常见病毒处理方法.docVIP

常见典型病毒手工查杀方法 一、“灰鸽子” 3 二、“传奇窃贼” 5 三、“高波和瑞波” 7 四、“CHM木马” 9 五、“QQ大盗” 11 六、“工行钓鱼木马” 13 七、“crsss.exe病毒” 14 八、“维京” 15 九、“爱情后门” 16 十、“MSN相片病毒” 19 十一、“Arp病毒” 23 十二、“Virus.Win32.AutoRun.f病毒” 24 十三、“runauto.病毒” 62 十四、“Lcass.exe病毒” 69 一、“灰鸽子”病毒名称：Backdoor/Huigezi 病毒中文名：“灰鸽子” 病毒类型：后门 影响平台：Win9X/ME/NT/2000/XP 描述：Backdoor/Huigezi.**“灰鸽子”是一个未经授权远程访问用户计算机的后门。以“灰鸽子”变种cm为例，该变种运行后，会自我复制到系统目录下。修改注册表，实现开机自启。侦听黑客指令，记录键击，盗取用户机密信息，例如用户拨号上网口令，URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外，“灰鸽子”变种cm可下载并执行特定文件，发送用户机密信息给黑客等。 手工清除方法： 对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“SafeMode”或“安全模式”。 1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。 2、打开Windows的“有哪些信誉好的足球投注网站文件”，文件名称输入“_hook.dll”，有哪些信誉好的足球投注网站位置选择Windows的安装目录(默认98/xp为C:\windows，2k/NT为C:\Winnt)。 3、经过有哪些信誉好的足球投注网站，我们在Windows目录(不包含子目录)下发现了一个名为*****_Hook.dll的文件。 4、根据灰鸽子原理分析我们知道，如果*****_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有*****.exe和*****.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的*****Key.dll文件。 5、打开注册表编辑器(点击“开始”-“运行”，输入“Regedit.exe”，确定。)，打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。 6、点击菜单“编辑”-“查找”，“查找目标”输入“*****.exe”，点击确定，我们就可以找到灰鸽子的服务项(此例为*****_Server)。 7、删除整个*****_Server项。二、“传奇窃贼”病毒名称：Trojan/PSW.LMir 病毒中文名：“传奇窃贼” 病毒类型：木马 影响平台：Win9x/2000/XP/NT/Me 描述：传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后，主程序文件自己复制到系统目录下。修改注册表，实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后，会自动重启。窃取“传奇2”帐号密码，并将盗取的信息发送给黑客。 手动清除方法： 它会在目录下生成的文件也很迷惑人，与explorer.exe就差一个扩展名(如图2)。病毒经过UPX加壳处理，脱掉后可以看出VisualC++6.0编写的。 1、先任务管理器中结束进程，注意：是而不是explorer.exe。 2再将每个硬盘分区根目录下bbs.exe和web.exe两个文件删除掉，注意：删除后不要再打开这个分区了，否则会再次感染。 3删除文件4、最后在注册表中删除 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Net=%WinDir%\services.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows] Load=%WinDir%\assistse.exe 这两个键值，这样病毒就不会随开机运行了。