常见病毒解决方案大全.docx

常见病毒解决方案大全！1） Funlove 病毒病毒的全称是：Win32.Funlove.4608(4099),属于文件型病毒。病毒特征：会在 Windows 的 systemNT 系统中为 System32名目下建立 flcss.exe, 长度为 4068 字节搜寻全部本地驱动器以及局域网上的共享文件夹，在其中搜寻带有 EXE，Scrocx 扩展名的文件，验证后进展感染。预防与去除：1、 网络用户在去除该病毒时，首先要将网络断开。2、 然后用软盘引导系统，用单机版杀毒软件对每一台工作站分别进展病毒的去除工作。3、 对于单机用户直接从其次步开头。4、 假设效劳器端染毒 funlove 病毒的，且使用 NTFS 格式，用 DOS 系统盘启动后， 找不到硬盘，则需将染毒的硬盘拆下，放到另外一个干净的 Windows NT/2023 系统下作为从盘，然后用无毒的主盘引导机器后，使用主盘中安装的杀毒软件再对从盘进展病毒检测、去除工作。5、 确认各个系统全部去除病毒后，在效劳器和个工作站安装防病毒软件，同时启动实时监控系统，恢复正常工作。2） 冲击波病毒以下操作除非指定，一律在无活动网络连接的环境下进展1、 在任务治理器中，完毕“msblast.exe“进程。2、 进入 windows 文件夹 system 名目，删除 msblaster.exe3、 通过在任务栏运行中输入 msconfig，删除一个 windows update 的启动程序4、进入“治理工具”文件夹在开头菜单或把握面板，运行组件效劳，在左边侧栏点击“效劳本地”，找到 Remote Procedure Call (RPC)，其描述为“供给终结点映射程序 (endpoint mapper) 以及其它 RPC 效劳。”。双击它，进入恢复标签页，把第一二三次操作都设为“不操作”5、还在组件效劳中，在左边侧栏点击“组件效劳”，双击右边的计算机，在消灭的我的电脑上右键点击，进入属性，点击“默认属性”，关闭分布式 COM。6、在防火墙设置中关闭 135，4444，66 端口。假设没有安装防火墙，用 XP 自带的也行7、重启后，翻开防火墙！下载微软补丁并安装。再重启，搞定！3） 震荡波1、“震荡波”利用 WINDOWS 平台的 Lsass 漏洞进展广泛传播，开启上百个线程不停攻击其它网上其它系统，堵塞网络。并不通过邮件传播，而是通过命令易受感染的机器下载特定文件并运行，来到达感染的目的.2、如何判别感染“震荡波“、莫名其妙地死机或重启动计算机。任务治理器里有“avserve.exe“或者“avserve2.exe”、*_up.exe*为随即数字的进程在运行。、在 windows 名目下，产生一个名为 avserve.exe 或者 avserve2.exe 的病毒文件；在 windowssystem32 下产生几个*_up.exe 文件。最系统速度极慢，cpu 占用 100% 。2、解决方法：、首先断开网。、手动删除 windows 名目下名为 avserve.exe 或者 avserve2.exe 的病毒文件；删除 windowssystem32 下*_up.exe 文件。删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中有关avserve.exe 或者 avserve2.exe 的键值。WIN2023 补丁： :/download.microsoft /do . B835732-x86-CHS.EXE WINXP 补丁： :/download.microsoft /do . B835732-x86-CHS.EXE WIN2023 补丁： :/download.microsoft /do . B835732-x86-CHS.EXE4） “欢快时间”病毒的主要表现是：一、每个检查到的文件夹下生成“desktop.ini”和“folder.htt”文件； 二、在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下生成“Kernel32”键值，并指向“Kernel.dll”或者“Kernel32.dll”文件；三、在 system 名目下生成“kjwall.gif ”文件。手工去除的方法如下：1） 翻开注册表，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunKe rnel32 键值；2） 比照其它没中毒的电脑，恢复 HKEY_CLASSES_ROOTdllFile下的键值；3） 比照其它电脑，恢复 HKEY_CURRENT_USERIdentities“&UserID& “SoftwareMicrosoftOutlookExpress“&OEVersion&“Mail下的相关键值；4） 比照其它电脑，恢复HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsMail下的相关键值；5） 比照其它电脑，恢复HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0OutlookOptionsMail下的相关键值；删除带毒文件建议在 DOS状态下进展 1比照其它电脑，恢复 Windowsweb 名目下“folder.htt”文件； 2删除“Kernel32.dll”或“Kernel.dll”文件； 3删除“kjwall.gif ”；4） 查找全部带有“KJ_start”字符串的文件，并删除文件尾部的病毒代码。5） 灰鸽子病毒的主要表现灰鸽子Backdoor.Huigezi作者现在还没有停顿对灰鸽子的开发，再加上有些人为了避开杀毒软件的查杀有意给灰鸽子加上各种不同的壳，造成现在网络上不断有的灰鸽子变种消灭。尽管瑞星公司始终在不遗余力地收集最的灰鸽子样本， 但由于变种繁多，还会有一些“漏网之鱼”。假设您的机器消灭灰鸽子病症但用 瑞星杀毒软件查不到，那很可能是中了还没有被截获的变种。这个时候，就需要手工杀掉灰鸽子。手工去除灰鸽子并不难，重要的是我们必需懂得它的运行原理。灰鸽子的运行原理：灰鸽子木马分两局部：客户端和效劳端。黑客姑且这么称呼吧操纵着客户端，利用客户端配置生成出一个效劳端程序。效劳端文件的名字默认为 G_Server.exe， 然后黑客通过各种渠道传播这个木马俗称种木马或者开后门。种木马的手段有很多，比方，黑客可以将它与一张图片绑定，然后假冒成一个羞怯的 MM 通过 QQ 把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用 IE 漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个好玩的软件诱骗用户下载G_Server.exe 运行后将自己拷贝到 Windows 名目下(98/xp 下为系统盘的 windows 名目，2k/NT 下为系统盘的 Winnt 名目)，然后再从体内释放 G_Server.dll 和G_Server_Hook.dll 到 windows 名目下。G_Server.exe、G_Server.dll 和G_Server_Hook.dll 三个文件相互协作组成了灰鸽子效劳端，有些灰鸽子会多释放出一个名为 G_ServerKey.dll 的文件用来记录键盘操作。留意，G_Server.exe 这个名称并不固定，它是可以定制的，比方当定制效劳端文件名为A.exe 时，生成的文件就是 A.exe、A.dll 和 A_Hook.dll。Windows名目下的G_Server.exe 文件将自己注册成效劳9X 系统写注册表启动项，每次开机都能自动运行，运行后启动 G_Server.dll 和 G_Server_Hook.dll 并自动退出。G_Server.dll 文件实现后门功能，与把握端客户端进展通信；G_Server_Hook.dll 则通过拦截 API 调用来隐蔽病毒。因此，中毒后，我们看不到病毒文件，也看不到灰鸽子Backdoor.Huigezi作者现在还没有停顿对灰鸽子的开发，再加上有些人为了避开杀毒软件的查杀有意给灰鸽子加上各种不同的壳，造成现在网络上不断有的灰鸽子变种消灭。尽管瑞星公司始终在不遗余力地收集最的灰鸽子样本，但由于变种繁多，还会有一些“漏网之鱼”。假设您的机器消灭灰鸽子病症 但用瑞星杀毒软件查不到，那很可能是中了还没有被截获的变种。这个时候， 就需要手工杀掉灰鸽子。手工去除灰鸽子并不难，重要的是我们必需懂得它的运行原理。灰鸽子的手工检测：由于灰鸽子拦截了 API 调用，在正常模式下木马程序文件和它注册的效劳项均被隐蔽，也就是说你即使设置了“显示全部隐蔽文件”也看不到它们。此外，灰鸽子效劳端的文件名也是可以自定义的，这都给手工检测带来了肯定的困难。但是，通过认真观看我们觉察，对于灰鸽子的检测仍旧是有规律可循的。从上面的运行原理分析可以看出，无论自定义的效劳器端文件名是什么，一般都会在操作系统的安装名目下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。由于正常模式下灰鸽子会隐蔽自身，因此检测灰鸽子的操作肯定要在安全模式下进展。进入安全模式的方法是：启动计算机，在系统进入 Windows 启动画面前， 按下 F8 键(或者在启动计算机时按住 Ctrl 键不放)，在消灭的启动选项菜单中，选择“Safe Mode”或“安全模式”。1） 由于灰鸽子的文件本身具有隐蔽属性，因此要设置 Windows 显示全部文件。翻开“我的电脑”，选择菜单“工具”“文件夹选项”，点击“查看”，取消“隐蔽受保护的操作系统文件”前的对勾，并在“隐蔽文件和文件夹”项中选择“显示全部文件和文件夹”，然后点击“确定”。2） 翻开 Windows 的“搜寻文件”，文件名称输入“_hook.dll”，搜寻位置选择Windows 的安装名目默认 98/xp 为 C:windows，2k/NT 为 C:Winnt。3） 翻开 Windows 的“搜寻文件”，文件名称输入“_hook.dll”，搜寻位置选择Windows 的安装名目默认 98/xp 为 C:windows，2k/NT 为 C:Winnt。4） 依据灰鸽子原理分析我们知道，假设Game_Hook.DLL 是灰鸽子的文件，则在操作系统安装名目下还会有 Game.exe 和 Game.dll 文件。翻开 Windows 名目，果真有这两个文件，同时还有一个用于记录键盘操作的 GameKey.dll 文件。经过这几步操作我们根本就可以确定这些文件是灰鸽子木马了，下面就可以进展手动去除。灰鸽子的手工去除经过上面的分析，去除灰鸽子就很简洁了。去除灰鸽子仍旧要在安全模式下操作， 主要有两步：去除灰鸽子的效劳；删除灰鸽子程序文件。留意：为防止误操作，去除前肯定要做好备份。去除灰鸽子的效劳 2023/XP 系统：翻开注册表编辑器点击”开头”-“运行”，输入”Regedit.exe”，确定。，翻开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 注册表项。点击菜单”编辑”-“查找”，”查找目标”输入”game.exe”，点击确定，我们就可以找到灰鸽子的效劳项此例为 Game_Server。删除整个 Game_Server 项。小结：本文给出了一个手工检测和去除灰鸽子的通用方法，适用于我们看到的大局部 灰鸽子木马及其变种，然而仍有极少数变种承受此种方法无法检测和去除。同 时，随着灰鸽子版本的不断推出，作者可能会参加一些的隐蔽方法、防删 除手段，手工检测和去除它的难度也会越来越大。当你确定机器中了灰鸽子木 马而用本文所述的方法又检测不到时，最好找有阅历的朋友帮助解决。同时随着瑞星杀毒软件 2023 版产品公布，杀毒软件查杀未知病毒的力量得到了进一步提高。经过瑞星公司研发部门的不断努力，灰鸽子病毒可以被安全有效地自动去除，需要用户手动删除它的时机也将越来越少。病毒注册的效劳项。随着灰鸽子效劳端文件的设置不同， G_Server_Hook.dll 有时候附在 Explorer.exe 的进程空间中，有时候则是附在全部进程中。6病毒名称：红色代码 IICodeRedII别名：CODERED.C, CODERED, HBC, W32/CodeRed.C, CodeRedIII, CodeRed III, Code Red II病毒特点：该病毒利用 IIS 的缓冲区溢出漏洞，通过 TCP 的端口传播，并且该病毒变种在感染系统后会释放出黑客程序。它的技术特性如下：一、攻击的目标系统：安装 Indexing services和 IIS 4.0 或 IIS 5.0 的 Windows 2023 系统安装 Index Server 2.0 和 IIS 4.0 或 IIS 5.0 的 Microsoft Windows NT 4.0 系统二、如何判定患病“红色代码 II”病毒攻击在 WINNTSYSTEM32LOGFILESW3SVC1 名目下的日志文件中是否含有以下内容GET，/default.ida,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a,假设觉察这些内容，那么该系统已经患病“红色代码 II”的攻击。