电脑病毒清理方法及专杀工具

admin

infostealer.lemir病毒清除方法

方案1：
1.因symantec提示无法清除，所以我依照上述路径，将Temporary Internet Files目录下文件全部删除
2.进入安全模式，按网友建议{HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs Value=? KB3384482.LOG ，把AppInit_DLLs值改成空值(即清空KB3384482.LOG) }，但我查看注册表发现此项本来就是空值
3.用TrojanHunter查杀，但未发现Infostealer.Lemir

方案2：
1.进入安全模式后，打开 开始——》运行——》输入regedit然后回车，展开
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
　　value=? KB3384482.LOG ，把AppInit_DLLs值改成空值(即清空KB3384482.LOG)
　　
　　2、如果此时还不行，就在第一步的基础上，将KB3384482.LOG找出来直接删掉。

方案3：
一、请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下（如果系统已经做了此设置可以跳过这一步）： 打开“我的电脑”； 依次打开菜单“工具/文件夹选项”； 然后在弹出的“文件夹选项”对话框中切换到“查看”页； 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态； 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项； 去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态； 最后点击“确定”。

二、按“Ctrl+Alt+Del”键弹出任务管理器，找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步，只所以要迅速是因为如果动作慢的话，木马可能会自动恢复而再次运行起来，这样就无法删除掉其他木马文件了（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）；

三、打开资源管理器进入到 “系统目录\Winnt\System32”下（如果您的win2000/nt/xp安装在C盘则就是 C:\Winnt\System32）。找到EXPL0RER.EXE文件（注意第5个字母是数字0不是字母O）、SysModule32.dll文件，然后直接删除它们。如果这时报告“文件正在使用无法删除”的类似提示则说明木马已经再次恢复了，需要从第二步开始重复做，并且从第二步到第三步一定要迅速，这里建议可以先打开资源管理器选中这几个待删除的文件，在做第二步即刚结束掉EXPL0RER.EXE进程后马上转过来删除这2个文件，这样一般就可以成功了；

四、同样在 “系统目录\Winnt\System32”目录下找到 SysModule64.dll 文件，尝试删除它，不过如果这时报告“此文件正在使用中无法删除”等类似提示也没有关系，稍后在第七步将介绍如何删除此文件；

五、打开资源管理器进入到 “系统目录\Winnt”下，找到一个 MFCD3O.DLL 文件，手工删除它；

六、打开“开始/运行”，输入“regedit”后“确定”以打开注册表编辑器，找到“HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}”键，把整个“{081FE200-A103-11D7-A46D-C770E4459F2F}”键全部删除。

七、注销当前用户或重新登录或重启电脑。之后再按第四步的方法删除掉 SysModule64.dll 文件，如果一切正常此时应该可以删除掉它了。 至此，如果一切顺利 PWSteal.Lemir.Gen 木马就应该完全从您系统中清除干净了。

admin

彻底清除Infostealer.Gampass病毒


前段时间有个同事说他的诺顿不停的出现高危警报对话框，关闭了又弹出，反复如此，严重影响了他的工作，请我帮忙检查一下是不是中了病毒。

  我看了警报上提示的内容，是一个名为Infostealer.Gampass的病毒。从名字上看，应该是个盗取游戏密码的病毒，从现象上看，好像对系统中的文件并没有什么影响，系统运行也不慢，只是诺顿不断弹出警报对话框确实是个问题，于是更新了病毒库，在文件选项中选择显示所有文件，再重新启动到安全模式下全盘扫描。并告诉同事完成后重启电脑就OK。

  本以为是个小病毒，诺顿杀杀应该就没问题了。结果一会同事打来电话说诺顿又开始弹出警报，还是那个病毒。看样子是在注册表中隐藏了什么自启动的东东，说不定就是这个病毒的主体文件，诺顿不行，只有手动来清除了。

  首先检查各分区根目录，没有发现autorun.inf的目录或可疑的可执行文件。c:\windows和c:\windows\system32两个系统目录，也是重点，发现下面有很多"数字.exe"或"数字+字母.exe"的文件以及同名的.dll文件，估计是病毒自动生成的，但这些绝对不是主体病毒文件，所以估计删除了也没太大作用，还是先删了再说。

  病毒应该隐藏得更深一些。

  接着开始检查注册表。

  检查HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

      HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

      HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN

      HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN

  四个键值下面的可疑程序，在后面两个键下面，果然发现如下的项有问题：

C:\windows\system32\winbill*.dll, c:\program files\internet explorer\use19.dll

其中的*代表数字。

删除和上面两个文件有关的键，此时不能删除这两个文件。重启电脑进入安全模式，删除以上两个文件（在c:\program files\internet explorer\下还发现一个use32.dll的文件，同样删掉。），这就是病毒的主体文件。再次全盘扫描，清除系统目录下的病毒尸体。重新启动，诺顿再也没有弹出警报。

分析了一下，这个病毒实际是个间谍软件，对系统没有太大影响和破坏力。诺顿可以查出这个病毒，也可以抑制，但由于病毒在系统启动时就加载了，所以诺顿无法彻底清除，故只能采用手动与自动相结合的办法来杀毒了。

admin

恶意程序Exploit.Win32.IMG-ANI.k清除方法
帖子标题:
举报恶意程序：Exploit.Win32.IMG-ANI.k

帖子内容:
现象:系统速度变慢,浏览器劫持,干扰其它软件正常运行,
历史操作:一打开除主页以外的任何网页，卡巴的保护就会检测到Exploit.Win32.IMG-ANI.k这个恶意程序，对象为文件：C:\\\\Documents and Settings\\Administrator\\Local Settings\\Temporary Internet Files\\Content.IE5\\这个路径下的图片文件```更郁闷的是，卡巴检测得到，但删除不了，我手动删除之后，一但再打开除主页以外的网页又会检测到这个恶意程序

备注: 请高手帮忙解决```我不想重装系统``

我的诊断报告:
各位高手：
非常感谢您留心我这份系统诊断报告，小菜鸟十万火急等待您的帮助！
该诊断报告由360安全卫士提供 http://www.360safe.com
诊断时间: 2007-04-22 14:14:25
诊断平台: Microsoft Windows XP Service Pack 2
IE版本: Internet Explorer V6.0.2900.2180 Build:62900.2180
计算机物理内存:509MB - 当前可用内存:247MB

100 - 未知 - Process: QQ.exe [QQ] - F:\Tencent\QQ\0\QQ.exe
100 - 未知 - Process: TIMPlatform.exe [TIMPlatform] - F:\Tencent\QQ\0\TIMPlatform.exe -Embedding
R0 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.baidu.com/
O2 - 未知 - BHO: (ThunderAtOnce Class) - [迅雷浏览器高级特性支持模块] - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - 未知 - BHO: (IeHelper Class) - [DSIeHelper] - {0D42E1BD-09DD-4873-A826-9C7E793EB7B6} - C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DSIeHelper.dll
O2 - 未知 - BHO: (Thunder Browser Helper) - [XunLeiBHO] - {7369D359-5B70-4A5B-B789-B25FE09B4AF3} - C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll
O8 - 未知 - Extra context menu item: 上传到QQ网络硬盘 - F:\Tencent\QQ\0\AddToNetDisk.htm
O8 - 未知 - Extra context menu item: 使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\geturl.htm
O8 - 未知 - Extra context menu item: 使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\getallurl.htm
O8 - 未知 - Extra context menu item: 添加到QQ自定义面板 - F:\Tencent\QQ\0\AddPanel.htm
O8 - 未知 - Extra context menu item: 添加到QQ表情 - F:\Tencent\QQ\0\AddEmotion.htm
O8 - 未知 - Extra context menu item: 用QQ彩信发送该图片 - F:\Tencent\QQ\0\SendMMS.htm
O9 - 未知 - Extra button: 启动迅雷5(HKLM) - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O16 - 未知 - DPF: {C661F36D-DF85-4EF4-83C7-E107B83D04B1} (WebActivater Control) - http://dl_dir.qq.com/3dshow/3DShowVM.cab

=======================================

100 - 安全 - Process: smss.exe [进程为会话管理子系统用以初始化系统变量，ms-dos驱动名称类似lpt1以及com，调用win32壳子系统和运行在windows登陆过程。] - C:\WINDOWS\System32\smss.exe
100 - 安全 - Process: csrss.exe [客户端服务子系统，用以控制windows图形相关子系统。] - C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=base
100 - 安全 - Process: winlogon.exe [windows nt用户登陆程序。] - C:\WINDOWS\system32\winlogon.exe
100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] - C:\WINDOWS\system32\services.exe
100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] - C:\WINDOWS\system32\lsass.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k DcomLaunch
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k rpcss
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k netsvcs
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k NetworkService
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k LocalService
100 - 安全 - Process: avp.exe [卡巴斯基杀毒软件相关程序。] -
100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell，包括开始菜单、任务栏，桌面和文件管理。] - C:\WINDOWS\Explorer.EXE
100 - 安全 - Process: nvsvc32.exe [nvidia driver helper service在nvida显卡驱动中被安装。] - C:\WINDOWS\system32\nvsvc32.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k imgsvc
100 - 安全 - Process: wdfmgr.exe [windows media player播放器相关程序。] - C:\WINDOWS\system32\wdfmgr.exe
100 - 安全 - Process: avp.exe [卡巴斯基杀毒软件相关程序。] -
100 - 安全 - Process: 360tray.exe [360安全卫士实时监控程序。] - C:\Program Files\360safe\safemon\360Tray.exe
100 - 安全 - Process: ctfmon.exe [office xp输入法图标。] - C:\WINDOWS\system32\ctfmon.exe
100 - 安全 - Process: alg.exe [这是一个应用层网关服务用于网络共享。] - C:\WINDOWS\System32\alg.exe
100 - 安全 - Process: wuauclt.exe [windows操作系统后台程序，用于系统升级。] - C:\WINDOWS\system32\wuauclt.exe
100 - 安全 - Process: 360Safe.exe [360安全卫士相关程序。] - C:\Program Files\360safe\360Safe.exe
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=about:blank
R1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=about:blank
O2 - 安全 - BHO: (超级兔子上网精灵) - [超级兔子上网精灵相关插件。] - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll
O3 - 安全 - Toolbar: (超级兔子上网精灵) - [超级兔子上网精灵工具条,随超级兔子软件捆绑安装。] - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll
O4 - 安全 - HKLM\..\Run: [kav] [卡巴斯基杀毒软件相关程序。] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - 安全 - HKLM\..\Run: [360Safetray] [360safe实时保护功能模块。] C:\Program Files\360safe\safemon\360Tray.exe /start
O4 - 安全 - HKLM\..\Run: [NvCplDaemon] [是NVIDIA显示卡相关动态链接库文件。] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 安全 - HKCU\..\Run: [ctfmon.exe] [office xp输入法图标。] C:\WINDOWS\system32\ctfmon.exe
O23 - 安全 - Service: Adobe LM Service [adobe公司相关产品的许可服务程序。] - "C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe" - (not running)
O23 - 安全 - Service: AVP [卡巴斯基杀毒软件相关程序。] - "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r - (running)
O23 - 安全 - Service: NVSvc [是NVIDIA显示卡相关程序。] - C:\WINDOWS\system32\nvsvc32.exe - (running)

=======================================

O40 - winlogon.exe - Kaspersky Lab - C:\WINDOWS\system32\klogon.dll - Logon Visualizer - 7072750eb5c0f0cd54b48f972855ca61
O40 - Explorer.EXE - Thunder Networking Technologies,LTD - C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DataProcessor.dll - DataProcessor - acaefd2351d996bd17a3abd0aacae40d
O40 - Explorer.EXE - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\pr_remote.dll - PR_REMOTE - 5f6e14e8290e10b4fac233b7cca87430
O40 - Explorer.EXE - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\prloader.dll - Prague Loader - ebf71aa09b2418a0c79a406255862ab5
O40 - Explorer.EXE - NVIDIA Corporation - C:\WINDOWS\system32\nvcpl.dll - NVIDIA Display Properties Extension -
O40 - Explorer.EXE - NVIDIA Corporation - C:\WINDOWS\system32\NVRSZHC.DLL - NVIDIA Simplified Chinese language resource library - 503051eb6a7f6349125303822eaaf384
O40 - Explorer.EXE - - C:\WINDOWS\system32\nvshell.dll - - 60dc17bdc7ae20282caae25e182129e9

=======================================

O41 - kl1 - Kaspersky Unified Driver - C:\WINDOWS\system32\drivers\kl1.sys - (running) - Kaspersky Unified Driver - Kaspersky Lab - 5445b03cd42dedf5f85b9daf712fdd09
O41 - klif - spuper-ptor - C:\WINDOWS\system32\drivers\klif.sys - (running) - spuper-ptor - Kaspersky Lab - 92210989cc1d06f997b9628d8e4b1819
O41 - npkcrypt - nProtect KeyCrypt Driver - F:\Tencent\QQ\0\npkcrypt.sys - (running) - nProtect KeyCrypt Driver - INCA Internet Co., Ltd. - 8bcb281a2540e7aff0cd00f9878fe21f
O41 - kmsinput - kmsinput - C:\WINDOWS\system32\drivers\kmsinput.sys - (not running) - - - f8d6ebcb50c02b42c5ffd5393229c6b6
O41 - npkycryp - npkycryp - F:\Tencent\QQ\0\npkycryp.sys - (not running) - - -
O41 - TSP - spuper-ptor - C:\WINDOWS\system32\drivers\klif.sys - (not running) - spuper-ptor - Kaspersky Lab - 92210989cc1d06f997b9628d8e4b1819
O41 - ZSMC301b - Video streaming and Capture Device Driver - C:\WINDOWS\system32\drivers\usbVM31b.sys - (not running) - Video streaming and Capture Device Driver - VM - 617c6711ea9049f39043cab2886418bf

=======================================
360Safe.exe=3.3.0.1001
AntiAdwa.dll=3.3.0.1001
AntiEng.dll=3.3.0.1001
AntiActi.dll=2.0.0.3000
CleanHis.dll=3.0.2.1000
safelive.exe=1.0.0.2007
live.dll=1.0.0.1012

=======================================
操作历史报告：
----------清理恶评软件历史----------

2007-01-16 09:50
查杀恶意软件 - 雅虎助手&上网助手 - 危险 -

2007-04-18 09:16
清理恶评软件 - 腾讯QQ附带的QQIEHelper插件 - HKCU\Software\Microsoft\Internet Explorer\MenuExt\用QQ彩信发送该图片
清理恶评软件 - 搜搜工具条 - C:\Program Files\TENCENT\Adplus

2007-04-19 13:18
清理恶评软件 - 腾讯QQ附带的QQIEHelper插件 - HKCU\Software\Microsoft\Internet Explorer\MenuExt\用QQ彩信发送该图片

2007-04-20 13:05
清理恶评软件 - 腾讯QQ附带的QQIEHelper插件 - HKCU\Software\Microsoft\Internet Explorer\MenuExt\用QQ彩信发送该图片

2007-04-22 12:57
清理恶评软件 - 腾讯QQ附带的QQIEHelper插件 - HKCU\Software\Microsoft\Internet Explorer\MenuExt\用QQ彩信发送该图片


----------插件卸载操作历史----------

2007-03-19 15:05
插件管理 - 腾讯QQ附带的QQIEHelper插件 -
2007-04-19 13:18
插件管理 - 超级旋风下载组件 - C:\PROGRA~1\Tencent\QQDOWN~1\QQIEHE~1.DLL
2007-04-20 13:06
插件管理 - 超级旋风下载组件 - C:\Program Files\Tencent\QQDownload

----------全面诊断修复历史----------

2007-02-03 11:05
O8 - 未知 - 上传到QQ网络硬盘 - F:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - 安全 - 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - 未知 - 添加到QQ自定义面板 - F:\Program Files\Tencent\QQ\AddPanel.htm
O8 - 未知 - 添加到QQ表情 - F:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - 未知 - 用QQ彩信发送该图片 - F:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 未知 - 启动迅雷5 - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 安全 - 卡巴斯基Web反病毒保护插件 - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - 未知 - 信息检索 - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - 未知 - 腾讯QQ - f:\Program Files\Tencent\QQ\QQ.EXE

----------修复IE浏览器操作历史----------

2007-01-16 09:49
O22 - 危险 - .HLP文件关联 - winhlp32.exe %1
R0 - 危险 - IE首页 - HKCU\Software\Microsoft\Internet Explorer\Main
R0 - 危险 - IE起始页的默认页 - HKLM\Software\Microsoft\Internet Explorer\Main
O14 - 危险 - Web原始设置IERESET.INF - C:\WINDOWS\inf\iereset.inf
2007-01-29 20:52
R0 - 危险 - IE首页 - HKCU\Software\Microsoft\Internet Explorer\Main
2007-02-03 11:05
R0 - 危险 - IE首页 - HKCU\Software\Microsoft\Internet Explorer\Main
2007-04-20 13:33
R0 - 危险 - IE首页 - HKCU\Software\Microsoft\Internet Explorer\Main
2007-04-22 13:56
R0 - 危险 - IE首页 - HKCU\Software\Microsoft\Internet Explorer\Main

=======================================

360安全卫士，彻底查杀各种流氓软件,全面保护系统安全,并赠送正版卡巴斯基V6.0
最新免费下载：http://www.360safe.com

admin

高手教你攻防兼备 让你的QQ密码不被盗

1.QQ文件传输要安全

腾讯QQ早就为防止黑客通过QQ传播木马设置了一系列的防护功能，只是许多用户没有用好它而已。

点击QQ面板上的“菜单”→“设置”→“安全设置”命令，打开安全设置对话框。选择“网络信息安全”，在右侧窗口中可以设置文件传输安全等级。默认设置安全等级为“中”，在这样的情况下木马可执行文件是无法直接传输的。但是有许多木马以更狡猾的方式传播，例如将自身改名为.pif，或者躲藏在压缩包里面，安全等级为“中”是无法阻止这类木马传输的。因此最好将安全等级设置为“高”，让任何木马文件都无法传输过来。安全等级设置为“高”后，在QQ中无法接收任何文件，如果要接收可信任的好友发过来的文件，可将等级调为“中”后再接收，但是接收完毕之后一定要再调回等级高。

重要提示目前大量的盗Q木马后缀名都为.pif，见到此类文件一律不要接收，因为普通情况下没有人会将文件保存为这种格式。

2.木马网页别看它

有许多黑客在QQ群或者点对点聊天中发送带有木马的网页网址，诱惑别人点击导致QQ被盗。对于QQ用户来说，凡是在QQ聊天窗口中看到的网址都绝对不要点击，因为这些网址不是广告就是木马网页！为了防止无意点击打开了木马网页，可在刚才的安全设置对话框中去掉“消息中的链接可直接点击”项的选择。

3.QQ邮件谁在用

在QQ中带有一个邮件功能，而QQ邮件本身也是漏洞多多，黑客可以直接用QQ邮件携带木马攻击，打开QQ邮件就中招！同时QQ邮箱地址就是该用户的QQ号码，非常容易遭受定点攻击或大量群发攻击，因此出于安全考虑，不要使用QQ邮件功能。同时可在刚才的设置对话框中选择“系统设置”→“基本设置”，勾选“禁止所有新邮件的提示”。

二、揪出藏身的QQ大盗

当然黑客不一定只是通过QQ传播盗Q木马的，很有可能会通过各种各样的方式，让木马无意间下载到你的电脑上，此时更要严加防范。

1.病毒监视不能停

有许多用户安装了杀毒软件却不太会使用，只是在系统出现问题时才拿出杀毒软件扫描一下子，其实为时已晚。要防范QQ大盗进入电脑，一定要时刻开着病毒监视功能，保护自己的系统。这里以江民杀毒软件为例：

点击菜单“工具”→“设置”，打开设置对话框，选择“实时监控”选项卡，在“设置实时监视程序”中勾选所有选项，尤其是“即时通讯”监视项。这样开着实时监视，上任何网站、下载安装程序、聊天接收邮件都不用担心QQ大盗了，但是要注意及时更新病毒库。

小提示对于普通聊Q的用户来说，很少接收发送邮件，可以去掉邮件监视项以节约系统资源。

2.加壳捆绑木马更要防

因为QQ大盗早已被杀毒软件列为头号黑名单了，因此许多黑客在使用这个木马时，往往会对它进行加壳或者将其捆绑在正常程序中，以躲避杀毒软件的查杀。此时需要安装一些特殊的防木马软件作为杀毒软件的补充，例如SSM、木马防御大师等，这里以木马防御大师为例：

运行木马防御大师后，点击界面中的“实时监控”按钮，在实时监控界面中，开启“系统保护”和“实时监控”功能。再勾选“智能防护”和“IE漏洞保护”中的所有选项，木马防御大师的内核级别的保护技术，即可防止任何未知的捆绑插件、木马病毒进入我们的系统，捆绑在其它程序或加壳的QQ大盗一样躲不过大师的火眼！

三、锁住QQ密码

如果QQ大盗还是钻进了我们的电脑，那么还有最后一道防线，那就是锁住我们的QQ密码。

杀毒软件为了彻底的防范木马盗密码，都有一个隐私保护功能，启用该功能可让QQ大盗无能为力！以江民KV2006为例：

点击菜单“工具”→“设置”→“实时监控”→“隐私保护设置”，打开隐私保护对话框。点击“增加”按钮，在弹出对话框中选择信息类型为“用户定义”，在“私密信息内容”中输入自己的QQ号码。再次输入QQ号码后，点击“确定”按钮关闭对话框，即可添加一条保护信息。同时，在设置对话框中，将“检测到私密信息后的处理方式”设置为“询问是否发送私密信息”。

小提示输入的保护信息不要太完整，例如QQ号码可只输入前面的5位，QQ密码只输入其中的一部分，这样以免杀毒软件本身泄露密码信息。

四、反击QQ大盗

如果电脑中了QQ大盗的黑手，应该及时用杀毒软件清除木马并修改QQ新密码，有必要的话还可以反击QQ大盗。

小提示

木马截取到QQ号码和密码后，会将这些信息以电子邮件的形式发送到盗号者的邮箱，利用嗅探软件可将木马发送邮件过程中的网络数据包截取，其中就含有盗号者邮箱的帐号和密码。

下载x-sniff嗅探器，并解压到“C:”，点击“开始”→“运行”，执行命令“C:xsiff.exe -pass -hide -log pass.log”。该命令可将嗅探到的密码信息保存到同目录下的pass.log文件中。再按正常就登录QQ，木马截获QQ密码后会发送到盗号者邮箱，所有信息都被x-sniff拦截。稍等片刻，进入x-sniff所在的文件夹，打开“pass.log”，便可以发现x-sniff已经成功嗅探到邮箱的帐户“xxxx@xxxx.com”和密码“1234”。——后面该怎么做就不用我教你了吧？

admin

sxs2.exe病毒清除办法及专杀工具

这两天Ｕ盘里染上了sxs2.exe病毒，查到了相关信息和解决办法如下：

sxs.exe是什么病毒?瑞星称为 Trojan.PSW.QQPass.pqb 病毒，sxs.exe 特点是可以通过可移动磁盘传播，主要危害是盗取QQ帐户和密码，并且会终止大量反病毒软件的进程，降低系统的安全等级,现在我发现有很多的电脑上每个磁盘都中了，重装系统也没有用，此毒危害性很大，该怎么办啊？

这是修改过的ROSE病毒，可以结束SXS的进程删除。记住，用鼠标右键进入硬盘，同时按下Ctrl+Shift+Del三个键打开windows任务管理器，选择里面的“进程”标签，在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”，一定要结束所有的“sxs.exe”进程。

打开我的电脑，单击工具菜单下的“文件夹选项”单击“查看”标签把“高级设置”中的“隐藏受保护的操作系统文件（推荐）”前面的勾取消，并选择下面的“显示所有文件和文件夹”选项，单击“确定”。

用鼠标右键点C盘（不能双击！）选择 “打开”，删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件，用鼠标右键点D盘选择“打开”，删除D盘下的“autorun.inf”文件和“sxs.exe”文件（另外有个文件也是，是个.exe 同样删了它）。

……
以此类推，删除所有盘上的 AUTORUN.INF文件和“rose.exe”文件。

单击“开始”，选择“运行” 输入 "regedit"(没有引号) ，依次展开注册表编辑器左边的“我的电脑”>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 删除Run项中的 ROSE （c:\windows\system32\SXS.exe)这个项目。

关闭注册表编辑器，然后重新启动计算机。



删除移动硬盘或U盘上的ROSE：



按下shift键不放，插入U盘 直到电脑提示“新硬件可以使用”，打开我的电脑，这时在U盘的图标上点鼠标右键，选择“打开”（不要点自动播放或者是双击！），删除 SXS.exe和autorun.inf文件 病毒就没有了。

有史以来第一次遭遇如此顽固的病毒，网上找了找，没有统一的名字，瑞星称为 Trojan.PSW.QQPass.pqb 病毒，我就叫它 sxs.exe病毒吧。重装系统后，双击分区盘又中了，郁闷，瑞星无法安装，安装好的瑞星自动关闭无法打开，系统自带的防火墙也不能启动与关闭，决定手动将其删除。

现象：系统文件隐藏无法显示，双击盘符无反映，任务管理器发现 sxs.exe 或者 svohost.exe （与系统进程 svchost.exe 一字之差），杀毒软件实时监控自动关闭并无法打开。找了网上许多方法，无法有效删除，并且没有专杀工具。



手动删除“sxs.exe病毒”方法：



在以下整个过程中不得双击分区盘，需要打开时用鼠标右键——打开

一、关闭病毒进程

Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉 。

二、显示出被隐藏的系统文件

运行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1。

这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）。

方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

三、删除病毒

在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。

四、删除病毒的自动运行项

打开注册表 运行——regedit

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的。最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe 。重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。

五、后续

杀毒软件实时监控可以打开，但开机无法自动运行

最简单的办法，执行杀毒软件的添加删除组件——修复，即可。



另外已用GHOST备份系统盘的，那就简单了只需恢复系统盘，打开“我的电脑”文件夹选项里显示隐藏文件显示系统保护的文件，然后如上所说，将其他盘根目录的INI文件和EXE文件删除就可以了。有的软件点击不开，那是已经破坏了软件执行程序，执行软件的添加删除组件——修复，即可。




清除猖狂的Sxs.exe病毒 （补充）2006/10/28 08:22清除猖狂的Sxs.exe病毒 （补充）




针对症状，我先上网找了相关的资料，首先，要显示隐藏文件

在这个:HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorer

AdvancedFolderHiddenSHOWALL，将CheckedValue键值修改为1

还是没有用，隐藏文件还是没有显示，仔细观察发现病毒它有更狠的招数:它在修改注册表达到隐藏文件目的之后，为了稳妥起见，把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0(如图)!这样你以为把0改为1就会万事大吉，可是故障依旧如此!也就难怪出现以上的现象了。

正确的方法是:先检查CheckedValue的类型是否为REG_DWORD，如果不是则删掉“罟怼盋heckedValue(例如在本“案例”中，应该把类型为REG_SZ的CheckedValue删除)。然后单击右键“新建”--〉“Dword值”，并命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”。

经过刚才一番操作，我的电脑里的隐藏文件可以看到了，假如上述方法无效，那么可能是 HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHidden的数据丢失或损坏，遇到这种情况，请在Windows XP安装光盘中找到Hidden.reg，双击它，然后单击“确定”按钮，将该完整的注册表数据添加到当前系统的注册表中即可。(备注:可是我手头上的XP安装光盘找来找去都没有这个东西，假如你不幸遇到这种情况，可以尝试使用这种方法:找一部没有问题的电脑，把

HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHidden这个分支导出(假如命名为1.reg);然后备份有问题的电脑的该注册表分支;最后把1.reg导入看能否解决问题。我没试过所以不知道会不会出现什么意外，祝各位好运!假如某人能够在XP安装光盘里找到这个东西，请把文件里面的内容复制到评论里面，并且注明该XP安装光盘有没有打过SP1或者是SP2，谢谢!)

我看到在我的D:E:F:这些盘中(除了c盘)都出现了autorun.inf和sxs.exe两个文件，删除又再生.而且U盘插进去也出现这两个文件。此时杀毒软件一直是无法启动，我把金山的换成江民的，还是没用，看来是病毒限制了杀毒软件的运行，所以首先要把病毒的自动运行关掉，我也找了网上的资料，不过我试了，没有用，找不到rous.exe,我提供给你们，自己去试一下看看!

你这是修改过的ROSE病毒

可以结束SXS的进程删除，记住，用鼠标右键进入硬盘

同时按下Ctrl+Shift+Esc三个键 打开windows任务管理器

选择里面的“进程”标签

在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”

一定要结束所有的“sxs.exe”进程

打开我的电脑 单击 工具菜单下的“文件夹选项”

单击“查看”标签 把“高级设置”中的

“隐藏受保护的操作系统文件(推荐)”前面的勾取消

并选择下面的“显示所有文件和文件夹”选项

单击“确定”

用鼠标右键点C盘(不能双击!) 选择 “打开”

删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件

用鼠标右键点D盘 选择 “打开”

删除D盘下的 “autorun.inf”文件 和“sxs.exe”文件(另外有个文件也是，是个.exe 同样删了它)

……

以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.exe”文件

单击开始 选择“运行” 输入 "regedit"(没有引号) ，回车

依次展开注册表编辑器左边的 我的电脑>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

删除Run项中的 ROSE (c:windowssystem32SXS.exe)这个项目

关闭注册表编辑器

然后重新启动计算机

删除硬盘上是ROSE:

按下shift键不放 插入U盘 直到电脑提示“新硬件可以使用”

打开我的电脑

这时在U盘的图标上点鼠标右键 选择“打开” (不要点自动播放或者是双击!)

删除 SXS.exe和autorun.inf文件 病毒就没有了

上面我说了这个方法对我没有用!sxs.exe没有专杀,现在只能通过注册表杀毒

打开注册表“regedit”,找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

有些网友说删除Run项中的 ROSE (c:windowssystem32SXS.exe)这个项目

我找了一下没找到这个Run项目，但是我看了一下在Run里面有两个"SoundMam"，而且后面给的数值不一样，一个给的是“C:\WINDOWS\system32\SVOHOST.exe”另一个是“SOUNDMAN.EXE”我想大家也发现了，肯定有问题，我看了一下，只有后面一个是正确的，前一个是豪杰超级解霸的“自动播放伺服器”的程序，看来病毒是加到这个里面了，借助自动播放到处传播!(这是我认为的，不知道对不对)于是就删除了这个项，退出注册表，打开杀毒软件，可以使用了，只是在一般杀毒时，还是找不到sxs.exe的，我用的是江民的，他有未知病毒扫描，在那里里面可以发现的，他是一种“硬盘蠕虫病毒”，删掉就行了，本来我是想截屏给大家看看的，可惜我重启了，没复制下来，哪位朋友补充一下在下面!感谢!

那还剩下autorun.inf，直接到各个硬盘删就可以了，再清空回收站就可以了，其他的都正常了，可能还有些网友系统可能出现些问题，如豪杰超级解霸的“自动播放伺服器”不能使用了，我的建议是:不要用了，就是他坏的事!要是你非要用就重新装吧!最后重新启动，可以了!

admin

彻底清除病毒“W32.Looked.BK”的方法

w32.looked.bk是什么？求救！

试一下诺顿，这个病毒名字是诺顿里面报出来地！

W32.Looked.BKRisk
Level 1: Very Low

Threat AssessmentWildWild Level: Low
Number of Infections: 0 - 49
Number of Sites: 0 - 2
Geographical Distribution: Low
Threat Containment: Easy
Removal: Easy
DamageDamage Level: Medium
Payload: Infects executable files in local drives and network shares.
Compromises Security Settings: Attempts to end security-related applications.
Distribution
删除方法：
1、关闭系统还原
2、更新病毒库到最新
3、执行全面扫描
4、删除如下注册表键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
蒋load里面的键值删掉就可以了

"load" = "%Windir%\rundl132.exe"

W32.Looked.BK专杀工具下载：

威金被感染EXE文件最有效修复工具abc.com
http://bbs.360safe.com/attachment.php?aid=6886

另外，务必要严重关注这篇 《威金遗留文件wlzs.exe,mhs2.exe,等的清除！ 》因为专杀不会管你这些....
http://bbs.360safe.com/viewthrea ... &extra=page%3D1

农夫的威金专杀也很有效【注意提示文件拒绝访问之类的信息实际都没有问题的。。】
http://bbs.360safe.com/attachment.php?aid=5901
第二下载地址:http://mopery.hits.io/viking.zip

admin

中了“美女游戏”病毒处理办法

这个病毒是下载者病毒，有连网操作，同时会修改系统时间为1980,导致反病毒软件失效。

病毒分析：
wzkSP.exe(随机) Trojan.DL.Agent.dao
C:\WINDOWS\wzkSP.exe （随机的文件名）(51,200 字节) hidden
C:\WINDOWS\002.exe 5,688 字节
C:\WINDOWS\003.exe 61,440
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
4002http://www.sinavip.net/k1.rar
4005http://www.sinavip.net/ms.rar
31"http://www.lcsm.cn/nami.htm"
31"http://www.jing88.com/1ndex.asp"
31"http://www.ishici.com"

C:\WINDOWS\002.txt
C:\WINDOWS\003.txt
X:\autorun.inf
X:\wzkSP.exe随机名
同时修改系统时间为1980

注册表修改：
HKLM\Software\Microsoft\Windows nt\Currentversion\Winlogon\userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
同时病毒还会下载一大批垃圾流氓软件，建议使用一些流氓软件专杀工具进行清除！U盘病毒专杀工具只处理病毒部分。
美女游戏病毒专杀工具 USBCleaner.rar

admin

将系统中的病毒Thumbs.db一网打尽的方法

不少朋友发现在有图片的文件夹里有个隐藏的Thumbs.db文件，可删除，但之后又会重新生成，这个东东到底是什么呢？病毒？

　　当然不是，Thumbs.db只是一个图片索引文件，可以加速你用缩略图方式查看图片，会随着文件夹的图片的增多也体积增大。本来只要你硬盘够大，这个文件也没什么影响，但很多朋友在上传东西到服务器时，往往会不小心把这个文件也传了上去，有点不好。
从Windows 98开始，系统增加了图片预览功能，保存了图片的文件夹下会产生一个名为“Thumbs.db”的文件，这个文件会随着图片文件的增加而膨胀。奇怪的是，这个文件被删除后下次预览图片时它又会自动生成，有什么办法让它永远消失呢？

　　Windows 9x/Me系统

  用鼠标右键点击已开启缩略图功能的文件夹，通过弹出的快捷菜单打开“属性”对话框，在窗口中清空“启用缩略图查看方式”复选框前的“√”。

　　Windows 2000/XP/2003 系统

  Windows 2000/XP/2003在默认情况下采用缩略图功能，但通过设置即可禁止在所有的图片文件夹中自动生成“Thumbs.db”文件：在“控制面板”中双击“文件夹选项”，在“文件夹选项”对话框中切换到“查看”标签，在“不缓存缩略图”复选框前打上“√”（如图），再点击“确定”按钮退出即可。

  将“Thumbs.db”文件一网打尽

　　经过上面的设置，以后所有的文件夹将不会自动生成“Thumbs.db”文件了，但原来已经生成的诸多“Thumbs.db”文件不会自动消失，必须手工将其删除。显然，一个一个地删除非常麻烦，我们可以利用以下方法将它们一网打尽：

　　打开资源管理器，点击工具栏上的“搜索”按钮，在左侧的“搜索助理”栏中点击“改变首选项”，在系统提示：“您想怎样使用搜索助理？”时，点击中间的“改变文件和文件夹搜索行为”，然后在“选择默认的文件和文件夹搜索行为”中选择“高级-包括手动输入搜索标准的选项”，点“确定”按钮即可看到很多高级选项。选中“搜索隐藏的文件和文件夹”前的复选框，接下来再搜索“Thumbs.db”文件吧，将搜索到的文件全部删除即可。

admin

hack.suspiciousan木马的清除方法

Hack.SuspiciousAni 是以ant漏洞的网马，所以Hack.SuspiciousAni 是网页木马，他会从网上下载别的病毒所以中了Hack.SuspiciousAni 的同时我也下载别的毒了。
只会让你的机子反映慢，系统坏！
解决的办法：先用2007瑞星的"工具列表"点病毒隔离系统,再用瑞星杀毒,然后重起,按F8选安全模式,用瑞星隔离后,再一遍重起,正常运行再查杀,即可!OK了!


建议先升级瑞星到最新的版本，应该就可以杀掉了。


附：最好的专杀木马广告特效软件ewido 7.5(已crack看清楚安装说明 )
http://www.oleijia.com/bbs/ads/200722018245173607.rar
遇到杀不落的一是右键点击删除,二是就按它提供的路径手工删除它或(运行regedit)键值即可。
++++++++++++++++++++++++++++++++++++++++++
首先你应该为你的机子打上最新的补丁（微软官方补丁是在4月3号发出的），切断病毒的
入侵通道。我常使用奇虎360安全卫士打补丁（www.360safe.com下载），用它打补丁免去
很多麻烦，一次打上全部补丁再重起。补丁打好后确保你的杀毒软件和防火墙是最新版本
（可以从干净的机器上拷贝过来安装），再进行杀毒。最后可使用360杀掉恶意软件和木
马，修复一下IE浏览器和启动项，基本上就OK了。

admin

MDM.EXE病毒木马清除方法

如题,在我的C盘WINDOWS根目录下多了一个MDM.EXE文件,每次删除之后会自动生成,并产生一个名为SVCHOST的进程,而且自从中了这个以后,我的所有文件夹都不可见了,即使在设置中选择"显示所有文件和文件夹",关掉"隐藏受保护的系统文件"也没用.这是怎么回事?

这个病毒我昨天遇倒了!最后问题解决了(当然不是格式化硬盘哈)
中了这个病毒以后,在各个分区的根目录下会生成两个文件,分别是autorun.inf 和ravmon.exe(这个文件比较大的)并且属性为隐藏属性,且在c:\windows下会生成MDM.exe 和svchost.exe,svchost.ini,(有些在c:\windows\system32下会生成一个skvp.sys的文件)同时,会在启动项里添加自启动和添加成系统服务实现自启动.并在注册表里写入至少3个键值!
此时你的计算机有可能"显示所有文件选项"无效(我的电脑就是这样了),好了现在说说清除的方法:
首先要把进程svchost.exe结束(一定要先把SVCHOST.EXE进程结束,不结束的话,你删除注册表的键值或者启动项里的键值在不到一分钟后会自动恢复的),然后就可以进入命令提示符,然后运行下面的命令cd c:\windows然后attrib c:\windows\svchost.exe -r -h -a -s然后del c:\windows\svchost.exe /f/q/a/s,然后attrib c:\windows\svhost.ini -r -h -a -s 然后del c:\windows\svchost.ini /f/q/a/s然后attrib c:\windows\mdm.exe -r -h -a -s 然后del c:\windows\mdm.exe /f/q/a/s然后回到根目录cd \然后attrib c:\autorun.inf -r -h -a -s 然后del c:\autorun.inf /f/q/a/s,然后attrib c:\ravmon.exe -r -h -a -s然后del c:\ravmon.exe /f/q/a/s 做了上面的操作后,你就可以按照同样的方法把其他分区的autorun.inf 和ravmon.exe删除,现在再来清除注册表的相关简直,如果你对注册表不是很清楚的话，可以直接用查找方式搜索mdm.exe,并删除!
我这里给出注册表相关位置,你可以借鉴一下:HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\SVCHOST它册键值会是"c:\windows\svchost.exe或者c:\windows\mdm.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SVCHOST它册键值会是"c:\windows\svchost.exe或者c:\windows\mdm.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的键值是"c:\windows\svchost.exe或者c:\windows\mdm.exe",做了上述操作以后，你再用搜索,搜索一次,你的问题应该可以解决了

admin

mppds.dll病毒专杀

昨天早上开机不久,弹出个窗口:"Faulting application logo1_.exe,fault address 0x000019ca!"
不久又弹出个窗口,内容差不多,不过这回是"rundl132.exe"
看名字就知道有古怪!感觉系统变慢,查之.

运行hijackthis.exe(下载地址：/html/virus/shaduruanjian/20070221/1808.html),发现几个有趣的启动项:

O4 - HKLM\..\Run: [load] C:\WINDOWS\uninstall\rundl132.exe
O4 - HKLM\..\Run: [wsvbs] C:\WINDOWS\SMSS.EXE
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\SERVICES.EXE

fix it!

在WINDOWS目录下按日期排列看到今天多了几个文件:
SMSS.EXE
SERVICES.EXE
logo1_.exe
richdll.dll
杀之!
richdll.dll杀不掉,信息是"正在应用"!
打开cmd,输入:tasklist /m >d:\check.txt
在check.txt搜richdll.dll,原来在explorer.exe里面!
看来是线程注入explorer.exe!
没关系,上面那些主文件杀掉后,重起就注入不了啦!杀之~~~

WINDOWS目录还多了个文件夹:
C:\WINDOWS\uninstall\
里边有rundl132.exe.
delete folder!

世界清静了!

到了下午,Norton才发现个病毒尸体
"C:\WINDOWS\SYSTEM32\MPPDS.DLL"
才知道此病毒的名字叫:"Infostealer.Gampass"

Norton整整慢了半天啊!
这个时候我们的IT Admin出现了,因为其他电脑都报发现病毒!
他无非是进安全模式,扫杀!却怎么都杀不干净.因为已经感染很多文件啦~

不关我事,我机无事!

后记：c:\System Volume Information\ 这个地方一定要扫，防止死灰复燃！

系统要打上最新补丁 | patch it up!堵住病毒入侵之门！

admin

ctfmon.exe病毒的清除方法及专杀工具

（注明：ctfmon.exe并非一定是病毒，ctfmon.exe也可能是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序，和微软Office XP语言条。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。）

ctfmon - ctfmon.exe - 进程信息
进程文件: ctfmon or ctfmon.exe
进程名称: Alternative User Input Services
描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。
常见错误: N/A
是否为系统进程: 否


如果你的win2000系统装了officeXP或以上版本，它会在你和系统里留下一个可误的ctfmon.exe，这真的是一个恶魔，曾经困扰了无数的网友。今天我决意执起正义之剑，斩妖除魔，还网友一个纯洁的中英文输入空间！

在对它行刑之前，我先来宣读一下他的罪状：
1. 无论你打开什么窗口，总会弹出一个输入法工具体，并且默认是中文输入，非常讨厌。
2. 它替换了原来的区域和输入法设置，并以一个文字服务的设置取而代之，而且不能设置默认的输入法。
3. 结束掉原来的输入法工具进程internat.exe，并令他不能在开机时起动。
4. 将自己放在开机时启动的程序列表中，除非修改注册表，否则无法去除。
5. 像病毒一样有重生能力，当你把ctfmon.exe删了以后，他又会随着Office的启动而重新生成。
6. 当你结束了ctfmon.exe后，经常会出现输入法切换快捷键乱掉的情况。

好，经最高程序员审判庭批准，现对ctfmon.exe执行死行，立即执行！


第一步：右击任务栏空白处，点“任务管理器”。
第二步：找到ctfmon.exe，并终止它。
第三步：在系统目录下的system32目录下找到ctfmon.exe，删除掉。
第四步：写一个最简单的api程序（代码见附录），编译后放到ctfmon.exe所在目录，并更名为ctfmon.exe。

第五步：点击“开始”菜单，点击“运行”，输入internat.exe后点击确定。
第六步：重起计算机。

执行完毕！

附：
1. 程序代码如下：
#include <windows.h>
int APIENTRY WinMain( HINSTANCE, HINSTANCE, LPTSTR, int )
{
HANDLE m_hMutex = CreateMutex( NULL, TRUE, "ctfmon.exe" );
if( GetLastError() != ERROR_ALREADY_EXISTS )
while ( 1 ) Sleep( INFINITE );
return 0;
}

2. 如果执行后发现word的输入法无法正确使用，解决办法如下：
第一步：打开word（废话）
第二步：点击“工具”菜单中的“选项”子菜单。点击“编辑”选项卡。
第三步：清除“输入法控制处于活动状态”的复选。点击“确定”
第四步：点击“工具”菜单中“语言”子菜单中的“设置语言”项。
第五步：在列表中选择“英语 美国”，点击确定。
第六步：关闭Word，重起计算机。
解决。

admin

Trojan病毒清除方法及专杀工具
黑木马(Trojan.Mstp)病毒


　　警惕程度：★★★★ 发作时间：随机

　　病毒类型：木马病毒 传播方式：网络

　　依赖系统: WIN9X//NT/2000/XP

　　感染对象：共享目录

病毒介绍：

　　该病毒会通过局域网的共享目录进行疯狂传播，并将共享目录变成可自启动的磁盘，用户只要查看该磁盘病毒便能运行，病毒还会将各种反病毒软件关闭，使整个局域网面对其它各种电脑病毒完全失去防范作用, 并且该病毒还会搜寻局域网中的网络打印机，并启动打印机打印乱码文件直到所有打印纸耗尽。

病毒的发现与清除：

　　此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒，可以按照下面所说的方法手工清除“黑木马(Trojan.Mstp)”病毒。

　　1. 该病毒会杀掉一些正在运行的国外的杀毒软件，如果发现有这种情况，则证明感染了病毒。

　　2. 该病毒桧利用自启动光盘技术，在每一个硬盘分区下建立一个名为：autorun.ini的文件，可以直接将该文件删除。

　　3. 该病毒会将共享目录映射成磁盘，用户可检查是否存在这样的映射磁盘，然后取消映射或取消共享。

　　4. 该病毒会搜寻局域网中的网络打印机，并启动打印机打印乱码文件直到所有打印纸耗尽，当新的打印纸装入打印机后，会继续打印乱码文件，如此周而复始，如果发现这种情况，则可以先将打印机断电，然后再杀毒。

　　用户如果发现上述情况该很有可能是中了“黑木马(Trojan.Mstp)”病毒，可以按照上述方法手工清除该病毒。

　　用户如果想彻底清除该病毒，也可以采用瑞星杀毒软件2003版或瑞星在线杀毒服务进行清除, 对于有局域网的企事业单位，最好采用网络版进行全网监控与全网杀毒。

安天Downloader.Trojan专杀工具下载
http://www.kekepc.com/upimg/soft/070208/1_0037422341.rar

admin

tel.xls.exe变种fun.xls.exe病毒手工清除方法及专杀工具

系统症状
每次双击盘符出现一个新窗口
windows任务管理器出现了一个Excel的程序
鼠标右键点盘符出现"Auto"字样

无法显示隐藏文件
无法取消或者钩选 隐藏已知文件类型的扩展名

样本信息
File size: 49152 bytes
MD5: d88f7c6c15585404c30c92a11c429c36
SHA1: af2120915a1eeada68f62ab437ccb0c563675f3e
文件属性为隐藏

样本命名
Kaspersky--Trojan.Win32.VB.atg
瑞星--Trojan.VB.vtj

样本分析
注册表中添加
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[ASocksrv]SocksA.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[BSserver]FileKan.exe

修改注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
[CheckedValue] 被清空..

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
[UncheckedValue] 被修改为 1

释放文件
C:\Documents and Settings\mopery\Local Settings\Temp\~DF8785.tmp
C:\Documents and Settings\mopery\Local Settings\Temp\~DFD1D6.tmp
C:\WINDOWS\system32\algsrv.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\windows\ufdata2000.log

每个盘符下释放
AUTORUN.INF
tel.xls.exe

AUTORUN.INF文件内容
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkf

解决方案
1.Ctrl + Alt + Del 打开任务管理器
结束应用程序中的Excel
2. 删除文件
C:\Documents and Settings\mopery\Local Settings\Temp\~DF8785.tmp
C:\Documents and Settings\mopery\Local Settings\Temp\~DFD1D6.tmp
C:\WINDOWS\system32\algsrv.exe
C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\windows\ufdata2000.log

3. 删除注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[ASocksrv]SocksA.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[BSserver]FileKan.exe

4.恢复显示所有的文件项
开始=>运行=>regedit找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL单击右键"新建" - "Dword值"，并命名为CheckedValue,然后修改它的键值为1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
[UncheckedValue] 双击 从 1 改回 0

5.右键=>打开进入每个盘符 依次删除每个盘符里的文件
AUTORUN.INF
tel.xls.exe

或使用病毒专杀工具解决病毒

tel.xls专杀-Trojan.Win32.VB.atg
fun.xls.exe专杀工具下载：http://www.usbcleaner.cn/index1.htm

admin

alg.exe病毒的清除方法和专杀工具
这是一个病毒样本eraseme_88446.exe（样本来自“剑盟”）释放到系统中的。瑞星今天的病毒库不报。

C:\windows\alg.exe偷偷潜入系统后，下次开机时会遇到1－2次蓝屏重启。

特点：
1、C:\windows\alg.exe注册为系统服务，实现启动加载。
2、C:\windows\alg.exe控制winlogon.exe进程。因此，在WINDOWS下无法终止C:\windows\alg.exe进程。
3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5－6个端口访问网络。
4、C:\windows\alg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较，病毒改动后的ftp.exe和tftp.exe文件大小不变，但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b（见附图）。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp，存放到C:\WINDOWS\system32\Microsoft\目录下。

手工杀毒流程：
1、清理注册表：
（1）展开：HKLM\System\CurrentControlSet\Services
删除：Application Layer Gateway Services（指向 C:\windows\alg.exe）

（2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将SFCDisable的建值改为dword:00000000

（3）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删除："SFCScan"=dword:00000000

（4）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
删除："v7b5x2s1i4h3"="12/15/2006, 01:26 PM"

2、重启系统。显示隐藏文件。
3、删除C:\windows\alg.exe。
4、在C:\WINDOWS\system32\Microsoft\目录下找到backup.ftp，改名为ftp.exe；找到backup.tftp，改名为tftp.exe。然后，将ftp.exe和tftp.exe拖拽到system32文件夹，覆盖被病毒改写过的ftp.exe和tftp.exe。

admin

ARP病毒清除方法及专杀工具下载

ARP病毒病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网络均会造成影响，用户表现为上网经常瞬断。

例子中的IP地址均为假设，正确的IP请查询或加入群13770791

一、在任意客户机上进入命令提示符(或MS-DOS方式)，用arp –a命令查看：

C:WINNTsystem32>arp -a
Interface: 192.168.100.93 on Interface 0x1000003
Internet Address Physical Address Type
192.168.100.1 00-50-da-8a-62-2c dynamic
192.168.100.23 00-11-2f-43-81-8b dynamic
192.168.100.24 00-50-da-8a-62-2c dynamic
192.168.100.25 00-05-5d-ff-a8-87 dynamic
192.168.100.200 00-50-ba-fa-59-fe dynamic



可以看到有两个机器的MAC地址相同，那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址，192.168.100.1的实际MAC地址为00-02-ba-0b-04-32，我们可以判定192.168.100.24实际上为有病毒的机器，它伪造了192.168.100.1的MAC地址。

二、在192.168.100.24上进入命令提示符(或MS-DOS方式)，用arp –a命令查看：

C:WINNTsystem32>arp -a
Interface: 192.168.100.24 on Interface 0x1000003
Internet Address Physical Address Type
192.168.100.1 00-02-ba-0b-04-32 dynamic
192.168.100.23 00-11-2f-43-81-8b dynamic
192.168.100.25 00-05-5d-ff-a8-87 dynamic
192.168.100.193 00-11-2f-b2-9d-17 dynamic
192.168.100.200 00-50-ba-fa-59-fe dynamic


可以看到带病毒的机器上显示的MAC地址是正确的，而且该机运行速度缓慢，应该为所有流量在二层通过该机进行转发而导致，该机重启后所有电脑都不能上网，只有等arp刷新MAC地址后才正常，一般在2、3分钟左右。

三、如果主机可以进入dos窗口，用arp –a命令可以看到类似下面的现象：

C:WINNTsystem32>arp -a
Interface: 192.168.100.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.100.23 00-50-da-8a-62-2c dynamic
192.168.100.24 00-50-da-8a-62-2c dynamic
192.168.100.25 00-50-da-8a-62-2c dynamic
192.168.100.193 00-50-da-8a-62-2c dynamic
192.168.100.200 00-50-da-8a-62-2c dynamic



该病毒不发作的时候，在代理服务器上看到的地址情况如下：

C:WINNTsystem32>arp -a
Interface: 192.168.100.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.100.24 00-50-da-8a-62-2c dynamic
192.168.100.25 00-05-5d-ff-a8-87 dynamic
192.168.100.193 00-11-2f-b2-9d-17 dynamic
192.168.100.200 00-50-ba-fa-59-fe dynamic


病毒发作的时候，可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c，正常的时候可以看到MAC地址均不会相同。

解决办法：

一、采用客户机及网关服务器上进行静态ARP绑定的办法来解决。

1． 在所有的客户端机器上做网关服务器的ARP静态绑定。

首先在网关服务器（代理主机）的电脑上查看本机MAC地址

C:WINNTsystem32>ipconfig /all
Ethernet adapter 本地连接 2:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100B PCI Adapter (TX)
Physical Address. . . . . . . . . : 00-02-ba-0b-04-32
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.100.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0



然后在客户机器的DOS命令下做ARP的静态绑定

C:WINNTsystem32>arp –s 192.168.100.1 00-02-ba-0b-04-32

注：如有条件，建议在客户机上做所有其他客户机的IP和MAC地址绑定。

2． 在网关服务器（代理主机）的电脑上做客户机器的ARP静态绑定

首先在所有的客户端机器上查看IP和MAC地址，命令如上。

然后在代理主机上做所有客户端服务器的ARP静态绑定。如：

C:winntsystem32> arp –s 192.168.0.23 00-11-2f-43-81-8b
C:winntsystem32> arp –s 192.168.0.24 00-50-da-8a-62-2c
C:winntsystem32> arp –s 192.168.0.25 00-05-5d-ff-a8-87
。。。。。。。。。


3． 以上ARP的静态绑定最后做成一个windows自启动文件，让电脑一启动就执行以上操作，保证配置不丢失。

二、有条件的网吧可以在交换机内进行IP地址与MAC地址绑定

三、IP和MAC进行绑定后，更换网卡需要重新绑定，因此建议在客户机安装杀毒软件来解决此类问题：发现的病毒是变速齿轮2.04B中带的，病毒程序在 http://www.wgwang.com/list/3007.html 可下载到：

1、KAV(卡巴斯基)，可杀除该病毒，病毒命名为：TrojanDropper.Win32.Juntador.c杀毒信息：07.02.2005 10:48:00 Cocuments and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5B005Z0K9Gear_Setup[1].exe infected TrojanDropper.Win32.Juntador.c

2、瑞星可杀除该病毒，病毒命名为：TrojanDropper.Win32.Juntador.f

3、另：别的地市报金山毒霸和瑞星命名:“密码助手”木马病毒(Win32.Troj.Mir2)或Win32.Troj.Zypsw.33952的病毒也有类似情况。

附：“密码助手”病毒及TrojanDropper.Win32.Juntador.c 病毒介绍地址：

http://db.kingsoft.com/c/2004/11/22/152800.shtml

http://www.pestpatrol.com/pest_i ... in32_juntador_c.asp

admin

SMSS.EXE病毒清除方法及专杀

概述:

SMSS.EXE(Session Manager Subsystem)，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱
动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系
统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的
Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待
Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事
情，smss.exe就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个smss.exe进程，而
且有的smss.exe路径是"%WINDIR%\SMSS.EXE"，那就可以肯定是中了病毒或木马了。

清除方法：

1. 运行Procexp.exe和SREng.exe
2. 用ProceXP结束%Windows%\SMSS.EXE进程，注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序，不要颠倒。

4. 可以删除文件和启动项了……

要删除的清单请见: http://www.pxue.com/Html/736.html

删除的启动项：

Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改为：
"Shell"="Explorer.exe"


删除的文件就是一开始说的那些，别删错就行

5. 最后打开注册表编辑器，恢复被修改的信息：
查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；
查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；
查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；
查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如
“C:\Program Files\Internet Explorer\iexplore.exe”。

关于SMSS.EXE进程的描述：

进程文件： smss or smss.exe
进程名称： Session Manager Subsystem
进程类别：其他进程

英文描述：
Code:
smss.exe is a process which is a part of the Microsoft Windows Operating System.
It is called the Session Manager SubSystem and is responsible for handling sessions
on your system. This program is important for the stable and secure running of your comp

中文参考：

Code:
smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。
这个程序对你系统的正常运行是非常重要的。注意：smss.exe也可能是Win32.Ladex.a木马。该木马允
许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

出品者：Microsoft Corp.
属于：Microsoft Windows Operating System
系统进程：Yes
后台程序：Yes
网络相关：No
常见错误：N/A
内存使用：N/A
安全等级 (0-5): 0
间谍软件：No
广告软件：No
病毒：No
木马：No

admin

msrundll.exe病毒清除方法及专杀

1. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。

关闭QQ等应用程序。进行如下操作前，所有下载的工具都直接放桌面上。

2.清理系统垃圾文件
ATF CLEANER: http://hzqedison.mm9mm.com/hanhua/ATF-Cleaner-cn.exe

3.用强制删除工具XDelBox(文件删除终结者)删除下面列出的文件。
下载地址: http://post.baidu.com/f?kz=158203765
【删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作，删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关XDelBox的详细说明请看xdelbox1.2目录下help.chm。】
【友情提醒1：有找不到提示的，请一个文件一个文件的输入“文件路径”中，不存在的忽略即可】
【友情提醒2：重要！ 不管您以前有无下载过XDelbox,请按崔老师的链接下载最新的1.2版！以防系统崩溃。】

c:\windows\system32\lfrmewrk.exe
C:\WINDOWS\system32\MSRundll.exe
C:\WINDOWS\system32\bofang.dll
c:\windows\system32\cpuz.sys
c:\windows\system32\cdcd.sys
c:\windows\system32\keycrypt.sys
c:\windows\system32\drivers\xinstall.sys

--------------------------------------------------------------
3. 用工具 SREng 删除如下各项
下载及其使用方法看下面的链接【有图解】，看懂再下手操作！
http://hi.baidu.com/teyqiu/blog/ ... 2346ec54e72351.html
【如下操作有风险，必须看懂上面的方法再操作。】
【打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略，装杀软后的正常修改。】
==================================

启动项目 -->服务-->Win32服务应用程序 的如下项删除
（运行SRENG--->启动项目--->服务--->win32服务应用程序--->勾选“隐藏已认证的微软项目”--->选择要删除的服务--->选择删除服务--->点击设置--->出现提示里选择No(否)，确认删除。）

[error monitor / EmonSrv] <C:\WINDOWS\system32\lfrmewrk.exe>

启动项目 -->服务-->驱动程序的如下项删除(如果删不掉，就设置类型为disabled!)
（运行SRENG--->启动项目--->服务--->驱动程序--->勾选“隐藏已认证的微软项目”--->选择要删除的驱动程序--->选择删除服务--->点击设置--->出现提示里选择No(否)，确认删除。）

[cpuz / cpuz] <\??\C:\WINDOWS\system32\cpuz.sys>
[Cdsys / Cdsys] <\??\C:\WINDOWS\system32\cdcd.sys>
[QKeyServiceDisplay / QKeyService] <\SystemRoot\system32\KeyCrypt.sys>
[xinstall / xinstall] <\??\C:\WINDOWS\system32\drivers\xinstall.sys>

==================================

4、把QQ卸了重装QQ一次...

5、最后用 下文推荐的工具清理（第一个 WINDOWS清理助手） 把能检测到的全选后点清理（删除）参考
http://post.baidu.com/f?kz=149133630

6、完成后再用正版杀软在安全模式下扫描一次...

admin

网游木马winform.exe和winform.dll 清除方法及专杀工具

网游木马
winform.exe winform.dll
查杀解决方案

档案编号：CISRT2007045
病毒名称：Trojan-PSW.Win32.OnLineGames.mq（Kaspersky）
病毒别名：Trojan.PSW.OnlineGames.aeq（瑞星）
　　　　　 Win32.Troj.PswGame.mc.17408（毒霸）
病毒大小：17,408 字节
加壳方式：
样本MD5：97290b914f131a4886b5c32186a1742c
样本SHA1：45cfcdca19c94f53f50aab521c80fa9e194fb170
发现时间：2007.4
更新时间：2007.4
关联病毒：
传播方式：恶意网页、其它病毒或木马下载

技术分析
==========

变种：
【CISRT2007005】、【CISRT2007013】、【CISRT2007036】、【CISRT2007037】、【CISRT2007038】

网游木马，运行后复制自身到系统目录：
%Windows%\winform.exe
释放dll注入Explorer.exe进程：
%System%\winform.dll

创建启动项：

($('code0'));">[Copy to clipboard]:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winform"="%Windows%\winform.exe"
尝试向卡巴斯基（Kaspersky）警报和瑞星注册表监控提示对话框发送“允许”和“跳过”命令


清除步骤
==========

1. 删除木马启动项：

($('code1'));">[Copy to clipboard]:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winform"="%Windows%\winform.exe"
2. 重新启动计算机

3. 删除木马文件：
%Windows%\winform.exe
%System%\winform.dll

admin

lsass.exe病毒木马手工清除方法

　　郁闷啊,今天终于中病毒了,偶最新病毒库的卡巴斯基一直叫个不停(只是叫,就是杀不了),呵呵,带着无比激动的心情,我找到了易博特兄弟的博客,文章原文如下(图片等稍作了修改,由于下面要修改的注册表信息太多,所以希望中病毒的朋友能够耐心的按步骤做下来),刚才查了一下,这个病毒好像叫 如雪 ,名字很好听,咋就这么毒呢。

　　如果你懒于修改注册表,那么就用我作的专杀工具吧：

　　lsass.exe专杀工具

病毒症状
　　进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe，修改HKEY_CLASSES_ROOT下的.exe，exefile键值，并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEMEXERT.exe上.该病毒新建如下文件:

　　c: ewtro文件夹
　　c:program filescommon filesINTEXPLORE.pif
　　c:program filesinternet explorerINTEXPLORE.com
　　%SYSTEMdebugdebugprogram.exe
　　%SYSTEMsystem32Anskya0.exe
　　%SYSTEMsystem32dxdiag.com
　　%SYSTEMsystem32MSCONFIG.com
　　%SYSTEMsystem32 egedit.com
　　%SYSTEMsystem32LSASS.exe
　　%SYSTEMsystem32EXERT.exe

　　解决方法

　　1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看(V)"－>"选择列(S)..."，在弹出的对话框中选择"ID（进程标识符）"，并点击"确定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号.点击"开始"-->“运行”，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)"，比如我的计算机上就输入"ntsd –c q -p 1132".　　

　　2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了(友情提示:待你把病毒清除后,请把"隐藏受保护的操作系统文件"打上钩,要不然以后很容易误删东西哦).

　　删除如下几个文件：
　　C:NEWTRO文件夹
　　Crogram FilesCommon FilesINTEXPLORE.pif
　　Crogram FilesInternet ExplorerINTEXPLORE.com
　　C:WINDOWSEXERT.exe
　　C:WINDOWSIO.SYS.BAK
　　C:WINDOWSLSASS.exe
　　C:WINDOWSDebugDebugProgram.exe
　　C:WINDOWSsystem32dxdiag.com
　　C:WINDOWSsystem32MSCONFIG.COM
　　C:WINDOWSsystem32 egedit.com

　　在D:盘上点击鼠标右键，选择“打开”(直接双击打开会使病毒自动运行!)。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.

　　3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。
　　将Windows目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目:
　　HKEY_CLASSES_ROOTWindowFiles
　　HKEY_CURRENT_USERSoftwareVB and VBA Program Settings

　HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下面的 Check_Associations项
　　HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下面的ToP项

　　将HKEY_CLASSES_ROOT.exe的默认值修改为exefile(原来是windowsfile)
　　将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand的默认值修改为
　　"Crogram FilesInternet Exploreriexplore.exe" %1(原来是intexplore.com)

　　将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand
　　的默认值修改为"Crogram FilesInternet ExplorerIEXPLORE.EXE"(原来是INTEXPLORE.com)

　　将HKEY_CLASSES_ROOT ftpshellopencommand
　　和HKEY_CLASSES_ROOThtmlfileshellopennewcommand
　　的默认值修改为"Crogram FilesInternet Exploreriexplore.exe" %1
　　(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
　　将HKEY_CLASSES_ROOT htmlfileshellopencommand 和
　　HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为
　　"C:Program FilesInternet Exploreriexplore.exe" –nohome
　　将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet
　　的默认值修改为IEXPLORE.EXE.(原来是INTEXPLORE.pif)
　　重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕.Enjoy It .
　　(我在按易博兄的步骤作到这一步时,发现系统自动生成了一个regedit.exe,那么你把regedit.com删除就可以了)
　　--------------------------------------------------------------------------------
　　相关知识
　　进程文件:lsass或者lsass.exe
　　进程名称:local安全等级作者ityservice
　　描述:lsass.exe是一个关于微软安全机制的系统进程，主要处理一些特殊的安全机制和登录策略
　　出品者:microsoft corp.
　　属于:windows系统
　　系统进程:是
　　后台进程:是
　　使用网络:否
　　硬件相关:否
　　常见错误:未知
　　内存使用:未知
　　安全等级:0
　　间谍软件:否
　　广告软件:否
　　病毒:否
　　木马:否