6.黑洞2001
“黑洞2001”是國產木馬程序,默認連接端口2001,它的圖標是一個文件夾,具有很強的迷惑性,一不小心,就會上當。下面介紹清除方法。
(1)使用“開始”→“運行”,輸入“regedit”命令,然后將HKEY_CLASSES_RO- OT\txtfile\shell\open\command下的默認鍵值由S_SERVER.EXE%1改為C:\Windows\NO- TEPAD.EXE%1:
(2)將HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默認鍵值由S_SERVER.EXE%1改為C:\Windows\NOTEPAD.EXE%1;
(3)將HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServ- ices\下的串值Windows刪除;
(4)將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主鍵刪除;
(5)到C:\Windows\SYSTEM下,刪除Windows.exe和S_Server.exe這兩個木馬文件。
7.“無賴小子”2.4版本
“無賴小子”是國產木馬程序,默認連接端口8011,它可以被稱為注冊表操控方面的“木馬老大”。準確地說這個木馬并沒有完善的清除方法,因為它強大的注冊表修改功能使得每個注冊表鍵值都可能被修改,所以這里所使用的清除方法也只適合默認狀態下的清除。具體做法是使用進程管理器終止掉這個木馬的進程,然后在Windows下直接刪除 msgsvc.exe,至于注冊表中的鍵值,按照木馬最容易啟動自己的地方進行檢查,發現有改動的就刪除掉。可見,在中木馬病毒前備份注冊表是非常重要的。
8.“網絡神偷”(Nethief)
“網絡神偷”又名Nethief,是第一個反彈端口型的新型木馬。它的最大危害在于能夠使用反彈端口遠程控制局域網內部的機器。它的工作方式:服務端使用主動端口,客戶端使用被動端口。當打開客戶端的時候,客戶端自動通過FTP主頁空間寫入一些數據告訴服務端,如自己的IP地址端口等信息,并進入監聽狀態。而服務端定期的檢查一下FTP空間里面的輸入是否發生了變化,當發生了變化之后,它就會自動開始連接客戶端。為了隱蔽,客戶端的監聽端口一般開在80,這樣即使用戶使用端口掃描軟件檢查自己的端口中,發現的也是類似“TCP服務端的IP地址:1026客戶端的IP地址:80ESTABLISHED”的信息,大多數人都還以為自己在瀏覽網頁。下面介紹手動清除方法。
(1)先刪除注冊表啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo- ws\CurrentVersionkRun下的internet/s鍵值(鍵名是在生成服務端時由用戶設置的,可能有些變化);
(2)重啟后,再刪除系統目錄(C:\Windows\System)中的服務端程序intemet.exe(文件名也是由用戶設置的,可能有些變化)。
9.“網絡公牛”(Netbull)
“網絡公牛”又名Netbull,是國產木馬,默認連接端口234444。服務端程序newserver.exe運行后,會自動脫殼成checkdll.exe,位于C:\Windows\SYSTEM下,下次開機checkdll.exe將自動運行。同時,服務端運行后會自動捆綁以下文件:Windows 9X下:捆綁notepad.exe; write.exe,regedit.exe,winmine.exe,winhelp.exe;winnt/2000(在2000下會出現文件改動報警,但也不能阻止以下文件的捆綁)下:notepad.exe regedit.exe,reged32.exe;drwtsn32.exe; winmine.exe。
服務端運行后還會捆綁在開機時自動運行的第三方軟件(如:realplay.exe,QQ或ICQ等)上。
下面介紹手動清除方法。
(1)刪除網絡公牛的自啟動程序C:\Windows\SYSTEM\CheckDll.exe;
(2)把網絡公牛在注冊表中所建立的鍵值全部刪除;
[HKEY_CURRENT_USER\Software\Micmsoft\Windows\CurrentVersion\Run]
“CheckDll.exe”=“C:\Windows\SYSTEM\CheckDll.exe”
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows、CurrentVersion\RunServices]
“CheckDll.exe”=“C:\Windows\.SYSTEM\CheckDll.exe”
[HKEY_USERS\.DEFAULT\Software\Micmsoft\Windows\CurrentVersionkRun]
“CheckDll.exe”=“C:\Windows\SYSTEM\CheckDll.exe”
(3)檢查上面列出的文件,如果發現文件長度發生變化(大約增加了40KB左右,可以通過與其他電腦上的正常文件比較而知),就刪除它們!然后點擊“開始→附件→系統工具→系統信息→工具→系統文件檢查器”,在彈出的對話框中選中“從安裝軟盤提取一個文件(E)”,在框中填入要提取的文件(前面被刪除的文件),點“確定”按鈕,然后按屏幕提示將這些文件恢復即可。如果是開機時自動運行的第三方軟件如:realplay.exe,QQ或ICQ等被捆綁上了,那就得把這些文件刪除,再重新安裝。
10.AttackFTP木馬
AttackFTP木馬也是目前比較典型的木馬,通常木馬文件被保存在Windows的系統目錄下,然后利用C:\Windows下的Win.ini文件中的“Load=”及注冊表文件產生雙重引導木馬效果。
要清除AttackFTP木馬可以按照以下的步驟進行。
(1)打開win.ini文件,在“Windows”下面有“load=wscan.exe”,刪除其中的“wscan.ex-e”,正確是“load=”后面沒有任何文字敘述。修改完畢之后,別忘了保存關閉win.ini文件。
(2)打開注冊表并刪除運行路徑。打開目錄到HKEY_LOCAL_MACHINE\SOFTWA- RE\Microsoft\Windows\CurrentVersion\Run,刪除右邊的Reminder=“wscan.exe/s”。
(3)重新啟動到MS-DOS系統中,刪除C:\windowsksystem\wscan.exe,待刪除之后重新開機進入Windos系統。
11.Win32.FunLove.4099
FunLove是一個非破壞性的內存駐留的Win32病毒,它感染本地驅動器和網絡驅動器上的PE格式文件,因為有網絡傳播能力,它以一個感染的工作站為基地,通過對當前用戶寫授權的網絡資源進行傳播。雖然FunLove病毒對數據沒有直接的破壞性,但也會占用系統資源,降低運行速度。下面介紹手工清除方法。
在Windows 9X系統上的清除方法為。
(1)斷開網絡,備份重要文件;
(2)將病毒生成的FLCSS.exe文件刪除;
(3)用啟動盤引導系統,在DOS下查找并清除。
Windows 2000/NT系統上的清除方法為。
若Windows 2000/NT系統的NTFS硬盤分區染有此毒,處理比較煩瑣。因為使用DOS軟盤引導后不認硬盤分區,所以無法殺毒。在染毒的Windows 2000/NT系統下又殺不干凈病毒。
推薦消除方法為:
(1)斷開網絡,備份重要文件,將病毒生成的FLCSS.exe文件刪除;
(2)將患毒的硬盤掛接在無毒的機器上作為從盤;
(3)用無毒的主盤引導機器后,查找并清除從盤中的病毒。
12.歡樂時光(Happytime)
“歡樂時光”(Happytime)是一個VB源程序蠕蟲。它專門感染.htm,.html,.vbs,.asp和.htt文件。它作為電子郵件的附件,并利用Outlook Express的功能缺陷把自己傳播出去。它利用一個被人們所知的Microsoft Outlook Express的安全漏洞,可以在用戶沒有運行任何附件時就運行自己。它利用Outlook Express的信紙功能,使自己復制在信紙的Html模板上,以便傳播。這和“Wscript.KakWorm”病毒很相似,當信發出去時,“歡樂時光”的源病毒隱藏在HTML文件上。只要用戶在Outlook Express上預覽了隱藏有病毒的HTML文件,甚至都不用打開它,它就能感染用戶的電腦。
清除“歡樂時光”病毒方法
(1)在C:\Windows\Web文件夾下,搜索文件和文件夾,名為“*.htt”;
(2)刪除找到的文件;
(3)更改注冊表,并刪除鍵值:HKEY_CURRENT_USER\Software\Help\Count HKE- Y_CURR*ENT USER\Software\Help\FileName;
(4)重新啟動機器;
(5)升級IE到6.0。
13.Worm.BadTrans.ll
“I-Worm.BadTrans.II”是一種蠕蟲病毒,如果郵件Client程序上沒有修補漏洞,只要讀郵件,被設置了儲藏鍵盤輸入內容的特洛伊木馬,就會通過郵件傳播。該蠕蟲病毒運行時,會將自己復制到Windows的System目錄下,并命名為KERNEL32.EXE,并將它加到注冊表 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce中,使自己能在下次Windows啟動時運行。同時還會生成一個dll文件:KDLL.DLL,該文件是儲藏輸入鍵盤內容功能的特洛伊木馬。下面介紹手動清除方法。
在Windows 9X系統中:
(1)按“Alt”+“Shift”+“Ctrl”鍵,結束Kemel32.exe的進程;
(2)在Windows\system\下查找Kerne132.exe和Kdll.dll文件并刪除它們;
(3)刪除注冊表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre- ntVersion\RunOnce\Keme132=Keme132.exe的主鍵。
在Windows 2000/NT系統中:
(1)在Windows 2000/NT下結束進程;方法為按“Alt”+“Shift”+“Ctrl”鍵出現任務管理器窗口,在進程選項中,查找KerneD2.exe文件,選中后結束程序進程;
(2)回到系統目錄WINNT\ystem32\刪除文件Kerne132.exe和KDLL.dll;
(3)刪除注冊表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current- Version\RunOnce\Keme132=Keme132.exe的主鍵;
最后,別忘了升級IE6.0。
14.尼姆達(Nimda)
在手工查殺尼姆達(Nimda)時,須注意不同的平臺采取不同的方法。
對于Windows 98用戶:
(1)打開進程管理器,查看進程列表,結束其中進程名稱為“xxx.tmp.exe”以及“Loa- d.exe”的進程(其中xxx為任意文件名);
(2)切換到系統的TEMP目錄,尋找文件長度為57344的文件,刪掉它們;
(3)切換到系統的System目錄,尋找大小為57344字節名稱為Riched20.DLL的文件并刪掉它;
(4)繼續在系統的System目錄下尋找名稱為load.exe,刪掉它;
(5)如果遇到Office運行異常,請將Windows 98安裝目錄下的壓縮包內的RICHE- D20.DLL文件復制到C:\windows\system下,替換掉到原有的RICHED20.DLL文件;
(6)如發現C:盤共享,請打開共享文件夾管理,將共享“C$”去除;
(7)打開Sysmm.im文件,在[load]中如果有一行“shell=explorer.exe load.exedontrunold”,則改為“shell=explorer.exe”;
(8)升級IE到6.0版本。
對于Windows2000 Professional/Server/Advanced server/NT4 Server:
(1)首先安裝IIS補丁及IE相應的最新補丁;
(2)將服務器隔離,斷開所有網線;
(3)將IIS服務的Scripts目錄中TFTP*.exe和ROOT.exe文件全部移除:
(4)當受到尼姆達病毒的入侵后,系統中會出現一些新的共享,如C、D等,應該將其共屬性去掉;
(5)另外,查看一下administrators組中是否加進了“guest”用戶,如果是,請將guest用戶從administrators組中刪除;
(6)徹底清除Nimda病毒,查找與清除方式同Windows 98系統;
(7)恢復網絡連接;
(8)如果按照以上步驟仍無法解決問題,說明IIS補丁安裝有問題,請重新安裝IIS補丁; (9)如果用戶服務器不提供Web服務,應將Web服務停止.,這樣比較安全。