亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

木馬病毒的識別與消除方法(中)
2007-10-08   網絡

6.黑洞2001

“黑洞2001”是國產木馬程序,默認連接端口2001,它的圖標是一個文件夾,具有很強的迷惑性,一不小心,就會上當。下面介紹清除方法。

(1)使用“開始”→“運行”,輸入“regedit”命令,然后將HKEY_CLASSES_RO- OT\txtfile\shell\open\command下的默認鍵值由S_SERVER.EXE%1改為C:\Windows\NO- TEPAD.EXE%1:

(2)將HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默認鍵值由S_SERVER.EXE%1改為C:\Windows\NOTEPAD.EXE%1;

(3)將HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServ- ices\下的串值Windows刪除;

(4)將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主鍵刪除;

(5)到C:\Windows\SYSTEM下,刪除Windows.exe和S_Server.exe這兩個木馬文件。

7.“無賴小子”2.4版本

“無賴小子”是國產木馬程序,默認連接端口8011,它可以被稱為注冊表操控方面的“木馬老大”。準確地說這個木馬并沒有完善的清除方法,因為它強大的注冊表修改功能使得每個注冊表鍵值都可能被修改,所以這里所使用的清除方法也只適合默認狀態下的清除。具體做法是使用進程管理器終止掉這個木馬的進程,然后在Windows下直接刪除 msgsvc.exe,至于注冊表中的鍵值,按照木馬最容易啟動自己的地方進行檢查,發現有改動的就刪除掉。可見,在中木馬病毒前備份注冊表是非常重要的。

8.“網絡神偷”(Nethief)

“網絡神偷”又名Nethief,是第一個反彈端口型的新型木馬。它的最大危害在于能夠使用反彈端口遠程控制局域網內部的機器。它的工作方式:服務端使用主動端口,客戶端使用被動端口。當打開客戶端的時候,客戶端自動通過FTP主頁空間寫入一些數據告訴服務端,如自己的IP地址端口等信息,并進入監聽狀態。而服務端定期的檢查一下FTP空間里面的輸入是否發生了變化,當發生了變化之后,它就會自動開始連接客戶端。為了隱蔽,客戶端的監聽端口一般開在80,這樣即使用戶使用端口掃描軟件檢查自己的端口中,發現的也是類似“TCP服務端的IP地址:1026客戶端的IP地址:80ESTABLISHED”的信息,大多數人都還以為自己在瀏覽網頁。下面介紹手動清除方法。

(1)先刪除注冊表啟動項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo- ws\CurrentVersionkRun下的internet/s鍵值(鍵名是在生成服務端時由用戶設置的,可能有些變化);

(2)重啟后,再刪除系統目錄(C:\Windows\System)中的服務端程序intemet.exe(文件名也是由用戶設置的,可能有些變化)。

9.“網絡公牛”(Netbull)

“網絡公牛”又名Netbull,是國產木馬,默認連接端口234444。服務端程序newserver.exe運行后,會自動脫殼成checkdll.exe,位于C:\Windows\SYSTEM下,下次開機checkdll.exe將自動運行。同時,服務端運行后會自動捆綁以下文件:Windows 9X下:捆綁notepad.exe; write.exe,regedit.exe,winmine.exe,winhelp.exe;winnt/2000(在2000下會出現文件改動報警,但也不能阻止以下文件的捆綁)下:notepad.exe regedit.exe,reged32.exe;drwtsn32.exe; winmine.exe。

服務端運行后還會捆綁在開機時自動運行的第三方軟件(如:realplay.exe,QQ或ICQ等)上。

下面介紹手動清除方法。

(1)刪除網絡公牛的自啟動程序C:\Windows\SYSTEM\CheckDll.exe;

(2)把網絡公牛在注冊表中所建立的鍵值全部刪除;

[HKEY_CURRENT_USER\Software\Micmsoft\Windows\CurrentVersion\Run]

“CheckDll.exe”=“C:\Windows\SYSTEM\CheckDll.exe”

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows、CurrentVersion\RunServices]

“CheckDll.exe”=“C:\Windows\.SYSTEM\CheckDll.exe”

[HKEY_USERS\.DEFAULT\Software\Micmsoft\Windows\CurrentVersionkRun]

“CheckDll.exe”=“C:\Windows\SYSTEM\CheckDll.exe”

(3)檢查上面列出的文件,如果發現文件長度發生變化(大約增加了40KB左右,可以通過與其他電腦上的正常文件比較而知),就刪除它們!然后點擊“開始→附件→系統工具→系統信息→工具→系統文件檢查器”,在彈出的對話框中選中“從安裝軟盤提取一個文件(E)”,在框中填入要提取的文件(前面被刪除的文件),點“確定”按鈕,然后按屏幕提示將這些文件恢復即可。如果是開機時自動運行的第三方軟件如:realplay.exe,QQ或ICQ等被捆綁上了,那就得把這些文件刪除,再重新安裝。

10.AttackFTP木馬

AttackFTP木馬也是目前比較典型的木馬,通常木馬文件被保存在Windows的系統目錄下,然后利用C:\Windows下的Win.ini文件中的“Load=”及注冊表文件產生雙重引導木馬效果。

要清除AttackFTP木馬可以按照以下的步驟進行。

(1)打開win.ini文件,在“Windows”下面有“load=wscan.exe”,刪除其中的“wscan.ex-e”,正確是“load=”后面沒有任何文字敘述。修改完畢之后,別忘了保存關閉win.ini文件。

(2)打開注冊表并刪除運行路徑。打開目錄到HKEY_LOCAL_MACHINE\SOFTWA- RE\Microsoft\Windows\CurrentVersion\Run,刪除右邊的Reminder=“wscan.exe/s”。

(3)重新啟動到MS-DOS系統中,刪除C:\windowsksystem\wscan.exe,待刪除之后重新開機進入Windos系統。

11.Win32.FunLove.4099

FunLove是一個非破壞性的內存駐留的Win32病毒,它感染本地驅動器和網絡驅動器上的PE格式文件,因為有網絡傳播能力,它以一個感染的工作站為基地,通過對當前用戶寫授權的網絡資源進行傳播。雖然FunLove病毒對數據沒有直接的破壞性,但也會占用系統資源,降低運行速度。下面介紹手工清除方法。

在Windows 9X系統上的清除方法為。

(1)斷開網絡,備份重要文件;

(2)將病毒生成的FLCSS.exe文件刪除;

(3)用啟動盤引導系統,在DOS下查找并清除。

Windows 2000/NT系統上的清除方法為。

若Windows 2000/NT系統的NTFS硬盤分區染有此毒,處理比較煩瑣。因為使用DOS軟盤引導后不認硬盤分區,所以無法殺毒。在染毒的Windows 2000/NT系統下又殺不干凈病毒。

推薦消除方法為:

(1)斷開網絡,備份重要文件,將病毒生成的FLCSS.exe文件刪除;

(2)將患毒的硬盤掛接在無毒的機器上作為從盤;

(3)用無毒的主盤引導機器后,查找并清除從盤中的病毒。

12.歡樂時光(Happytime)

“歡樂時光”(Happytime)是一個VB源程序蠕蟲。它專門感染.htm,.html,.vbs,.asp和.htt文件。它作為電子郵件的附件,并利用Outlook Express的功能缺陷把自己傳播出去。它利用一個被人們所知的Microsoft Outlook Express的安全漏洞,可以在用戶沒有運行任何附件時就運行自己。它利用Outlook Express的信紙功能,使自己復制在信紙的Html模板上,以便傳播。這和“Wscript.KakWorm”病毒很相似,當信發出去時,“歡樂時光”的源病毒隱藏在HTML文件上。只要用戶在Outlook Express上預覽了隱藏有病毒的HTML文件,甚至都不用打開它,它就能感染用戶的電腦。

清除“歡樂時光”病毒方法

(1)在C:\Windows\Web文件夾下,搜索文件和文件夾,名為“*.htt”;

(2)刪除找到的文件;

(3)更改注冊表,并刪除鍵值:HKEY_CURRENT_USER\Software\Help\Count HKE- Y_CURR*ENT USER\Software\Help\FileName;

(4)重新啟動機器;

(5)升級IE到6.0。

13.Worm.BadTrans.ll

“I-Worm.BadTrans.II”是一種蠕蟲病毒,如果郵件Client程序上沒有修補漏洞,只要讀郵件,被設置了儲藏鍵盤輸入內容的特洛伊木馬,就會通過郵件傳播。該蠕蟲病毒運行時,會將自己復制到Windows的System目錄下,并命名為KERNEL32.EXE,并將它加到注冊表 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce中,使自己能在下次Windows啟動時運行。同時還會生成一個dll文件:KDLL.DLL,該文件是儲藏輸入鍵盤內容功能的特洛伊木馬。下面介紹手動清除方法。

在Windows 9X系統中:

(1)按“Alt”+“Shift”+“Ctrl”鍵,結束Kemel32.exe的進程;

(2)在Windows\system\下查找Kerne132.exe和Kdll.dll文件并刪除它們;

(3)刪除注冊表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre- ntVersion\RunOnce\Keme132=Keme132.exe的主鍵。

在Windows 2000/NT系統中:

(1)在Windows 2000/NT下結束進程;方法為按“Alt”+“Shift”+“Ctrl”鍵出現任務管理器窗口,在進程選項中,查找KerneD2.exe文件,選中后結束程序進程;

(2)回到系統目錄WINNT\ystem32\刪除文件Kerne132.exe和KDLL.dll;

(3)刪除注冊表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current- Version\RunOnce\Keme132=Keme132.exe的主鍵;

最后,別忘了升級IE6.0。

14.尼姆達(Nimda)

在手工查殺尼姆達(Nimda)時,須注意不同的平臺采取不同的方法。

對于Windows 98用戶:

(1)打開進程管理器,查看進程列表,結束其中進程名稱為“xxx.tmp.exe”以及“Loa- d.exe”的進程(其中xxx為任意文件名);

(2)切換到系統的TEMP目錄,尋找文件長度為57344的文件,刪掉它們;

(3)切換到系統的System目錄,尋找大小為57344字節名稱為Riched20.DLL的文件并刪掉它;

(4)繼續在系統的System目錄下尋找名稱為load.exe,刪掉它;

(5)如果遇到Office運行異常,請將Windows 98安裝目錄下的壓縮包內的RICHE- D20.DLL文件復制到C:\windows\system下,替換掉到原有的RICHED20.DLL文件;

(6)如發現C:盤共享,請打開共享文件夾管理,將共享“C$”去除;

(7)打開Sysmm.im文件,在[load]中如果有一行“shell=explorer.exe load.exedontrunold”,則改為“shell=explorer.exe”;

(8)升級IE到6.0版本。

對于Windows2000 Professional/Server/Advanced server/NT4 Server:

(1)首先安裝IIS補丁及IE相應的最新補丁;

(2)將服務器隔離,斷開所有網線;

(3)將IIS服務的Scripts目錄中TFTP*.exe和ROOT.exe文件全部移除:

(4)當受到尼姆達病毒的入侵后,系統中會出現一些新的共享,如C、D等,應該將其共屬性去掉;

(5)另外,查看一下administrators組中是否加進了“guest”用戶,如果是,請將guest用戶從administrators組中刪除;

(6)徹底清除Nimda病毒,查找與清除方式同Windows 98系統;

(7)恢復網絡連接;

(8)如果按照以上步驟仍無法解決問題,說明IIS補丁安裝有問題,請重新安裝IIS補丁;    (9)如果用戶服務器不提供Web服務,應將Web服務停止.,這樣比較安全。

熱詞搜索:

上一篇:木馬病毒的識別與消除方法(上)
下一篇:木馬病毒的識別與消除方法(下)

分享到: 收藏