电脑病毒清理方法及专杀工具

admin

ntfs.dll病毒ntfs.dll木马清除办法及ntfs.dll专杀工具下载

ntfs.dll病毒ntfs.dll木马中毒症状：

开机依然不显示桌面，依然要点CTRL+ALT+DELETE的任务管理器  新建任务 c://Documents and Settings  才能显示桌面，但会弹出一个对话框
Windows 找不到文件 ’/indlist,:504:788,C:\Documents’。请确定文件名是否正确后，再试一次。要搜索文件，请单击[开始]按钮，然后单击“搜索”。

另外每次重起再开机，金山毒霸杀毒都会出现一个恶意软件：  异常的系统文件userinit.exe  发现安装。怎么也移除不了，而且也无法修复这个文件。

再打开SRENGPS。EXE  弹出对话框:

警告!注册表值 UserInit 被修改为非正常值.
(对于 Windows 2000,默认值类似于:"C:\WINNT\system32\Userinit.exe,".对于Windows XP 或更高版本,默认值类似于:"C:\WINDOWS\system32\Userinit.exe,").请检查你的系统中可能存在的计算机病毒.
请问是否用 System Repair Engineer 自动修复?

每次我都点是,但每次重起以后再开还是会有.

另外我把网镖安全开到最高每次开机都有会弹出:
成功拦截1个从220.165.29.64接收ICMP数据包,对应本机地址为222.215.37.28

ntfs.dll病毒ntfs.dll木马病毒分析：

ntfs.dll病毒是机器狗病毒的一种

病毒名称：Trojan/Agent.pgz
中 文 名：机器狗
病毒类型：木马
危害等级：★★★
影响平台：Win 9X/ME/NT/2000/XP/2003
病毒运行特征：
“机器狗”病毒运行后，会在%WinDir%\System32\drivers 目录下释放出一个名为pcihdd.sys 的驱动程序，该文件会接管冰点或者硬盘保护卡对硬盘的读写操作，这样该病毒就crack了还原系统的保护，使冰点、硬盘保护卡实效。接着，该病毒会利用MS06-014和MS07-017系统漏洞和等多个应用软件漏洞，从http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等恶意网址下载多款网游木马，盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码，严重威胁游戏玩家数字财产的安全。正因为冰点还原软件和硬盘保护卡大多在网吧使用，因此网吧成为该病毒发作的重灾区。
    
             机器狗木马图标

  该病毒还会随着ARP病毒传播，因此对局域网杀伤性极大。针对此病毒，江民科技反病毒中心已经及时升级了病毒库，只要将KV杀毒软件升级至最新版本，即可有效防范查杀此病毒。

ntfs.dll病毒ntfs.dll木马机器狗解决方案

  1、由于机器狗病毒是借助于ARP欺骗的方式在局域网中传播，因此做好ARP欺骗的防范工作十分必要。建议有条件的网吧和企业，采用双向绑定策略，在交换机或路由器上绑定好全网的IP-MAC地址，在客户端绑定好网关的IP-MAC。这样即便是局域网中某台电脑感染了ARP病毒，该电脑也不会干扰全网的运行。双向绑定策略是抵御ARP病毒的好办法。
  如果不具备双向绑定的条件，可以采用划分VLAN 的方法，来隔离网络的不同区域，这样可以把ARP病毒的危害降低到最小。

  2、更新好系统漏洞补丁，尤其是网页木马常用漏洞：MS06-014和MS07-017。目前根据江民科技反病毒中心恶意网址跟踪结果来看，发现绝大部分的网页木马都是利用以上两个系统漏洞入侵到计算机中的，因此打好补丁十分关键。
MS06-014 中文版系统补丁下载地址：
http://www.microsoft.com/china/t ... letin/MS06-014.mspx
MS06-014 英文版系统补丁下载地址：
http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
MS07-017 中文版系统补丁下载地址：
http://www.microsoft.com/china/t ... letin/MS07-017.mspx
MS07-017 英文版系统补丁下载地址：
http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx

  3、注意应用软件版本的及时更新。“机器狗”病毒除了利用以上两个系统漏洞通过网页木马的方式入侵到电脑中，还利用时下最为流行的应用软件漏洞进行挂马传播，例如一些聊天工具漏洞、播放器软件漏洞、网络电视软件漏洞、游戏软件漏洞、甚至是一些常用的下载工具的漏洞都会成为病毒的传播途径。由于应用软件的用户群体更为广泛，这也就成了病毒作者传播病毒的又一“利器”。因此要注意软件的版本，一定要使用从官方网站下载的最新版本的软件，这点十分重要，不要使用老版本，因为老版本还有很多漏洞。

  4、禁用Windows系统的自动播放功能。这一点对个人用户来说同样重要，由于“机器狗”病毒还会利用U盘传播，因此如果U盘中含有此病毒时，如果直接双击打开U盘，就会激活病毒，从而感染进电脑中。建议用户通过组策略的方式禁用U盘的自动播放功能。
  关闭自动播放功能方法如下：在“开始”菜单的“运行”框中运行“gpedit. msc”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能，打开其中的“系统”菜单中的“关闭自动播放”的设置，在其属性里面选择“已启用”，接着选择“所有驱动器”，最后确定保存即可。江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，保护计算机系统安全。

  5、及时升级KV杀毒软件病毒库，上网时确保打开“网页监控”、“邮件监控”功能。
  建议企业级用户和网吧部署KV网络版杀毒软件，KV网络版具有全网统一升级，统一杀毒功能，可以快速彻底清除网络中的ARP病毒和“机器狗”病毒及其变种。

ntfs.dll病毒ntfs.dll木马ntfs.dll专杀ntfs.dll专杀工具"机器狗"免疫程序下载地址：
http://www.jiangmin.com/download/machinedogpatch.exe

admin

Adobe捆绑的Bonjour清除方法

自从装了Adbbe公司的Photoshop CS3中，在C:\Program Files就多了一个叫bonjour的文件夹，怎么也删除不掉，非常烦人。每次启动电脑，都会出现与之相关的进程，对于笔者的低端电脑，肯定是有点吃力的。没装Adobe的Photoshop CS3软件之前，都不见这家伙的身影，肯定是Adobe捆绑的流氓软件。

　　 笔者对于流氓软件向来是深恶痛绝，无论是恶意还是善意的，一律清除之而后快。这个Adobe捆绑的东东当然也不能豁免。笔者首先去弄明白这个东东到底是Adobe捆绑的Bonjour什么东西，上百度经过一番查问，Bonjour，原名Rendezvous，是苹果电脑公司在其开发的操作系统Mac OS X10.2版本之后引入的服务器搜索协议所使用的一个商标名。适用于LAN，Bonjour使用多点传送域名系统服务记录来定位各种设备，比如打印机或者其他计算机，以及另外设备上的服务。

　　弄明白之后，Bonjour原来是没什么作用的，笔者开始清除之。直接删除文件夹，没效。
　　
　　接着先结束进程，再删除，发现还是删不了，肯定是装成了什么服务或者注入到其他程序了。试图直接删除时，却报拒绝访问，计算通过查找发现，它是以服务形式加载的。

　　询问一些有此经验的网友，终于有彻底解决方法了。
　　在运行里打上"C: \Program Files\Bonjour\mDNSResponder.exe " -remove
　　打开 C: Program Files\Bonjour ，重命名 mdnsNSP.dll 为 mdnsNSP.old

　　重启电脑
　　删除 Program Files\Bonjour 文件夹。

admin

手动清除Worm.Win32.Viking.k病毒

　病毒描述：
　　该病毒属蠕虫类，病毒图标为压缩文件RAR图标，以迷惑用户点击运行。病毒运行后，将自身复制到系统文件夹%windows%下，文件名为rundll32.exe，释放病毒文件，修改注册表，添加启动项，以达到随机启动的目的，联接网络，开启端口，下载病毒文件，病毒尝试终止相关杀病毒软件，病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。该病毒对用户有一定危害。

　　行为分析：
　　1、病毒图标为压缩文件RAR图标，用以迷惑用户点击运行。
　　2、病毒运行后，将自身复制到系统文件夹下，并释放病毒文件：
　　%Windir%\rundll32.exe　　%Program files%\_desktop.ini
　　病毒所在目录\vDll.dll文件
　　释放病毒文件到系统根目录下_desktop.ini

　　3、联接网络，开启端口，下载病毒文件：
　　联接网络：
　　TCP：61.152.116.22
　　端口：随机开启1024以上端口
　　病毒位置：　　　　　　　　病毒名称：
　　%Windir%\0sy.exe　　　　　Trojan-PSW.Win32.WOW.dj
　　%Windir%\1sy.exe

　　在系统盘的根目录下下载1.txt
　　系统盘根目录\BBWOW\BBMS_DLL.DLL　　Trojan-PSW.Win32.WOW.db
　　系统盘根目录\TODAYNEW\TODAYNEW.DLL

　　4、修改注册表，添加启动项，以达到随机启动的目的：
　　HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
　　键值: 字串: "load "="C:\WINDOWS\rundl132.exe"

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager\
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ver_down0
　　值: dsfsfaa[Startup]..AppName=ATISoftwarer=sss

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　键值: 字串: "ver_down1"="COM+[7:18:32]: Setup started -
　　[DATE:05,22,2006 TIME: 07:18 pm]11111"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
　　HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
　　HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
　　值: "1"

　　5、病毒尝试终止相关杀病毒软件：
　　net stop "Kingsoft AntiVirus Service"

　　6、该病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。
　　注：%Windir%是一个可变路径。病毒通过查询操作系统来决定当前windir文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt，windows95/98/me/xp中默认的安装路径是C:\Windows
　　%Program files%是一个可变路径。病毒通过查询操作系统来决定当前Program files文件夹的位置。Windows操作系统中默认的安装路径是C:\Program Files。
　　% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

　　清除方案 ：
　　手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　　(1) 使用安天木马防线“进程管理”关闭病毒进程
　　(2) 删除病毒文件
　　系统根目录\_desktop.ini
　　系统盘根目录\1.txt
　　病毒所在目录\vDll.dll文件
　　%Windir%\rundll32.exe
　　%Program files%\_desktop.ini
　　%Windir%\0sy.exe
　　%Windir%\1sy.exe

　　(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
　　HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
　　键值: 字串: "load "="C:\WINDOWS\rundl132.exe"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager\
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ver_down0
   　值: dsfsfaa[Startup]..AppName=ATISoftwarer=sss

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　键值: 字串: "ver_down1"="COM+[7:18:32]: Setup started
　　- [DATE:05,22,2006 TIME: 07:18 pm]11111"

　　HKEY_LOCAL_MACHINE\SOFTWARE\Soft\
　　HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\
　　HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\auto
　　值: "1"