯基也不能发现，只有当其暂停其保护功能试图升级时，才会被发现，但也无法删除其主要文件。
有多操作系统的用户，可以通过引导到其它系统删除此木马的所有文件，彻底清除该木马。

【转】有关369.com的小分析和清除

近日见到有不少的会员,都被369.com绑架了首页,问题应该就是出自这几个文件
%SystemRoot%\system32\Serveremail.exe
%SystemRoot%\system32\msxml4r.exe
%SystemRoot%\system32\wServer.exe
%SystemRoot%\System32\exp1orer.exe

Preliminary analysis
==================
Serveremail.exe 是一个Trojan Downloader
下载
http://www.jfg[REMOVED].net/info/softverfile.txt
http://[REMOVED].1mms.net/16.exe

Serveremail.exe会读取softverfile.txt中的网址,下载另一些文件
16.exe是一个NSIS Installer,入面有wServer.exe,b16.exe(msxml4r.exe),101228.exe,198897.exe(很棒小秘书)

wServer.exe会下载安装YAHOO助手

b16.exe(msxml4r.exe),StartPage Trojan,会修改你的首页

101228.exe,不明LJ软件

198897.exe,很棒小秘书的释放安装程序


Removal Instructions
==================
1. 1. 下载 HijackThis 1.99.1,存到桌面后再解压

2. 运行 hijackthis.exe ,按 Do a system scan and save a logfile

3. 在O4项,找出并选取含有Serveremail.exe,msxml4r.exe,wServer.exe,LoadEWXD,MSService_v1.0的项目,按 Fix checked 修复
例子:
O4 - HKLM\..\Run: [LoadEWXD] C:\Windows\system32\msxml4r.exe
O4 - HKLM\..\Run: [LoadEWXD] C:\WINDOWS\System32\exp1orer.exe

4. 根据在HijackThis看到的文件位置,删除相关文件
例子:
C:\Windows\system32\msxml4r.exe

5. 下载恶意软件清理助手
http://www.tommsoft.com/Products.aspx?pid=2

6. 重新启动电脑,按F8进入安全模式,使用恶意软件清理助手,扫描 + 清除被装上的LJ软件

7. 再次重新启动电脑,回到正常模式,修改你的首页,看看你的首页会不会再被改了~


Write-up by: Krazaf (tkabc)
Date: 21/5/2006
Update log:
-27/5 Add some new items that may be also related to 369.com

Q: 程式的图示都变花了 / 四处都是 _desktop.ini .....
A: 你应该中了Worm.Viking,除了可用杀软做全盘查杀,清除所有已感染的档案外
你还可以试试用
-金山提供的“维金”病毒专杀工具
-瑞星提供的Worm.Viking专杀工具
-网友 农夫 写的 Viking 专杀工具 (推荐!)

Q: 怎么D盘有pagefile.pif / command.com?!.....
A: 有可能中了Trojan.PWS.Wow,请看1楼的回覆

【已解决】[转] 7939.com,7b.com.cn,9505.com,4199.com 清除工具

7939.com,7b.com.cn,9505.com,4199.com 这四个流氓,相信这几个月大家都看过不少
不停进行更新想逃过不少安全软件,清除工具的清除操作!

特别是9505.com,4199.com, 十分恶心!
9505.com作者还把 mopery 同 我tkabc 个空间都加到9505.com的 hosts,想阻止中招用户下载清除工具

新的变种会修改瑞星安装目录下的一个文件(RegWhite.usr)

加上有一些使用者说用不了上次的4199.com/9505.com清除工具,这几天花了点时间,看了下Microsoft Script Center,用VBS重写一下
再把 7939.com,7b.com.cn 清除加进去,方便大家
-USE IT AT YOUR OWN RISK!!!
-不好用不要见怪......
-十分感谢以下的测试人员:
hahahababy,qqbeau,bbiverson,mopery,sxqqqq,Cons,hzqedison

由于这VBS用上WMI,所以....应该只支持以下的作业系统:
-Windows 2000 Pro
-Windows XP Pro
-Windows Server 2003

暂时发现不支持的:
-Windows XP Home

使用方法:
1. 请必先卸载QQ, 因为 QQ 安装目录下的 Riched32.dll 被修改了,再运行QQ会再次中招
(如果只是想清除 7939.com,7b.com.cn ,可以跳过这步 )

2.
a) 下载附件 9541_KickThemOut_v1.zip 并放到桌面, 解包

b) 之后在桌面会多了一个 9541_KickThemOut_v1 文件夹,打开这个文件夹,运行 KickThemOut.vbs
c) 按 Yes/是 开始,之后再提示你即将开始,按 OK/确定, 桌面将会消失 (如果桌面没有消失,应该是不支持)
d) 等两至三分钟 (这时你可以去弄个泡面) , 之后会提示将要重新启动电脑, 按 OK/确定
e) 重新启动电脑后,清除就完成了!

3. 你会发现 %SYSTEMDRIVE%\Suspicious file 这个文件夹, 没有文件的可以删除了,如果有DLL文件, 欢迎提交到
john31579@yahoo.com.hk


PS: %SYSTEMDRIVE% 为环境变数,是指有 Windows/WINNT 文件夹的分区,一般是 C:\

The VBScript is written by Krazaf/tkabc
BFU.exe - 由Merijn.org,HijackThis 作者编写

Q: IE首页被锁定为 my123.com.....
A: 可试试下载
-由MJ0011写的专杀工具进行查杀。
http://dl.360safe.com/m1v25.rar
-由瑞星写的my123专杀工具
http://download.rising.com.cn/zsgj/My123Killer.exe