2006十大病毒手工查杀方法

站长搜索提供的有关服务器安全的资讯信息！ 网站监控 服务器监控 SEO监控 　　2006十大病毒手工查杀方法 　　一、“灰鸽子” 　　病毒名称：Backdoor/Huigezi 　　病毒中文名：“灰鸽子” 　　病毒类型：后门 　　影响平台：Win9X/ME/NT/2000/XP 　　描述：Backdoor/Huigezi.**“灰鸽子”是一个未经授权远程访问用户计算机的后门。以“灰鸽子”变种cm为例，该变种运行后，会自我复制到系统目录下

站长搜索提供的有关服务器安全的资讯信息！ 网站监控 服务器监控 SEO监控

　　2006十大病毒手工查杀方法

　　一、“灰鸽子”

　　病毒名称：Backdoor/Huigezi

　　病毒中文名：“灰鸽子”

　　病毒类型：后门

　　影响平台：Win9X/ME/NT/2000/XP

　　描述：Backdoor/Huigezi.**“灰鸽子”是一个未经授权远程访问用户计算机的后门。以“灰鸽子”变种cm为例，该变种运行后，会自我复制到系统目录下。修改注册表，实现开机自启。侦听黑客指令，记录键击，盗取用户机密信息，例如用户拨号上网口令，URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外，“灰鸽子”变种cm可下载并执行特定文件，发送用户机密信息给黑客等。

　　手工清除方法：

　　对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。

　　由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“SafeMode”或“安全模式”。

　　1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

　　2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录(默认98/xp为C:windows，2k/NT为C:Winnt)。

　　3、经过搜索，我们在Windows目录(不包含子目录)下发现了一个名为*****_Hook.dll的文件。

　　4、根据灰鸽子原理分析我们知道，如果*****_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有*****.exe和*****.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的*****Key.dll文件。

　　5、打开注册表编辑器(点击“开始”-》“运行”，输入“Regedit.exe”，确定。)，打开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项。

　　6、点击菜单“编辑”-》“查找”，“查找目标”输入“*****.exe”，点击确定，我们就可以找到灰鸽子的服务项(此例为*****_Server)。

　　7、删除整个*****_Server项。

　　二、“传奇窃贼”

　　病毒名称：Trojan/PSW.LMir

　　病毒中文名：“传奇窃贼”

　　病毒类型：木马

　　危险级别：★

　　影响平台：Win9x/2000/XP/NT/Me

　　描述：传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后，主程序文件自己复制到系统目录下。修改注册表，实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后，会自动重启。窃取“传奇2”帐号密码，并将盗取的信息发送给黑客。

　　手动清除方法：

　　它会在%WinDir%目录下生成的explorer.com文件也很迷惑人，与explorer.exe就差一个扩展名(如图2)。病毒经过UPX加壳处理，脱掉后可以看出是用VisualC++6.0编写的。

　　1、先再任务管理器中结束explorer.com进程，注意：是explorer.com而不是explorer.exe。

　　2再将每个硬盘分区根目录下bbs.exe和web.exe两个文件删除掉，注意：删除后就不要再打开这个分区了，否则会再次感染。

　　3删除%WinDir%explorer.com文件(注：WindowsXP系统在C:windowsexplorer.com，Windows2000/NT系统在C:WINNTexplorer.com。)

　　4最后在注册表中删除