病毒猎手贴[不断更新]
[color=red]本贴请勿跟贴!大家发现新的病毒或者有杀毒的好方法可以发新主题,我会负责整理!谢谢合作![/color]一、LASSA.EXE 的病毒,
跑跑卡丁车是不是玩不了了,那个病毒也隐藏起来了,杀也杀不掉!怎么办?
杀掉LASSA.EXE的方法:清除方法:进入安全模式。按下Ctrl+Alt+Del组合键打开“任务管理器”(适用於Windows NT/2000/XP),找到Lassa.exe进程,右键按一下它,选择“结束进程”,然后关闭“任务管理器”。进入系统文件夹,默认情况下该文件夹:Windows 95/98/Me为C:\Windows\System文件夹,Windows NT/2000为C:\Winnt\system32,Windows XP为C:\Windows\system32,找到并永久删除Lassa.exe文件点击开始-->运行,输入regedit按回车进入注册表编辑器找到如下注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除如下键值".mscdr"="%System%\lassa.exe"重新启动电脑。
[[i] 本帖最后由 霜狼 于 2006-11-27 23:41 编辑 [/i]] 二、灰鸽子
清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“G_server.exe”,点击确定,我们就可以找到灰鸽子的服务项.
3、删除整个G_server.exe键值所在的服务项。
[呢个都系,可能真系我唔识操作,所以根本就都揾唔到,于是我用咗一个低B嘅方法,就系照住清道夫搜出黎嘅文件名来查找,竟然俾我揾到.呵呵~~`揾唔到果D即系无注册项,所以直接入去文件删除就得了]
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run项,立即可以看到名为G_server.exe的一项,将G_server.exe项删除即可。
删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的G_server.exe、G_server.dll、G_server_Hook.dll以及G_serverkey.dll文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。
三、_desktop.ini
该病毒会在每个文件夹中生成一个名为_desktop.ini的文件,一个个去删除,显然太费劲,(我的机器的操作系统因安装在NTFS格式下,所以系统盘下的文件夹中没有这个文件,另外盘下的文件夹无一幸免),因此在这里介绍给大家一个批处理命令 del d:\_desktop.ini /f/s/q/a,该命令的作用是:强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除。
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。
/a的意思是按照属性来删除了
这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的
使用方法是开始--所有程序--附件--命令提示符,键入上述命令(也可复制粘贴),首先删除D盘中的_desktop.ini,然后依此删除另外盘中的_desktop.ini。
至此,该病毒对机器造成的影响全部消除。
四、tel.xls.exe
病毒类型:木马影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危
害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件
发送到指定邮箱。
1.生成文件
%systemroot%\SocksA.exe
非系统盘下 tel.xls.exe和autorun.inf
autorun.ini内容:
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
2.注册表
(1)添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"ASocksrv" = "SocksA.exe"
更改文件夹选项中显示隐藏文件的值
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\F
older\Hidden\SHOWALL\CheckedValue 的类型为REG_SZ(原本为REG_DWORD)
感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标
,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运
行。
查杀方法
1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们
结束掉。到C:\WINDOWS\system32里找到SocksA.exe把它删除。如果无法删除,使用
killbox选择重启删除,或进入安全模式删除。
2.禁用移动设备的自动运行功能(目的在于避免重新被U盘感染):把下面的代码保存为
noautorun.reg,导入注册表即可。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
3.恢复显示所有的文件项:打开regedit,找到
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如
果不是则删掉 CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue
,然后修改它的键值为1。
4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏
受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根
目录下的autorun.inf和tel.xls.exe文件。
五、AdobeR.exe
最近很流行的ADOBER.EXE.打开你的任务管理器,进程里如果有一个或者几个AdobeR.exe在运行,恭喜你,很时尚的中毒了!
结束以上进程.
打开我的电脑,打开 工具/文件夹选项/查看
里面有一个'隐藏受保护的操作系统文件',把前面的勾勾去掉,会出来一个警告窗口,选'是',再往下,选中'显示所有文件和文件夹'.
操作系统是WINXP的同胞们注意:
若系统盘为C盘,进入C:\WINDOWS,选中任一文件,按'A'键,就能找到'AdobeR.exe',删除!
如果是WIN2000则进入C:\WINNT.0,找到'AdobeR.exe',删除!
如果插了U盘,进入U盘,把'AdobeR.exe','outorun.ini','AdobeR.exe.log'三个文件删除!
清除完毕!
下次插其他U盘的时候,不要双击,用右键,点'打开',不要运行'OUTO'和‘自动播放’,进去后如果发现有以上三个文件删除即可。
六、Ravmon
关于RAVMON.EXE的解决办法,先不插U盘,在电脑里(主要是WINDOWS下)搜索RAVMON,然后全部删除...[运行MSCONFIG命令],在启动里,取消RAVMON的自动启动,[如果有的话].....然后打开注册表[运行REGEDIT命令] 运用查找功能,查找RAVMON相关注册表信息,然后删除,然后接着查找下一个,接着删,直到全部删完....
然后重新启动电脑...启动后把你的有毒的盘插到U口上,注意了..这时候电脑一般都会弹出对话框叫你选择一个操作,选择不执行任何操作!~!~!~
这时候关闭所有窗口,打开我的电脑,可以看到你的U盘,假如是H盘,右键 [注意是右] 单击它 选择格式化 [如果里面有重要资料的话,可以右键单击选择打开[千万别双击打开],复制文件到本地,然后再格式话]..格式化完之后就好啦......OVER.......整个世界清净了....
七、sxs.exe
sxs.exe病毒手动删除方法特征:在每个盘根目录下自动生成sxs.exe,autorun.inf文件,有的还在windows\system32下生成SVOHOST.exe 或 sxs.exe ,文件属性为隐含属性。自动禁用杀毒软件。
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(并不是所有的系统都显示有这个进程,没有的就略过此步)。
(显示出被隐藏的系统文件)
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,类型为REG_SZ,并且把键值改为0!我们将这个改为1是毫无作用的。大家要看清楚CheckedValue后面的类型,正确的是“RED_DWORD”而不是“REG_SZ”(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
(删除病毒自启动项)打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
SVOHOST.exe 或 sxs.exe
下找到 SoundMam(注意不是soundman,只差一个字母) 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
然后:
删除各盘病毒文件的BAT
以下代码另存为bat
cd
c:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
D:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
E:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
F:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
G:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
八、paioixue和威金(虚幻魔王提供)
最近流行的病毒就是paioixue和威金了前者用WINDOWS清理助手可以干掉,后者可以用专杀干掉.PIAOXUE特征:把主页改成www,piaoxue,com 老顽固,去不掉.且从新做系统也不成,需要专杀,他有时候会感染EXE文件.
后者会感染所有EXE文件,所有可执行文件只要在他后执行的图标都会改成一个白色的方框,杀毒软件查到就整体删除,无意中删除了很多工具文件,哭~
要用到专杀工具清除,需要的邮件请找虚幻魔王,[email]xhmw@163.com[/email] 最新版本TC有的是一个带杂色的方框,没准儿~
建议大家安装卡卡上网助手,可以有效的防范网页木马的入侵.
[[i] 本帖最后由 虚幻魔王 于 2007-1-5 10:14 编辑 [/i]] 熊猫烧香
这 病毒猖狂,大家注意了,现在将他的一些中毒症状给大家说一下:
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
除了可执行文件外观上的变换外,系统蓝屏、频繁重启、硬盘数据被破坏等等现象均有发生,而且,中毒的机器系统运行异常缓慢,且很多应用软件无法使用,同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
病毒的详细分析
setup.exe
File size:22886 bytes
SHA-160: 5D3222D8AB6FC11F899EFF32C2C8D3CD50CBD755
MD5 : 9749216A37D57CF4B2E528C027252062
CRC-32 : DE81BD8A
加壳方式:UPack
编写语言:Borland Delphi 6.0 - 7.0
感染方式:恶意网页传播,其它木马下载,局域网传播,感染移动存储设备
尝试关闭窗口
QQKav
QQAV
天网防火墙进程
VirusScan
网镖杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
木馬清道夫
QQ病毒注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
小沈Q盗杀手
pjf(ustc)
IceSword
尝试关闭进程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
删除以下启动项
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting
ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
禁用以下服务
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc
搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件,并记有标记
WINDOWS
Winnt
System Volume Information
Recycled
Windows NT
Windows Update
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus
Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
删除.GHO文件 <-------注意这点
添加以下启动位置
\Documents and Settings\All Users\Start Menu\Programs\Startup\Documents and Settings\All Users\「开始」菜单\程序\启动\WINDOWS\Start Menu\Programs\Startup\WINNT\Profiles\All Users\Start Menu\Programs\Startup\
监视记录QQ和访问局域网文件记录:c:\test.txt,试图QQ消息传送
试图用以下口令访问感染局域网文件(GameSetup.exe)
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
aaaa
patrick
pat
administrator
root
***
god
foobar
secrettest
test123
temp
temp123
win
pc
asdf
pwd
qwer yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
Administrator
Guest
admin
Root
所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
删除隐藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y
创建启动项:
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe
禁用文件夹隐藏选项
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
最新测试过结果:病毒22,886字节,头部写入病毒代码22,838字节,并在最尾部添加.WhBoy原文件名.exe.原文件字节数
虚幻魔王的 熊猫烧香的处理方法
哎写的原因比较复杂.个人为了写这个东西浪费了1整天的时间
首先,我找了个熊猫病毒的样本,在真实的机器上运行后等结果........
几分钟后,系统几个致命的错误就出来了,内存的.
然后就是进程错误,关闭几个后系统就卡死了.这个时候我就能确定,熊猫这个病毒后期执行后的效果不是病毒编写者设想的.
既然都知道他是熊猫了,我就去搜索专杀吧.
进入了带网络的安全模式后,在毒霸做的站上找到了一个专杀[url]http://www.xiongmaoshaoxiang.com[/url]
又从专杀上了解到,这个病毒是一个叫做武汉男生的组织做的..
WHBOY什么鸟人.做什么不好做这个.
仔细一查,GHOST文件被删除,汗啊,我的系统的GHSOT然后是所有HTM ASP文件被加上了2条挂马代码..
所有EXE文件跟威金一样被感染...
IE没等弹页呢系统就卡死了..
根据我的情况,F下,WWWROOT下,有上万ASP和大几千的HTM文件,(偷整站代码N多)全被感染..
毒霸的专杀工具清理一个ASP文件大概是闪7次5秒左右,清理一个EXE文件大概是0.5秒.
按照这个速度清理完我的机器要几天时间,索性找了个比较简单的办法.
处理方法:
1、首先要从新安装系统,我这里早已经把GHOST文件放到了光盘上了,GHOST回来就好了。
2、下载毒霸的专杀[url]http://www.xiongmaoshaoxiang.com[/url]
3、下载一个叫做 字符替换器 的东西。打开一个样本ASP文件,把2条挂马代码复制到文本里,用字符替换器查找所有ASP文件,把2条挂马代码全部替换。我没填替换成什么,所以就等于删除。然后是所有的HTM文件,依上面。
4、这个时候毒霸的专杀就已经不会浪费那么多时间去查ASP和HTM文件去了。清理EXE文件吧。呵呵~~~
清理完后,你的系统就已经干净了,
但要注意的是,在安装好系统后(也就是处理方法的第一条),千万别打开我的电脑或者任何盘符。。
因为本地的文件夹脚本文件也很可能被修改了,在2千系统下打开盘符很可能打开就激活了病毒
注:本人偷站无数,整站代码在我的机器F:\WWWROOT\下面有N多分夹子方便调试和修改,这次写这个被感染了所有的文件,依次查杀真要等到几天后才能查完,所以找了个方便的方法,如果没那么多的脚本文件,直接从装系统后查杀就好了.从新做系统是避免不了的.
毒霸的清除工具查完后,还是有1个进程是熊猫烧香病毒遗留的,无法清除掉.
页:
[1]
