6.黑洞2001
“黑洞2001”是国产木马程序,默认连接端口2001,它的图标是一个文件夹,具有很强的迷惑性,一不小心,就会上当。下面介绍清除方法。
(1)使用“开始”→“运行”,输入“regedit”命令,然后将HKEY_CLASSES_RO- OT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE%1改为C:\Windows\NO- TEPAD.EXE%1:
(2)将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由S_SERVER.EXE%1改为C:\Windows\NOTEPAD.EXE%1;
(3)将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServ- ices\下的串值Windows删除;
(4)将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除;
(5)到C:\Windows\SYSTEM下,删除Windows.exe和S_Server.exe这两个木马文件。
7.“无赖小子”2.4版本
“无赖小子”是国产木马程序,默认连接端口8011,它可以被称为注册表操控方面的“木马老大”。准确地说这个木马并没有完善的清除方法,因为它强大的注册表修改功能使得每个注册表键值都可能被修改,所以这里所使用的清除方法也只适合默认状态下的清除。具体做法是使用进程管理器终止掉这个木马的进程,然后在Windows下直接删除 msgsvc.exe,至于注册表中的键值,按照木马最容易启动自己的地方进行检查,发现有改动的就删除掉。可见,在中木马病毒前备份注册表是非常重要的。
8.“网络神偷”(Nethief)
“网络神偷”又名Nethief,是第一个反弹端口型的新型木马。它的最大危害在于能够使用反弹端口远程控制局域网内部的机器。它的工作方式:服务端使用主动端口,客户端使用被动端口。当打开客户端的时候,客户端自动通过FTP主页空间写入一些数据告诉服务端,如自己的IP地址端口等信息,并进入监听状态。而服务端定期的检查一下FTP空间里面的输入是否发生了变化,当发生了变化之后,它就会自动开始连接客户端。为了隐蔽,客户端的监听端口一般开在80,这样即使用户使用端口扫描软件检查自己的端口中,发现的也是类似“TCP服务端的IP地址:1026客户端的IP地址:80ESTABLISHED”的信息,大多数人都还以为自己在浏览网页。下面介绍手动清除方法。
(1)先删除注册表启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo- ws\CurrentVersionkRun下的internet/s键值(键名是在生成服务端时由用户设置的,可能有些变化);
(2)重启后,再删除系统目录(C:\Windows\System)中的服务端程序intemet.exe(文件名也是由用户设置的,可能有些变化)。
9.“网络公牛”(Netbull)
“网络公牛”又名Netbull,是国产木马,默认连接端口234444。服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:\Windows\SYSTEM下,下次开机checkdll.exe将自动运行。同时,服务端运行后会自动捆绑以下文件:Windows 9X下:捆绑notepad.exe; write.exe,regedit.exe,winmine.exe,winhelp.exe;winnt/2000(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)下:notepad.exe regedit.exe,reged32.exe;drwtsn32.exe; winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe,QQ或ICQ等)上。
下面介绍手动清除方法。
(1)删除网络公牛的自启动程序C:\Windows\SYSTEM\CheckDll.exe;
(2)把网络公牛在注册表中所建立的键值全部删除;
[HKEY_CURRENT_USER\Software\Micmsoft\Windows\CurrentVersion\Run]
“CheckDll.exe”=“C:\Windows\SYSTEM\CheckDll.exe”
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows、CurrentVersion\RunServices]
“CheckDll.exe”=“C:\Windows\.SYSTEM\CheckDll.exe”
[HKEY_USERS\.DEFAULT\Software\Micmsoft\Windows\CurrentVersionkRun]
“CheckDll.exe”=“C:\Windows\SYSTEM\CheckDll.exe”
(3)检查上面列出的文件,如果发现文件长度发生变化(大约增加了40KB左右,可以通过与其他电脑上的正常文件比较而知),就删除它们!然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面被删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe,QQ或ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。
10.AttackFTP木马
AttackFTP木马也是目前比较典型的木马,通常木马文件被保存在Windows的系统目录下,然后利用C:\Windows下的Win.ini文件中的“Load=”及注册表文件产生双重引导木马效果。
要清除AttackFTP木马可以按照以下的步骤进行。
(1)打开win.ini文件,在“Windows”下面有“load=wscan.exe”,删除其中的“wscan.ex-e”,正确是“load=”后面没有任何文字叙述。修改完毕之后,别忘了保存关闭win.ini文件。
(2)打开注册表并删除运行路径。打开目录到HKEY_LOCAL_MACHINE\SOFTWA- RE\Microsoft\Windows\CurrentVersion\Run,删除右边的Reminder=“wscan.exe/s”。
(3)重新启动到MS-DOS系统中,删除C:\windowsksystem\wscan.exe,待删除之后重新开机进入Windos系统。
11.Win32.FunLove.4099
FunLove是一个非破坏性的内存驻留的Win32病毒,它感染本地驱动器和网络驱动器上的PE格式文件,因为有网络传播能力,它以一个感染的工作站为基地,通过对当前用户写授权的网络资源进行传播。虽然FunLove病毒对数据没有直接的破坏性,但也会占用系统资源,降低运行速度。下面介绍手工清除方法。
在Windows 9X系统上的清除方法为。
(1)断开网络,备份重要文件;
(2)将病毒生成的FLCSS.exe文件删除;
(3)用启动盘引导系统,在DOS下查找并清除。
Windows 2000/NT系统上的清除方法为。
若Windows 2000/NT系统的NTFS硬盘分区染有此毒,处理比较烦琐。因为使用DOS软盘引导后不认硬盘分区,所以无法杀毒。在染毒的Windows 2000/NT系统下又杀不干净病毒。
推荐消除方法为:
(1)断开网络,备份重要文件,将病毒生成的FLCSS.exe文件删除;
(2)将患毒的硬盘挂接在无毒的机器上作为从盘;
(3)用无毒的主盘引导机器后,查找并清除从盘中的病毒。
12.欢乐时光(Happytime)
“欢乐时光”(Happytime)是一个VB源程序蠕虫。它专门感染.htm,.html,.vbs,.asp和.htt文件。它作为电子邮件的附件,并利用Outlook Express的功能缺陷把自己传播出去。它利用一个被人们所知的Microsoft Outlook Express的安全漏洞,可以在用户没有运行任何附件时就运行自己。它利用Outlook Express的信纸功能,使自己复制在信纸的Html模板上,以便传播。这和“Wscript.KakWorm”病毒很相似,当信发出去时,“欢乐时光”的源病毒隐藏在HTML文件上。只要用户在Outlook Express上预览了隐藏有病毒的HTML文件,甚至都不用打开它,它就能感染用户的电脑。
清除“欢乐时光”病毒方法
(1)在C:\Windows\Web文件夹下,搜索文件和文件夹,名为“*.htt”;
(2)删除找到的文件;
(3)更改注册表,并删除键值:HKEY_CURRENT_USER\Software\Help\Count HKE- Y_CURR*ENT USER\Software\Help\FileName;
(4)重新启动机器;
(5)升级IE到6.0。
13.Worm.BadTrans.ll
“I-Worm.BadTrans.II”是一种蠕虫病毒,如果邮件Client程序上没有修补漏洞,只要读邮件,被设置了储藏键盘输入内容的特洛伊木马,就会通过邮件传播。该蠕虫病毒运行时,会将自己复制到Windows的System目录下,并命名为KERNEL32.EXE,并将它加到注册表 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce中,使自己能在下次Windows启动时运行。同时还会生成一个dll文件:KDLL.DLL,该文件是储藏输入键盘内容功能的特洛伊木马。下面介绍手动清除方法。
在Windows 9X系统中:
(1)按“Alt”+“Shift”+“Ctrl”键,结束Kemel32.exe的进程;
(2)在Windows\system\下查找Kerne132.exe和Kdll.dll文件并删除它们;
(3)删除注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre- ntVersion\RunOnce\Keme132=Keme132.exe的主键。
在Windows 2000/NT系统中:
(1)在Windows 2000/NT下结束进程;方法为按“Alt”+“Shift”+“Ctrl”键出现任务管理器窗口,在进程选项中,查找KerneD2.exe文件,选中后结束程序进程;
(2)回到系统目录WINNT\ystem32\删除文件Kerne132.exe和KDLL.dll;
(3)删除注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current- Version\RunOnce\Keme132=Keme132.exe的主键;
最后,别忘了升级IE6.0。
14.尼姆达(Nimda)
在手工查杀尼姆达(Nimda)时,须注意不同的平台采取不同的方法。
对于Windows 98用户:
(1)打开进程管理器,查看进程列表,结束其中进程名称为“xxx.tmp.exe”以及“Loa- d.exe”的进程(其中xxx为任意文件名);
(2)切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;
(3)切换到系统的System目录,寻找大小为57344字节名称为Riched20.DLL的文件并删掉它;
(4)继续在系统的System目录下寻找名称为load.exe,删掉它;
(5)如果遇到Office运行异常,请将Windows 98安装目录下的压缩包内的RICHE- D20.DLL文件复制到C:\windows\system下,替换掉到原有的RICHED20.DLL文件;
(6)如发现C:盘共享,请打开共享文件夹管理,将共享“C$”去除;
(7)打开Sysmm.im文件,在[load]中如果有一行“shell=explorer.exe load.exedontrunold”,则改为“shell=explorer.exe”;
(8)升级IE到6.0版本。
对于Windows2000 Professional/Server/Advanced server/NT4 Server:
(1)首先安装IIS补丁及IE相应的最新补丁;
(2)将服务器隔离,断开所有网线;
(3)将IIS服务的Scripts目录中TFTP*.exe和ROOT.exe文件全部移除:
(4)当受到尼姆达病毒的入侵后,系统中会出现一些新的共享,如C、D等,应该将其共属性去掉;
(5)另外,查看一下administrators组中是否加进了“guest”用户,如果是,请将guest用户从administrators组中删除;
(6)彻底清除Nimda病毒,查找与清除方式同Windows 98系统;
(7)恢复网络连接;
(8)如果按照以上步骤仍无法解决问题,说明IIS补丁安装有问题,请重新安装IIS补丁; (9)如果用户服务器不提供Web服务,应将Web服务停止.,这样比较安全。
