| 几种常见恶性病毒解决方案及清除方法 |
| 责任编辑:stef 更新日期:2005-7-6 |
|
|
手工删除Back Orifice 2000的方法:
首先用最新DOS版的杀毒软件开机杀毒,然后将邮箱中的带毒邮件一一删除,否则又会重复感染,该病毒传播能力极强,必须加强防范,为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
恶性蠕虫病毒“I-Worm.Aliz”
用最新的杀毒软件清除病毒,然后下载补丁:
如果用户使用升级的因特网outlook版本6.0,就不需要修补outlook。
1. outlook http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
2.outlook 2000
http://office.microsoft.com/korea/downloads/2000/outlctlx.aspx
3.outlook 2002 (office XP)
http://office.microsoft.com/korea/downloads/2002/OLK1003.aspx
又出现Nimda.e病毒,再次更新详细解毒方案
一、winX系统的清除方法:
1. 使用干净DOS软盘启动机器。
2. 执行vrvdos, 查杀所有硬盘。
3. 在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。
4. 开启vrv实时监测病毒防火墙。
5. 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。 地址是:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.这样可以预防此类病毒的破坏。
6.WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。
7.如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区。
8.对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载:http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.
9.病毒被清除后, 在windows的system目录下的文件riched20.dll将被删除,请从WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件,否则的话,写字板和OFFICE, WORD等程序将不能正常运行。在WINDOWS98系统下的该文件大小是:431376字节。或重装office。
二、WINDOWS NT/2000系统的清除方:
WINDOWS NT/2000系统的NTFS硬盘分区感染此毒时,处理比较烦琐。因用DOS软盘引导后不认硬盘分区,所以无法杀毒。在患毒的WINDOWS NT/2000系统下又杀不干净病毒。不管是服务器还是单机的硬盘染此毒了,要想杀干净病毒,可按如下方法杀毒:
1. 找一台没有感染病毒的、并装有WINDOWS NT/2000(NTFS)系统的计算机,将vrv2001 server安装到硬盘中,对硬盘进行查杀。
2. 如果有杀不掉的,用dos盘引导起动,再执行NTFSpro(在vrv网站可以下载)中的ntfspro.exe 即可,看到NTFS格式下的所有文件,将其删除,再回到正常模式下查杀。
3. 如果有多台机器,也可以将患毒的硬盘挂接在没有感染病毒的计算机上做为副盘。
Nimda病毒解决方案
请大家尽快到微软网站下载更新程序,修补这些漏洞,以免中毒。收到可疑的信件,例如:Nimda病毒病毒附件为readme.exe,不要随意打开以免中毒,
IE 5.x 的使用者请到http://www.microsoft.com/technet/security/bulletin/MS01-020.asp下载修复程序,避免浏览中毒网页就被感染。
IIS 的使用者请到http://www.microsoft.com/technet/security/bulletin/MS01-044.asp、http://www.microsoft.com/technet/security/bulletin/MS00-078.asp下载修复程序,以修正Unicode漏洞。
另外:Win9x用户记得去掉共享,修改System.ini中shell=explorer.exe load.exe -dontrunold为shell=Explorer.exe ,Win2000则查看一下administrators组中是否加进了“guest”用户,如果是,请将guest用户从administrators组中删除,然后用最新版的杀毒软件扫描你的机器,查杀病毒。
自己动手对付CodeRed(红色代码)
CodeRed(红色代码)是利用Windows NT/2000本身的漏洞来执行骇客行为,微软网站提供更新档下载,使用IIS 4.0以上版本用户,请尽快至微软网站http://www.microsoft.com/technet/security/bulletin/MS01-033.asp更新修正。
手工清除Sircam蠕虫病毒:
1、 清空回收站,因为病毒将自身隐藏在回收站;
2、 删除Autoexec.bat文件中的"@win ecycledsirc32.exe"
3、 恢复注册表
(1) 将regedit.exe改名为regedit.com因为该病毒关联exe文件
(2) 打开注册表编辑器,查找主键: HKEY_CLASSES_ROOT/exefile/shell/open/command将其键值改为"%1" %*
(3) 删除主键HKEY_LOCAL_MACHINE/Software/SirCam
(4) 删除键值HKEY_LOCAL_MACHINE/Software/Microsoft/Windows Current Version/Run Services/Driver32
(5) 将regedit.com改回为regedit.exe
手工清除“快乐时光”病毒
1.检查 C:\Help.htm、C:\ 盘第一个子目录下的 Help.vbs 和 Help.hta、 Windows录下 Help.htm 或者与原墙纸文件名的 html 格式文件,若其中 含有“Rem I am sorry! happy time”字符串,则删除该文件
2.检查 C: 盘上所有 vbs、html 或者 asp 文件,若含有“Rem I am sorry! happy time”字符串,则删除该文件
3.检查 \Windows\Web 目录下所有 vbs、html、htt 和 asp 文件,若含有“Rem I am sorry! happy time”字符串,则删除该文件;
4.删除 HKEY_CURRENT_USER\Software 下 Help 项;
5.删除收件箱中所有带有 Untitled.htm 附件的不明邮件。
手动清除圣诞节病毒的方法:
1.开始——>程序——>MS-DOS模式
2.将DOS指令regedit.exe重新命名为 regedit.com
3.回到Windows运行Regedit。
4.开始——>运行
5.输入“regedit”。按一下“确定”。
6.在左边窗口,按一下 含有 "+" 记号的方块以展开节点来寻找下列登录
HKEY_CLASSES_ROOT exefile shell open command
7.在右边窗口,以展开节点来寻找含有下列登录的记录值并点选
(Default) = "% windir%\SYSTEM\WINSVRC.EXE"%1""%*" where %windir%
8.当编辑窗口出现,将所有整个部分删除,只留下 "%1"%*"。
9.同步骤 3-5,输入“regedit”。按一下“确定”,进入以下注册机值。
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
10.点选Win32BaseServiceMOD = %windir%\SYSTEM\WINSVRC.EXE ,并按“删除”
11.开始——>程序——>MS-DOS模式
12.将 regedit.com重新命名为 regedit.exe。摘自瑞星网站
Win32/MTX.A.Worm 病毒的清除方法
清除步骤:
1、对于蠕虫病毒生成的文件如:MTX_.exe,Ie_pack.exe和Win32.dll,需要彻底删除,它们的病毒报警为Win32/MTX.Attachment.Worm 或Win32/MTX.A.Downloader.Worm。
2、 开始---运行(regedit)修改注册表,将注册表中的关键字值删除,关键字值为: Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run\Systembackup =\MTX_.EXE
3、开始---运行(regedit)---编辑---查找(Win32.dll),将查找到的键值删除掉,用同样的方法 查找Ie_pack.exe和mtx,将查找到的键值也删除;
4、重新启动计算机。
手动清除特洛伊木马TROJ_QAZ.A病毒
⒈ 单击“开始│运行” 键入:Regedit,按Enter键
⒉ 找到注册键: HKEY_LOCAL_MACHIN/Software/Microsoft/Windows/CurrentVersion/Run
⒊ 在右边的窗口中,找出任何包含下列数据的注册键值: startIE=XXXX\Notepad.exe
⒋ 在右边的窗口中,选中该键值,按删除键后再选是,删除该值。 退出注册表修改。 单击 “开始│关闭系统”,选择“重启动”后单击“是”。
⒌ 重命名Note.com为Notepad.exe。
病毒冰河的手工解决办法:(转载天极社区)
1、在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中找 到冰河(默认是C:\WINDOWS\SYSTEM\Kernel32.exe),将其删除。
2、在注册表中找到HKEY_CLASSES_ROOT\txtfile\,可以在其次键中发觉 Shell\open\command中运行的程序,默认的是C:\WINDOWS\SYSTEM\Sysexplr.exe %1, 将它删掉就行。其他形式的伪装也照删不误。
3、重新启动,在纯Dos模式中删除冰河以及它的关联程序(默认是 C:\WINDOWS\SYSTEM\Kernel32.exe和sysexplr.exe)。
VBS_STAGES.A蠕虫的解决方案
运行注册表 进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices注册目录,查找含有以下键值的键:"C:\WINDOWS\WSCRIPT.EXE,C:\WINDOWS\SYSTEM\SCANREG.VBS" 将含有这些键值的键删除。 进入以下注册表目录: HKEY_USERS/.DEFAULT/Software/Mirabilis/ICQ/Agent/Apps/ICQ 查找以下键值 Parameters=“C:\RECYCLED\DBINDEX.VBS”, Path="C:\WINDOWS\WSCRIPT.EXE" Startup="C:\WINDOWS"。进入以下注册表目录: HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/DefaultIcon 查找以下键值:"C:\RECYCLED\RECYCLED.VXD,1" 将其修改为:C:\WINDOWS\regedit.exe,1 to this input box,进入以下注册表目录: HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/shell/open/command 查找以下键值:"C:\RECYCLED\RECYCLED.VXD,1" 将其修改为:C:\WINDOWS\regedit.exe,1 to this input box.,退出注册表 。重启后扫描整个系统,将感染了此病毒的文件删除。 从另一干净的机器上拷贝一个REGEDIT.EXE 程序到本机。
如何自行将MSIE.HTA(网路害虫)清除
1.先将WIN.INI中的RUN= C:\WINDOWS\SYSTEM\MSIE.HTA修改成RUN=
2.将Windows\system目录下MSBOOT.BAT、MSIE.LST、MSIE.INI、MSIE.HTA四个文件删除。
3.将Windows\system\system目录删除。
4.将windows\Start Menu\Programs\启动\ 中的Microsoft Internet Explorer.hta文档删掉。
手工删除Back Orifice 2000的方法:
1.在WINDOWS 9X 中运行REGEDIT。
2.将注册表中:HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUNSERVICES下的UMGR32.EXE 串值删除。
3.重新启动。
4.将WINDOWS/SYSTEM目录下的UMGR32~1.EXE文件删除即可。(吉仔译自symantec公司反病毒公告)
 |
|
| 上一篇文章: 深层防毒:非恶意软件特征及如何检测 |
| 下一篇文章: 病毒杀不死的原因分析及对策 |
|
|
|
|
