jglin008 发表于 2006-10-16 16:44:46

[10/16][技术分享] 常见流行病毒,流氓软件解决方案,反病毒技术集合

realplayer.exe(主页被改为:http://www.7739/7939.com)病毒删除方法 (2楼)


图解灰鸽子2005手工清除 (3楼)


落雪木马清除系统修复方法 (4楼)


关于KB*.LOG 病毒清除方法 (5楼)


维京病毒(worm viking bo)清除方法 (6楼)


十一种常见流氓软件完全卸载方法 (7楼)


反病毒经常要用到的一些操作和方法 (8楼)

[ 本帖最后由 jglin008 于 2006-10-16 17:00 编辑 ]

jglin008 发表于 2006-10-16 16:50:01

realplayer.exe(主页被改为http://www.7739/7939.com)病毒删除方法

病毒分析:
运行realplayer.exe 后
发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll,RavMon.dll,Rsvtub.dll(这3个文件会有一个,因为是3个变种)两个文件 且brlmon.dll或RavMon.dll或Rsvtub.dll插入Explorer进程 还好插入的是Explorer进程 比较好弄
realplayer.exe和brlmon.dll或RavMon.dll或Rsvtub.dll两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件
并且在注册表项上添加了2个启动项
O4 - HKCU\..\Run: C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: C:\WINDOWS\system32\Realplayer.exe
达到开机启动的目的

清除方法:
一、专杀清除
a) 下载附件7939.zip到桌面,解开压缩包,运行bfu.exe
b) 按 文件夹图示 ,选取在 bfu.exe 旁的 7939.bfu 档案
c) 选取后, 确定已勾上 Use settings specified in script for above options
d) 请关闭正在使用的程式(eg. QQ,IE),按 Execute 开始 , 请耐心等候
e) 完成后,可能会提示你要重新开机,请重新开机

你会发现在%SYSTEMDRIVE% (一般C:\ ) 下,会多了一个Suspect file的文件夹,删除就可以了

01/09更新
-刚刚发现DLL名称更新到 Rsvtub.dll,不用更新BFU Script即可把档案删除(移到Suspect file文件夹)

02/09更新
-这次DLL没变,只是增加另一个Reg Key
HKLM\SOFTWARE\Microsoft\Baidu

BFU Script 已经更新了,可以删除这个Key,未更新前的Script还是可以成功清除这个新版本(但不会删HKLM\SOFTWARE\Microsoft\Baidu)

The attached BFU script is written by Krazaf/tkabc....

专杀在附件中



二、手工清除
控制面版-文件夹选项-查看-显示系统文件夹的内容和显示所有文件和文件夹 勾上
1.打开任务管理器 (Ctrl+ALT+DEL) 结束Realplayer.exe
然后结束 Explorer进程
此时桌面可能没了 不要担心
2.然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到
C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 或者C:\WINDOWS\System32\RavMon.dll或者C:\WINDOWS\system32\Rsvtub.dll右键删除该文件
3.然后文件-新建任务-浏览 打开C:\Windows\Explorer.exe 此时 桌面又回来了
(结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll或者C:\WINDOWS\System32\RavMon.dll或者C:\WINDOWS\system32\Rsvtub.dll 否则删不掉)
4.然后 用hijackthis修复
O4 - HKCU\..\Run: C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: C:\WINDOWS\system32\Realplayer.exe
这两项
5.修复注册表
开始 运行 输入regedit 删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown
HKLM\SOFTWARE\Microsoft\Baidu

整个项目 
6.最后记得一定要将主页改回来

hijackthis下载地址

华军软件站 http://nj.onlinedown.net/soft/36689.htm

天空软件站 http://www.skycn.com/soft/15753.html

霏凡软件站 http://www.crsky.com/soft/4599.html

修复方法:打开hijackthis 选择 仅执行扫描系统 然后在窗口里把
O4 - HKCU\..\Run: C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: C:\WINDOWS\system32\Realplayer.exe
挑钩 点击下面的修复 即可

另外请大家打全系统补丁 可能这个病毒是通过系统漏洞传播的
此病毒变种很多 且每天更新 如果在出现变种请下载上面所说的 专杀 查杀






jglin008 发表于 2006-10-16 16:51:10

图解灰鸽子2005手工清除

手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。



灰鸽子的运行原理
灰鸽子远程监控软件分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个服务端(俗称种木马)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……,这正违背了我们开发灰鸽子的目的,所以本文适用于那些让人非法安装灰鸽子服务端的用户,帮助用户删除灰鸽子 Vip 2005 的服务端程序。本文大部分内容摘自互联网。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。




灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。


1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。



2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。

http://bbs.ylmf.com/attachment/Day_060406/75_1_4e4a748d4c985ca.jpg


3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。

http://bbs.ylmf.com/attachment/Day_060406/75_1_cf783edc3936fdf.jpg

4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。

http://bbs.ylmf.com/attachment/Day_060406/75_1_91d9c9e392cfa7f.jpg

过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了,下面就可以进行手动清除。




灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。

http://bbs.ylmf.com/attachment/Day_060406/75_1_5ddc8a9c1ea6c12.jpg


3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。

http://bbs.ylmf.com/attachment/Day_060406/75_1_d403824966a183f.jpg


二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005 服务端已经被清除干净。

jglin008 发表于 2006-10-16 16:52:23

落雪木马清除系统修复方法


“落雪”顾名思义,就是说中了该木马后,向系统释放的病毒文件非常之多。该木马也叫“游戏大盗”( Trojan/PSW.GamePass,Trojan.PSW.Snow.a,Troj.LMir2.ky),由VB 程序语言编写,通过 北斗3.1 加壳处理,该木马文件一般是红色图标,如图:
http://chun30.xoompages.com/lx2.jpg
病毒运行后,在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了 .com。江民反病毒工程师分析,这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件Msconfig.exe的时候,一般习惯上输入 Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 Msconfig.com ,病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把 winlogon.exe 的路径指向c:\windows\winlogon.exe,而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe,以此达到迷惑用户的目的。
江民反病毒工程师介绍,除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击html文件时,都会运行病毒。此外,病毒还在D盘下生成一个自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D盘时,病毒仍然被激活运行。
目的:盗取已知网络游戏 传奇 \ 传奇世界 \ 魔兽世界 的帐号及密码。



中毒症状:


1:系统运行缓慢。
2:右下方任务栏的杀软和防火墙图标消失(被无故关闭)但杀软的右键扫描可用。
3:D盘双击打不开,D盘里面有autorun.inf和pagefile.com两个文件,其中autorun.inf为隐藏属性。
4:打开任务管理器,可以看到有一个当前用户所属的1.EXE在运行,或者是一个当前用户所属的一个大写的WINLOGON.EXE在运行。
5:打开注册表:在运行程序中运行“regedit”,会看到
(1):HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项里有一个Torjan pragramme,这是木马。
(2):HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。
6:exe文件打不开(包括杀软,防火墙)。
7:开机进入系统时会跳出一个警告框,说文件"1"找不到。(由于杀软查杀后,无法对木马更改的注册表项进行修复)。

病毒复活方式:

1:在开始-运行里运行:msocnfig,command,regedit这些命令,病毒将全部恢复。
2:双击病毒所有文件中的任何一个文件,病毒将完全恢复。
3:双击D盘。
中毒后对系统的改动:

向C盘释放:(其实都是同一个文件)
c:\windows\winlogon.exe
C:\WINDOWS\1.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\system32\command.pif
C:\Windows\system32\command.com
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\rundll32.com
C:\Windows\WINLOGON.EXE
C:\WINDOWS\services.exe
C:\WINDOWS\Debug\DebugProgramme.exe
C:\Program Files\Common Files\iexplore.com
C:\Program Files\Common Files\Microsoft Shared\MSInfo\msinfo.rr

向D盘释放:
D:\autorun.inf
D:\pagefile.com

向注册表添加:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Torjan pragramme
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。


http://chun30.xoompages.com/lx3.jpg
http://chun30.xoompages.com/lx4.jpg
http://chun30.xoompages.com/lx5.jpg
http://chun30.xoompages.com/lx6.jpg
http://chun30.xoompages.com/lx7.jpg



处理方式

一:GHOST法,(建议菜鸟及无手动清除病毒经验者使用)

1:先在D盘以外的其他盘新建了两个文本文件,在显示文件名扩展名的情况下,分别改为autorun.inf和pagefile.com,然后拷贝到D盘,覆盖了病毒在D盘的两个病毒源文件,这样这两个文件都可以正常显示了,随即直接删除,也可以在以后删除,D盘毒源就此清除。
2,然后GHOST一遍镜像,恢复系统到从前正常状态,至此OK,如果没有镜像,建议在第一步以后重新安装系统。
为什么不逐个清理病毒程序:
逐个清理病毒文件比较麻烦,操作需要经验加细心,由于病毒文件如上面非常多不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,或双击磁盘 ,所有的这些文件全会自己补充回来!并且清理完成后有些后遗症,例如某些文件打不开,IE需要修复等等。

二:逐个手动清理法(中途注意不要双击到其中任何一个文件)(必须在文件夹选项里打开显示隐藏文件及显示已知文件扩展名)

1:打开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除Torjan pragramme
2:然后注销! 重新进入系统后到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把pagefile.com和D:\autorun.inf删掉, 然后再到C盘把上面所列出来的文件都删掉,可以对比其他文件的日期判断。
3:头号文件WINLOGON.EXE在C:\Windows\WINLOGON.EXE 可能提示删不掉
可以用光盘启动进入DOS模式,把它的系统,隐藏属性去掉然后删除它!

手工病毒清除后的系统修复

1:把那些病毒文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com ,然后双击这个COM文件,然后行动可以进入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*
这样exe文件就可以运行了。
或者用Regfix.exe,sreng.exe等工具修复,将扩展名EXE改成COM,就可打开。
2:开机跳出找不到文件“1.com”
在运行程序中运行“regedit”,打开注册表,在中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
3:清除了这个出马出现IE不能下载 请在IE选项 然后安全 然后点默认级别就可以下载了。

jglin008 发表于 2006-10-16 16:53:17

关于KB*.LOG 病毒清除方法


在分析部分朋友的扫描日志时发现有一些是感染了该病毒。

*号代表一串随机数字,此文件在系统目录下,和系统补丁日志文件放在一起,一眼看去很难发现它异常,并且他的文件名(数字部分)在不同的计算机上是不一样的,但仔细一看就能发现 ,用杀软扫描能发现此病毒,但不能清除。



一:病毒文件路径及自启动项

1.病毒文件通常在 %SystemRoot%\system32 下,文件名为KB*.log,(如:kb896435.log)
2.通过添加下面注册表值达到自启动的目的:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows
键值为 AppInit_DLLs: KB*.LOG
此时用HijackThis可扫描到020项,例如:O20 - AppInit_DLLs: KB2357802.LOG
3.也可添加下列注册表值将自身注册为服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00x\Services
服务名根据变种可能不同,用HijackThis可扫描到023项,例如:O23 - NT 服务: NetWorkLogon - Unknown owner - D:\WINDOWS\system32\KB896435.log



二:手动删除方法

因为此病毒会自动将文件加载到系统必要的一些进程里(几乎是所有系统包括iceswrod进程)因此必须通过一些辅助工具去清除此病毒。
运行IceSword.exe ,打开“进程”在右边进程栏所例出的进程上"右键"选择"模块信息"

http://bbs.hypost.cn/attachment/32_2687_8125aefc0155e6b.jpg

找到KB*.LOG项(以下为Kb78602M.log ) ,并点中它,然后点击"卸载"或"强行解除"

http://bbs.hypost.cn/attachment/32_2687_8f3f9257b9cc7e0.jpg

将进程栏里每一个运行的系统进程都看一下它的模块信息,然后找到并解除KB*.LOG的信息,最后点击"文件" 展开$:\winnt或$:\windows,找到kb*.LOG ,"右键" "删除"

http://bbs.hypost.cn/attachment/32_2687_3cdd254c5f5ad39.jpg

如果只做到这一步病毒是清除了,但注册表项没修复,下次开机就会出现“加载KB******.log时出错,找不到指定的模块”这就和大多数杀毒软件一样,仅仅处理病毒木马本体文件,而不处理启动项等有关注册表项。所以就造成了这个开机提示对话框提示“找不到指定的模块”的问题。
所以找到上面列出的注册表项,把对应kb******.log的启动项清空就行了。

jglin008 发表于 2006-10-16 16:53:51

维京病毒(worm viking bo)清除方法


6月5日,国内由瑞星病毒疫情监测网捕获,病毒名"Worm.Viking.bo”。是一个多功能混合型病毒,同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。



感染途径:主要通过QQ尾巴发送链接

病毒被激活后,释放以下文件:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目录\vdll.dll

添加以下启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\WINNT\rundl132.exe"

"load"="C:\WINNT\rundl132.exe"


感染所有分区下大小27KB-10MB的可执行文件(但不感染系统文件夹和programe files文件夹下的文件),并在被感染的文件夹中生成_desktop.ini。文件如果发现这个东西的话,估计十有八九已遭遇不幸了感染,感染后的EXE文件图标被破坏.

通过不安全的共享网络传播,有网络可用时,枚举内网所有共享主机,并尝试用弱口令连接\\IPC$、\admin$等共享目录,连接成功后进行网络感染。

结束一些国内的反病毒软件进程,如毒霸,瑞星,木马客星等。

vdll.dll注入Explorer或者Iexplore进程,当外网可用时,下载其他木马程序。




清除:手工删除病毒体容易,但刚才讲了它几乎感染所有EXE文件,当只要被感染的EXE文件运行时它又会死灰复燃,建议使用专杀
1.瑞星worm viking bo病毒专杀

2..kill worm viking bo病毒专杀

预防:及时升级你的杀软,并打开实时监控;安装一款防火墙;关闭不必要的网络共享;通过在线更新等给系统打好补丁;给管理员帐户加上足够强壮的密码;对于来历不名的文件不要随意运行。

jglin008 发表于 2006-10-16 16:55:25

十一种常见流氓软件完全卸载方法


一:MMSAssist彩信通

彩信通共有4个文件一个服务,分别是:
1.C:\windows\system32下的Albus.DAT;
2.C:\windows\system32下alsmt.exe;
3.C:\WINDOWS\SYSTEM32\DRIVERS下的Albus.SYS;
4.C:\programfiles\mmsassist文件夹
5.创建jmediaservice服务

卸载方法:
单单手动删除上面的文件和服务是徒劳的,删除后文件会马上复活,必须借助工具,彻底卸载方法:
1,在“控制面板”--“管理工具”--“服务”,在里面将“JMediaService”这个服务停止并且设置为禁用。
2,用超级兔子7.72以上版本,打开程序组里找到“超级兔子清理王”,之后找到“专业卸载”,就可以看到你的系统里的“彩信通”,就按下一步进行卸载,之后会提示你重启你的计算机,重启后,再重新卸载一次,就可以了。
3.没有装超级兔子的也可用unlocker进行卸载,方法:先用unlocker,对mmsassist文件夹进行删除,第一次无法删除的,再删一次,刷新后就没有了,同样再删除system32下面剩下的3处文件,再到安全模式,用恶意软件清理助手清理注册表项。



二:3721上网助手

所属公司----北京三七二一科技有限公司
厂商网址---www.3721.com

存在问题---
1、 强制安装
2、 浏览器劫持(添加用户不需要的按钮、ie地址菜单项中添加非法内容)
3、 干扰其他软件运行
4、无法彻底卸载

卸载方法:
1.运行regedit,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项,
点右键将Run项的权限设为---禁止所有人访问!即Administrator也禁止访问!
2.重新启动:你会发现,进程中的Rundll.exe没有了! ;)
3.首先删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的和3721
有关的项/键。
4.运行reggedit,搜索“{B83FC273-3522-4CC6-92EC-75CC86678DA4}”(不带引号),找到的一律删除!
5.删除windows\system32\drivers\cnsminkp.sys文件---现在可以删除了!
最好随便找个txt文件,该为cnsminkp.sys,放在哪里,将其禁用!
删除C:\Program Files\3721目录,最好将其保留,但是将其禁用,里面的文件一律删除!
6.搜索cnsminkp.sys和cnsmin.sys,删除!----偷梁换柱禁用更佳!



三:淘宝网

所属公司:阿里巴巴
厂商网址---www.taobao.com

存在问题---强行弹出过多广告

卸载方法---
卸载方法有四,最简单的如在MyIE或者Maxthon里面的“弹出窗口过滤”和“网页内容过滤”里面同时添加“unionsky、allyes、taobao”等过滤条目!更直接的方法是使用用世界之窗浏览器,不用任何设置,默认即可屏蔽!对于没有过滤功能的IE,如果系统是XP/2003,请在“开始,运行”中输入:%SystemRoot\system32 \notepad.exe C:\WINDOWS\ system32\drivers\etc\hosts 如果系统是98/me,请在“开始,运行”中输入:%SystemRoot%\system32\notepad.exe C:\WINDOWS\hosts 或点击这里下载自动运行命令,解压后选择合适的bat文件双击运行,然后,将下列语句添加到最后一行



四:ebay 易趣

所属公司----ebay inc.
厂商网址---www.ebay.com.cn

存在问题---
1、强制安装
2、浏览器劫持(自动在ie中添加按钮和菜单)
3、无法卸载

卸载方法:
对易趣广告的屏蔽可以参考上面对淘宝网广告的方法。但删除易趣插件就比较繁琐了。首先,易趣插件没有提供卸载工具。第二,易趣插件不能通过如windows优化大师这样的软件下载,因为系统文件已经被替换到了不能识别的版本而失败。

在2005年7月21日更新的暴风影音5.07正式版中,包括了针对流氓软件的三个清除小程序:分别是易趣清除程序UebayFOR暴风和酷狗.rar,可以清除易趣广告和几个广告链接。其次还有暴风去广告安装外挂程序以及暴风去广告安装外挂可选组件版程序。运行这些程序附件,不但能够自动去掉一搜和下载加速器的选项,还能安装后自动清除易趣广告。而且这一版的软件目前已经可以手动不安装易趣了。



五:dudu下载加速器

所属公司----千橡公司
厂商网址----ddd.dudu.com

存在问题---
1、 强制安装
2、 诱导用户安装广告程序
3、无法彻底删除

卸载方法:
方法一:手动卸载(有一定风险,先做好注册表等备份)
1.首先到添加与删除程序里卸载“dudu”。
2.运行注册表编辑器(开始、运行、regedit、编辑、查找)查找与“dudu、ddd6c、dddsetup、dddupdate、DuDuAcc”等相关相删除。
3.开始、搜索、搜索电脑中的“dudu、ddd6c、dddupdate、dddsetup、DuDuAcc”等相关项删除。
4.开始、设置、控制面板、性能和维护、任务计划里面把 DUDU的任务删掉
5.手动查找系统中与“dudu、ddd6c、dddupdate、dddsetup、DuDuAcc”等相关相删除。
6.重启电脑

方法二:自动卸载(风险低,建议使用)
在计算机的“program files”目录,会有一个叫“desktop media”目录,运行其中的uninstall.exe程序,即可。



六:中文上网

所属公司----中国互联网络信息中心
厂商网址---www.cnnic.net.cn

存在问题---
1、强制安装
2、无法彻底卸载

卸载方法--
进入“控制面板”的“添加/删除程序”选项,找到“中文上网官方版软件”,卸载。根据提示,选择要卸载的“中文域名IE客户端软件”和“中文域名邮件客户端软件”,输入“确认码”,进入下一步确认是否保留某些功能,确认保留或不保留后继续卸载,卸载完成会显示“中文上网官方版软件卸载成功!”的提示。

此时别高兴,因为这样和没有卸载差不多,否则每次删除后,一打开某个网页,就又自动安装上了,因此接下来还需要以下步骤:1、删除C:\Program Files\下 的CNNIC整个目录。2、“开始菜单”>>“运行”>>输入“regedit” 确定回车,查找路径:HKEY_CURRENT_USER\ Software\CNNIC和
HKEY_LOCAL_MACHINE\ SOFTWARE\CNNIC,将其全部删除才算了结。



七:青娱乐聊天软件(qyule)

所属公司----青娱乐 锋力科技 青鸟科联
厂商网址---www.qyule.com

存在问题---强制安装

卸载方法---
青娱乐的关键可能是收费和部分名过其实的内容,有些网友指出,在花费开通后得到的内容可能会和名称不符,而青娱乐也会和其它软件捆绑而不请自来。清除青娱乐的方法并不复杂,但对已经交费的会员可能会涉及到申请停止服务的问题。退订前最好看清规则再操作,尤其是短信退订需要避免字母O还是数字0这样的误会。至于卸载,你可以使用首先在Windows任务管理器中关掉该进程,之后在本机中查找文件名为qyule.exe 的青娱乐原程序,找到以后直接删除就可以了。



八:很棒小秘书

所属公司----很棒信息服务有限公司
厂商网址---www.henbang.net

存在问题---
1、 强制安装
2、无法彻底卸载

卸载方法---
1.按照软件中的说明删除软件(点击C:\Widnows\System32\目录下的uninstall.exe);2.删除掉注册表中相关的自启动内容;3.然后进入C:\Widnows\System32\目录,删除winup.exe、hap.dll、winhtp.dll和hda.ini文件(如果有henbangtemp这个文件夹的话,也删掉);4.检查一次,把和与之相关的文件夹也删掉;5.打开IE浏览器,依次点击:“工具,加载管理项”,然后将涉及到winhtp.dll的加载项禁用。

如果你是xp sp2版,可以按照以下方法关闭它:1.首先打开ie,然后选择“internet选项”;2.选择“程序”页,点击“管理加载项”;3.选中“UrlMonitor Class”,选择禁用此项;4.首先在添加/删除程序中找到HAP,卸载之。然后使用反毒软件或者木马专杀软件全面扫描C盘,这些软件会多多少少发现一些这个广告程序所用到的文件。和这个软件相关的文件有:
C:\WINDOWS\system32\winup.exe
C:\WINDOWS\system32\winhtp.dll
C:\WINDOWS\SoftwareDistribution \Download\XXXX\update\ spcustom.dll
C:\windows\system32\uninstall.exe
C:\windows\system32\ henbagkiller.exe
C:\Program Files\henbang文件夹
hap.dll
一般反毒软件病不能完全查杀这个程序,于是就需要我们在硬盘,文件内容和注册表中手动删除这些文件,并且记住删除工作在安全模式下进行,这样才能查杀干净。



九:百度搜霸、百度超级搜霸

所属公司----百度
厂商网址---www.baidu.com

存在问题---强制安装

卸载方法----
删除百度搜霸的方法是,在IE浏览器的菜单中,依次进入“工具,Internet选项,常规,Internet临时文件,设置,查看对象”,然后找到对应的插件名称,用鼠标选中后删除即可。



十:一搜工具条

所属公司----雅虎
厂商网址----toolbar.yisou.com

存在问题---强制安装

卸载方法----
一搜工具条删除比较简单。单击一搜徽标打开下拉菜单。选择“帮助,卸载选项”。如果无法访问工具条上的一搜徽标,也可以使用 Windows 控制面板中的添加/删除程序卸载工具条:单击 Windows“开始”按钮,然后选择设置。打开控制面板文件夹,然后双击添加/删除程序条目。浏览程序列表,选取“一搜工具条”。 单击添加/删除按钮。



十一:网络猪、划词搜索

所属公司----中搜在线
厂商网址----pig.zhongsou.com

存在问题---
1、强制安装
2、无法彻底卸载

卸载方法:
删除网络猪目前有两种方法,1.在系统进程中结束movesearch.exe,然后在C:\Program Files中进入wsearch文件夹,然后执行其中的卸载程序。最后返回上层文件夹,把wsearch文件夹删除。2.手动清除,就是直接在中止movesearch程序后,直接删除Program Files下的wsearch文件夹及其下文件,然后在注册表中清除与movesearch有关的信息。(打开注册表,搜索“movesearch”(可按F3)统统删除即可)

删除划词搜索比较麻烦,因为即便先卸载划词搜索再删除wsearch文件夹也不能彻底将其清除,目前比较管用的方法是使用新版的超级兔子专业卸载功能。

jglin008 发表于 2006-10-16 16:56:27

反病毒经常要用到的一些操作和方法


清空Internet Explorer临时文件
若病毒位于Temporary Internet Files目录或者Cookies目录中,请清空IE缓存或者清除Cookies。方法如下:
控制面板——Internet选项——(如图)

http://bbs.hypost.cn/attachment/32_2687_25c9562e9b95609.jpg
显示隐藏文件,方法如下:
(Win9X/ME系统)我的电脑——查看——文件夹选项
(Win2000/XP/2003系统)我的电脑——工具——文件夹选项——(如图)

http://bbs.hypost.cn/attachment/32_2687_f7c8579e106ace0.jpg

如何禁用/关闭“系统还原”
若病毒位于System Volume Information目录或者_Restore目录中,请关闭系统还原,方法如下:
(WinME系统)我的电脑——属性——性能——文件系统——疑难解答——禁用系统还原
(WinXP系统)我的电脑——属性——系统还原——(如图)

http://bbs.hypost.cn/attachment/32_2687_c31a71d4aeed4d6.jpg

更改账户密码,方法如下:
适用于(Win2000/XP/2003系统):控制面板——管理工具——计算机管理
适用于(WinXP/2003系统):开始菜单——运行

http://bbs.hypost.cn/attachment/32_2687_1c413734a326d96.jpg


http://bbs.hypost.cn/attachment/32_2687_31f916b5ca0e257.jpg

如何进入“安全模式”方法:
重新启动电脑,然后在系统自检时按F8即可选择进入安全模式。
若不知何时自检,建议重新启动电脑然后不停地按F8,直到进入安全模式的选择菜单出来为止。
图,适用于Win9X/ME系统
图,适用于Win2000/XP/2003系统

http://bbs.hypost.cn/attachment/32_2687_7688e54a313ca21.jpg


http://bbs.hypost.cn/attachment/32_2687_4bf7da2c6d56ff6.jpg

如何打开“注册表编辑器并查找内容”的方法(适用于所有Windows系统):
开始菜单——运行——输入“regedit”,然后“确定”——(如图)

http://bbs.hypost.cn/attachment/32_2687_52fff2f5e95bce3.jpg

如何删除病毒/木马程序的自启动项
如何从注册表编辑器中删除病毒文件的自启动项
打开注册表编辑器:“开始”>>“运行”,输入“REGEDIT”,点击“确定”打开注册表编辑器。
一般病毒经常会将自己的自启动项加在注册表的,依次展开下列路径,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,这也是最常见的一个自启动项位置,对于病毒的自启动项,我们一般可以直接删除如图14。
注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和HKEY_LOCAL_user\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下也是病毒经常添加自启动项的地方。
另外,HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
下也会被病毒程序利用起来加上它们的自启动项,只不过不是非常多见,所以有些用户也不十分清楚它在注册表编辑器中的位置,不一定能在注册表编辑器中找到这里,这个时候,我们可以使用菜单“编辑”>>“查找”功能来查找一下我们所要找的病毒自启动信息,如图,我们输入病毒文件的完整文件名来进行查找。
http://chun30.xoompages.com/f14.jpg
如何禁用某些“自启动项”和禁用某些“系统服务”
开始菜单——运行——输入“msconfig”,然后“确定”,打开“系统配置实用程序”——点“启动”就可查看系统加载的启动程序,只要去掉某自启动项前的勾你就可以禁用该启动项,注意别望了点“确定”。如图
http://chun30.xoompages.com/f9.jpg
开始菜单——运行——输入“services.msc”,然后“确定”,打开“服务”对话框后,鼠标右键单击想要禁用的服务名——选择“属性”——在启动类型下拉列表中选“已禁用”——点“确定”如图
http://chun30.xoompages.com/f10.jpg
http://chun30.xoompages.com/f100.jpg
如何结束一个进程, 如何运行一个进程
首先打开任务管理器,右键点击任务栏,在出现的菜单中选择“任务管理器”可打开“任务管理器”,或者从“开始”>>“运行”里输入“taskmgr.exe”来打开“任务管理器”,或者同时按下Ctrl+Alt+Del三键来打开“任务管理器”。
如图,选择一个需要结束的进程,然后按下“结束进程”按钮。
http://chun30.xoompages.com/f11.jpg
使用Windows任务管理器运行进程
如图,在“任务管理器”菜单中依次点击“文件”>>“新任务(运行)”,然后在弹出的“创建新任务”对话框里输入需要运行的程序名,或者用“浏览”按钮选择一个需要运行的程序,最后按“确定”按钮运行该程序。
http://chun30.xoompages.com/f12.jpg
如何在DOS或CMD命令行下删除病毒文件
这里简单说说在DOS和CMD命令行下如何删除病毒文件,一般来说,病毒文件在DOS下或在带命令行的安全模式下都可以比较顺利地直接删除。
一般我们需要用到两个命令,一个是ATTRIB,用来设置(去除)病毒文件属性,另一个就是删除文件的DEL命令了。
DOS中,如图:
病毒文件可能会带有“系统”、“隐含”或“只读”属性,碰到带有这些属性的可能无法直接DEL删除,我们首先要去掉病毒文件的这些属性。
命令:
attrib -s -h -r rejoice.dll
(其中-s表示去除“系统”属性;-h表示去除“隐含”属性;-r表示去除“只读”属性)
然后我们就可以使用DEL命令来删除病毒文件了。
命令:
del rejoice.dll
http://chun30.xoompages.com/f13.jpg

czrbbb 发表于 2006-10-17 00:12:42

强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强强

zhiaiyaoyao 发表于 2006-10-17 08:39:55

好文章,可惜能看明白又能用的人少了点
页: [1] 2 3
查看完整版本: [10/16][技术分享] 常见流行病毒,流氓软件解决方案,反病毒技术集合