十大流行病毒手工删除法之三

地上跑

七、“敲诈者”

　　病毒名称：Trojan/Agent.**

　　病毒中文名：“敲诈者”

　　病毒类型：木马

　　危险级别：★★★

　　影响平台：Win9X/ME/NT/2000/XP/2003

　　描述：毒在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹，名为“控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D}”，同时搜索本地磁盘上的用户常用格式文档(包括.xls、.doc、.mdb、.ppt、wps、.zip、.rar)，把搜索到的文件移动到上述备份文件夹中，造成用户常用文档丢失的假象

　　手工清除方法:

　　1、打开工具选项—〉文件夹选项—〉选择显示所有文件和文件夹并且将隐藏受保护的操作系统把文件前的√去掉。

　　2、将根目录下的名为“控制面板”隐藏文件夹用WinRAR压缩，然后启动WinRAR，切换到该文件夹的上级文件夹，右键单击该文件夹，在弹出菜单中选择"重命名"。

　　3、去掉文件夹名“控制面板”后面的ID号，即可变为普通文件夹了;也可直接进入该文件夹找回丢失的文件。

    八、威金

　　该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点，进入用户的电脑之后，它会从网上疯狂下载多个木马、QQ尾巴等安装在中毒的电脑中，窃取用户的网络游戏密码，严重时造成系统完全崩溃。

　　手工清除方法：

　　在下列系统目录中找到相应病毒文件并删除：

　　%SystemRoot%\rundl132.exe

　　%SystemRoot%\logo_1.exe

　　病毒目录\vdll.dll

　　定位到以下注册表键值并将其删除：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\current\Version\Run]

　　"load"="C:\\Windows\\rundl132.exe"

　　[HKEY_CURRENT_USER\Softwre\Microsoft\Windows NT\CurrentVersion\Windows]

　　"load"="C:\\Windows\\rundl132.exe"

    九，爱情后门

　　一、感染后的症状

　　在每个盘里自动生成几个压缩包，install.ZIP pass.ZIP setup.ZIP bak.RAR

　　pass.RAR

　　二、方法

　　第一种

　　结束进程： hxdef.exe iexplore.exe NetMeeting.exe

　　(如果结束不了，进安全模式(开机,按F8)在杀毒。或者先删注册表中的各项，重启后再删文件)

　　删掉%systemroot%system32下(systemroot,即安装系统的分区,一般为 C:\ )的：

　　hxdef.exe

　　ravmond.exe

　　iexplore.exe

　　kernel66.dll

　　odbc16.dll

　　msjdbc11.dll

　　MSSIGN30.DLL

　　spollsv.exe

　　NetMeeting.exe

　　(注意，有的文件是隐藏文件)

　　删掉%systemroot%目录下的systra.exe

　　删掉各个磁盘跟目录下的autorun.inf和command.exe(都是隐藏文件)

　　删掉各个磁盘跟目录下的rar和zip文件(大小126k)

　　关闭系统还原(此病毒可能感染系统还原目录内的文件)

　　搜索各磁盘中的.zmx文件，把相应目录中的exe文件删掉(如果是abc.zmx，就删掉abc.exe，注意，此文件是125k。)然后把zmx文件改回exe(如abc.zmx改成abc.exe)。文件属性被修改，通过下面这条命令改回属性：attrib -s -h *.zmx /s(在发现zmx文件的磁盘跟目录下运行，如：F:>attrib -s -h *.zmx /s


　　删掉注册表中下面各项：

　　HKEY_LOCAL_MACHINESOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

　　"Hardware Profile"="%Windir%\System32\hxdef.exe"

　　"VFW Encoder/Decoder Settings"="

　　RUNDLL32.EXE MSSIGN30.DLL　ondll_reg"

　　"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"

　　"Program In Windows"="%Windir%\System32\IEXPLORE.EXE"

　　"Shell Extension"="%Windir%\System32\spollsv.exe"

　　"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL　ondll_reg"

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

　　unServices

　　"SystemTra"="%Windir%\SysTra.EXE"

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices_reg

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows

　　Management Protocol v.0 (experimental)

　　进入注册表的方法: "开始" \ "运行" \ 输入"regedit" \ 回车

　　第二种

　　手工杀毒步骤为：

　　1.删除了以上列出的病毒文件，有些文件只能在安全模式下删除。

　　2.然后修改注册表，删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

　　Windows\CurrentVersion\Run]中的相应条目。

　　3.删除服务，可以使用resource kit中的delsrv命令，也可以到注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services中删除。

　　做了以上工作后，计算机暂时恢复正常。但是过了一段时间以后，发现计算机重新感染病毒，原来的所有现象重新出现。再做一遍仍然如此。使用任务管理器查看进程，未发现其它可疑进程。后来使用瑞星最新版本杀毒，可以看到winnt\explorer.exe感染病毒，但无法杀掉。所以把注意力转到这个文件上，经检查文件尺寸为238kb，到别的正常机器上一看，结果是233kb，原来如此。由于操作系统运行过程中无法替换该explorer.exe文件，所以使用win2000安装光盘启动，进入恢复控制台。使用软盘把从正常计算机上拷贝来的文件替换上。并且使用上面的三个步骤手工杀毒。

    十、工行钓鱼木马：

　　这是一个十分狡猾的盗取网上银行密码的木马病毒。病毒运行后，在系统目录下生成svchost.exe文件，然后修改注册表启动项以使病毒文件随操作系统同时运行。

　　病毒运行后，会监视微软IE浏览器正在访问的网页，如果发现用户在工行网上银行个人银行登录页面上输入了帐号、密码，并进行了提交，就会弹出伪造的IE窗，内容如下： “为了给您提供更加优良的电子银行服务，6月25日我行对电子银行系统进行了升级。请您务必修改以上信息!”

　　病毒以此诱骗用户重新输入密码，并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载灰鸽子后门病毒，感染灰鸽子的用户系统将被黑客远程完全控制。

　　1、自动清除：断开网络，升级杀毒软件对电脑进行全盘扫描。

　　2、手工清除：在系统目录下找到svchost.exe病毒文件，并将其删除，打开注册表找到svchost.exe的关联键值，并将其删除.