2022年病毒的解决方法 .pdf

《2022年病毒的解决方法 .pdf》由会员分享，可在线阅读，更多相关《2022年病毒的解决方法 .pdf（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、“网游大盗”变种bu http:/ 2006年 09 月 27 日 来源 / 作者：江民科技病毒名称： Trojan/PSW.GamePass.bu 病毒中文名：“网游大盗”变种bu 病毒类型：木马危险级别： 影响平台： Win 9X/ME/NT/2000/XP/2003 感染对象：描述Trojan/PSW.GamePass.bu “网游大盗”变种bu 是一个利用网络共享进行传播的木马程序。“网游大盗”变种bu 运行后，在Windows目录下创建病毒副本和一个木马下载器。修改注册表， 实现开机自启。 将病毒文件注入到IEXPLORE.EXE 或 EXPLORER.EXE 的进程中，隐藏自我，防

2、止被查杀。连接指定站点，侦听黑客指令，下载并执行特定文件，终止某些与安全相关的服务，降低被感染计算机上的安全设置。遍历用户计算机的C到 Y 驱动器，搜索共享文件夹， 一经发现便利用空用户名和空密码打开共享文件夹，并自我复制到共享文件夹下，感染该文件夹下所有的.exe 文件，实现网络共享传播。解决方案：1、请及时升级江民KV2006杀毒软件，开启BOOTSCAN功能及各项监控，防止冲击波、震荡波等恶性病毒攻击用户计算机。BOOTSCAN 功能在 Windows 启动前能彻底清除以上恶性病毒，全面保护用户计算机。2、江民 KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀

3、病毒，保证企业信息安全。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 19 页 - - - - - - - - - 3、“江民密保”可有效保护网上银行、网络游戏、支付平台、网上证券交易等账号、密码， 彻底斩断“网银大盗”、“证券大盗”、 “传奇窃贼”、“天堂杀手”等专门盗号的木马黑手，全面保护用户机密信息。4、在运行通过网络共享下载的软件程序之前，建议先进行病毒查杀，以免导致中毒。5、设置网络共享帐号及密码时，尽量不要使用常见字符串，如guest 、administra

4、tor等。密码最好超过八位，尽量复杂化。6、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http:/ “VML漏洞利用代码”病毒“VML漏洞利用代码（Exploit.HTML.Execod.a）”病毒警惕程度：漏洞利用代码，不主动传播依赖系统： WIN9X/NT/2000/XP 。它是利用微软最新的IE 浏览器 VML漏洞进行编制的一个木马下载器程序，微软暂时还没有针对该漏洞发布补丁程序。黑客利用该代码构造特殊的网站，或在被攻击的网站放置该代码。当用户浏览这些网站的时候该恶意代码会偷偷从网上下载并运行病毒木马等恶意程序。目前，国内已经出现了利用IE VML漏洞进行下载

5、的生成器，可以生成含有IE VML漏洞的网页。反病毒专家建议电脑用户采取以下措施预防该病毒：用户可以通过反注册组件的方式暂时解决此漏洞带来的问题。点击“开始”- “运行”，输入“ regsvr32 /u vgx.dll”，确定。安装瑞星2006 杀毒软件用户请及时更新病毒库。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 19 页 - - - - - - - - - “USB间谍”变种 a 病毒名称： TrojanSpy.USBSpy.a 病毒中文名：“ USB 间谍”变

6、种a 病毒类型：间谍类木马危险级别： 影响平台： Win 9X/ME/NT/2000/XP 感染对象：描述： TrojanSpy.USBSpy.a“USB 间谍”变种a 是一个由 Delphi工具编写，经过UPX加壳，利用USB进行传播的间谍类木马。“USB 间谍”变种a 运行后，修改注册表，实现开机自启。解决方案：1、请立即升级江民KV2006杀毒软件，开启BOOTSCAN功能及各项监控，防止冲击波、震荡波等恶性病毒攻击用户计算机。BOOTSCAN 功能在 Windows 启动前能彻底清除以上恶性病毒，全面保护用户计算机。2、江民 KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当

7、时候进行全网查杀病毒，保证企业信息安全。3、针对病毒利用修改注册表实现开机自启这一特点，江民杀毒软件KV2006 “注册表自动修复”功能可以在第一时间清除病毒文件，对病毒破坏的系统注册表进行智能恢复。4、江民杀毒软件KV2006 “移动存储接入杀毒”能杜绝病毒利用移动设备（如：u 盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 19 页 - - - - - - - - - 5、怀疑已中毒的用户可使用江民免费在线查毒进

8、行病毒查证。免费在线查毒地址：http:/ 冲击波（ Worm.Blaster）病毒档案警惕程度：发作时间：随机病毒类型：蠕虫病毒传播途径：网络/RPC 漏洞依赖系统 : Microsoft Windows NT 4.0 / Microsoft Windows 2000 / Microsoft Windows XP /Microsoft Windows Server 2003 病毒介绍：该病毒于8 月 12 日被瑞星全球反病毒监测网率先截获。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K 或 XP的计算机， 找到后就利用DCOM RPC缓冲区漏洞攻击该系统， 一旦攻击成功， 病毒

9、体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。在8 月 16 日以后，该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。病毒的发现与清除：1. 病毒通过微软的最新RPC漏洞进行传播，因此用户应先给系统打上RPC补丁，补丁地址：http:/ 2. 病毒运行时会建立一个名为：“BILLY”的互斥量，使病毒自身不重复进入内存，并且病毒在内存中建立一个名为：“msblast ”的进程，用户可以用任务管理器将该病毒进程终止。名师资料总结 - - -精品资料欢迎下载 - -

10、 - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 19 页 - - - - - - - - - 3. 病毒运行时会将自身复制为：%systemdir%msblast.exe,用户可以手动删除该病毒文件。注意：%Windir%是一个变量， 它指的是操作系统安装目录，默认是：“C: Windows ”或：“c:Winnt”, 也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量，它指的是操作系统安装目录中的系统目录，默认是：“C:system”或：“c:system32”。Rose 病毒病状及解决办法

11、Rose.exe 病毒主要表现在：1、在系统中占用大量cpu 资源。2、在每个分区下建立rose.exe autorun.inf 2个文件，双击该盘符时显示自动运行，但无法打开该分区。3、大部分通过U 盘、移动硬盘等存储设备传播。对网络危害还在发现过程当中。4、 可能会引起部分操作系统崩溃，表现在开机自检后直接并反复重启，无法进入系统。由于某些原因， 各种杀毒软件均没有提供相应的病毒库，导致无法通过杀毒软件查杀该病毒。现提供手动杀毒方式，具体如下：1、进入安全模式， 调出任务管理器，在进程页面中结束掉所有名称为Rose.exe 的进程（建议在后面的操作中反复此操作，以确保病毒文件不会反复发作）

12、。2、在开始运行中输入“regedit ”（XP系统）打开注册表，狂按F3，查找所有的“rose.exe ”键值项，找到后将整个shell子键删除，多按几遍F3查找，到找不到为止。3、在我的电脑工具文件夹选项查看显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 19 页 - - - - - - - - - 4、 对每个盘符点右键打开进入（切记不能双击） ， 删掉所有的rose.exe和 autorun.inf文件。5

13、、在 c:windowssystem32下查找有没有rose.exe文件，如果存在就直接删掉。U盘病毒病状及解决方法: U盘病毒病状表现: 1、双击打开U 盘时，计算机提示找不到copy.exe 。2、显示隐藏文件时发现有copy.exe host.exe autorun.ini三个可疑文件。3、部分 U盘表现为所有文件属性被修改为隐藏。4、打开系统进程有可能发现temp1.exe 或 temp2.exe 。解决办法：先打开进程，将temp1 和 temp2 停止进程（有时没有temp2），然后打开你的非系统盘（注意：必须用右键打开）否则病毒会自动运行。删除 copy.exe;autorun.

14、inf;host.exe。 只要有病毒的盘都是这样。然后进入系统盘 注意：必须用右键打开同样删除copy.exe;autorun.inf;host.exe。进入 windows 文件夹，删除 *host 文件。同样进入sys32 删除 temp1 和 temp2 文件。或用下载专杀工具：单独查杀rose.exe ：http:/ 单独查杀copyexe ：http:/ 灰鸽子 （Backdoor.Huigezi）作者现在还没有停止对灰鸽子的开发，再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳，造成现在网络上不断有新的灰鸽子变种出现。 尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样

15、本，但由于变种繁多，还会有一名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 19 页 - - - - - - - - - 些“漏网之鱼”。 如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到，那很可能是中了还没有被截获的新变种。这个时候，就需要手工杀掉灰鸽子。手工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。灰鸽子的运行原理灰鸽子木马分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server

16、.exe ，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM 通过 QQ把木马传给你， 诱骗你运行； 也可以建立一个个人网页，诱骗你点击，利用IE 漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载, G_Server.exe 运行后将自己拷贝到Windows目录下 (98/xp 下为系统盘的windows 目录，2k/NT 下为系统盘的Winnt 目录 ) ，然后再从体内释放G_Server.dll和 G_Server_Hook.dll到 windows

17、 目录下。 G_Server.exe 、G_Server.dll和 G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe 时，生成的文件就是A.exe 、A.dll和 A_Hook.dll 。Windows 目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和 G_Server_Hook.dll并自动退出。G_Se

18、rver.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截 API 调用来隐藏病毒。 因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。灰鸽子的手工检测名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 19 页 - - - - - - - - - 由于灰鸽子拦截了API 调用，在正常

19、模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。但是， 通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“ _hook.dll ”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机， 在系统进入Windows启动画面前， 按下 F8 键(

20、或者在启动计算机时按住Ctrl键不放 ) ，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。1、 由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows 显示所有文件。 打开“我的电脑”， 选择菜单“工具”“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。2、 打开 Windows 的“搜索文件”， 文件名称输入“ _hook.dll ”， 搜索位置选择Windows的安装目录（默认98/xp 为 C:windows ，2k/NT 为 C:Winnt ）。3、经过搜索， 我们

21、在 Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe 和 Game.dll 文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll 文件经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。另外， 如果你发现了瑞星杀毒软件查不到的灰鸽子变种，也欢迎登陆瑞星新病毒上报网站（ http:/）上传样本 。名师资料总结 - - -精品资料欢迎下载 - - - - - - -

22、- - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 19 页 - - - - - - - - - 灰鸽子的手工清除经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步： 1、清除灰鸽子的服务；2 删除灰鸽子程序文件。注意：为防止误操作，清除前一定要做好备份。一、清除灰鸽子的服务2000XP系统：1、打开注册表编辑器（点击“开始”“运行”， 输入“ Regedit.exe ”， 确定。 ），打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项。2、点击菜单“

23、编辑”“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。3、删除整个Game_Server 项。98 me系统：在 9X 下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项，我们立即看到名为 Game.exe的一项，将Game.exe项删除即可。二、删除灰鸽子程序文件删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的 Game.exe、Game.dll 、Game_Hoo

24、k.dll 以及 Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。小结文给出了一个手工检测和清除灰鸽子的通用方法，适用于我们看到的大部分灰鸽子木马及其变种， 然而仍有极少数变种采用此种方法无法检测和清除。同时， 随着灰鸽子新版本的名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 19 页 - - - - - - - - - 不断推出， 作者可能会加入一些新的隐藏方法、防删除手段， 手工检测和清除它的难度也会越来越大。 当你确定机器中了灰鸽子木马而

25、用本文所述的方法又检测不到时，最好找有经验的朋友帮忙解决。病毒名称： Download.Trojan 影响系统： Windows 病毒类型：木马病毒长度： size=10字节传播途径： Download.Trojan 执行以下操作：进入其作者创建的特定网站或 FTP 站点并试图下载新的特洛伊木马、病毒、蠕虫或其组件。完成下载后，特洛伊木马程序将执行它们。发作现象： Download.Trojan 会连接并下载其他特洛伊木马或组件。清除病毒 ：禁用系统还原 (Windows Me/XP) 。更新病毒定义。将计算机重启到安全模式或者 VGA 模式。运行完整的系统扫描，并删除所有检测为 Downlo

26、ad.Trojan 的文件。如有必要，清除 Internet Explorer 历史和文件。有关每个步骤的详细信息，请阅读以下指导。禁用系统还原（Windows Me/XP）如果您运行的是 Windows Me 或 Windows XP ，建议您暂时关闭“系统还原”。此功能默认情况下是启用的，一旦计算机中的文件被破坏，Windows 可使用该功能将其还原。如果病毒、 蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - -

27、- - - 第 10 页，共 19 页 - - - - - - - - - Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此， 防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样，系统还原就可能将受感染文件还原到计算机上，即使您已经清除了所有其他位置的受感染文件。此外，病毒扫描可能还会检测到 System Restore 文件夹中的威胁，即使您已将该威胁删除。有关如何关闭系统还原功能的指导，请参阅 Windows 文档或下列文章之一：如何禁用或启用 Windows XP 系统还原如何禁用或启用 Windows Me 系统还原注意：蠕虫移除干净后，请按

28、照上述文章所述恢复系统还原的设置。特洛伊病毒Backdoor.Bionet.318 危害程度指数 : 轻度 1 Win32 Backdoor.Bionet.318 是一种恶意的后门程序(backdoor) 特洛伊病毒，其行径类似SubSeven、Netbus 、和 BackOrifice。此特洛伊病毒犹如服务器的应用软件，允许远端使用者控制你的电脑并检索资讯。所控制的功能包括搜寻、检索及传送档案、盗取密码、改变色彩及解析度、播放声音、以及改变日期和时间。此程序第一次执行时，便以一个可自行设定的名称，自行安装到 WindowsSystem 资料夹中。后续的登录值 (registry key) 也

29、增加了好几个登录项。HKEY_LOCAL_MACHINESoftwareGCIBioNet 3 该伺服端程序一旦安装就绪，用户端程序便能够在预先设定、可组态的连结埠上存取服务器的资料。 远端使用者可以获知服务器的应用软件已经被安装到你的电脑上。服务器可以运用 ICQ 网络传呼传送通知、靠IRC 知会、或传送电子邮件讯息。此预设的伺服端程序用 UPX 压缩，所以大小不一定，得视所采用的压缩工具类型和版本而定。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 19 页 - -

30、 - - - - - - - Windows 被启动时，此伺服端程序即开始执行。Windows registry、Win.ini、或System.ini 都被修改过，以便自动执行本程序。http:/ 解决“落雪”病毒的方法病状： D盘双击打不开，里面有autorun.inf和 文件做这个病毒的人也太强了，在安全模式用Administrator一样解决不了！ 经过一个下午的奋战才算勉强解决。我没用什么查杀木马的软件，全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。所以要在文件夹选项里打开显示隐藏文件。D盘里就两个，搞得你无法双击打开D盘。里盘里的

31、就多了！D:autorun.inf D: C:Program FilesInternet E C:Program FilesCommon F C:WINDOWS C:WINDOWS C:WINDOWS C:WINDOWSExeroud.exe（忘了是不是这个名字了，红色图标有传奇世界图标的）C:WINDOWSDebug* Programme.exe(也是上面那个图标，名字忘了-_- 好大好明显非隐藏的 ) C:W 这个不要轻易删， 看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。C:W C:W C:W C:W 名

32、师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 19 页 - - - - - - - - - C:W C:Windowssystem32a.exe 对了，看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不要运行任何程序，要不就又启动了，包括双击磁盘还有一个头号文件！WINLOGON.EXE！做了这么多工作目的就是要杀掉她！C:WindowsWINLOGON.EXE 这个在进程里可以看得到，有两个，一个是真的，一个是假的。真的是小写wi

33、nlogon.exe，（不知你们的是不是），用户名是SYSTEM ，而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会呆在你的进程里！我现在所知道的就这些，要是不放心，就最好看一下其中一个文件的修改日期，然后用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的，连系统还原夹里都有！这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始运行里运行msocnfig ，command ， regedit这些命令，所有的这些文件全会自己补充回来！知道了这些文件，首先关闭可以关闭的所

34、有程序，打开程序附件里头的WINDOWS 资源管理器， 并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假，取消隐藏受保护操作系统文件，然后打开开始菜单的运行，输入命令 regedit，进注册表到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 里面，有一个Torjan pragramme ，这个明摆着“我是木马”，删！然后注销！重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。到 D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把au

35、torun.inf和 删掉，然后再到C 盘把上面所列出来的文件都删掉！中途注意不要双击到其中一个文件，否则所有步骤都要重新来过！然后再注销。我在奋战过程中， 把那些文件删掉后， 所有的 exe 文件全都打不开了， 运行 cmd也不行。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 19 页 - - - - - - - - - 然后，到C:Windowssystem32 里，把 cmd.exe 文件复制出来，比如到桌面，改名成 我也会用com文件， 然后双击这个COM 文

36、件， 然后行动可以进入到DOS下的命令提示符。再打入以下的命令：assoc .exe=exefile （assoc 与.exe 之间有空格）ftype exefile=%1 %* 这样 exe 文件就可以运行了。如果不会打命令，只要打开CMD.COM 后复制上面的两行分两次粘贴上去执行就可以了。但我在弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件 1找不到。（应该是Windows 下的 文件。） , 最后用上网助手之类的软件全面修复IE设置最后说一下怎么解决开机跳出找不到文件“”的方法：在运行程序中运行“ regedit ”，打开注册表，在HKEY_LOCAL_MACHI

37、NESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon 把Shell=Explorer.exe 1恢复为 Shell=Explorer.exe 大功告成！大家分享一下吧！Backdoor 病毒 , 外泄系统信息病毒名称： Backdoor.Gapin 发现日期： 2003-02-27 病毒类型：木马病毒传播范围：低危害级别：低传播速度：低病毒介绍 ：Backdoor.Gapin木马病毒是通过微软的VB语言编写的，并通过1039 端口允许黑客非法的接近被此病毒感染的计算机。此病毒的感染长度为32768 字节。此病毒感染安装有Windows 95,

38、Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me操作系统的计算机，而不会感染安装有Macintosh, OS/2, UNIX, Linux操作系统的计算机。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 19 页 - - - - - - - - - 1、 此病毒一旦被激活并开始运行，那么它将复制本身到： C:%Windir%AdminClient.exe文件中，其中：%Windir%是个变量，此木马

39、病毒会自动查找系统目录并将本身复制到其中，默认的是C:Windows 或 C:Winnt 。2、此病毒能够添加键值：Remote C:%Windir%AdminClient.exe到注册表编辑器：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中 ,使得机器启动时病毒就会自动运行。3、此病毒收集被感染的计算机系统信息后以电子邮件的形式发送给黑客。4、此病毒通过端口1039 来允许黑客控制被病毒感染的计算机。解决方案 ：1、及时升级杀毒软件，之后认真在整个硬盘上查杀此病毒，彻底清除掉查到的Backdoor.Gapin木马病毒。

40、2、到注册表编辑器: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中将键值：Remote C:%Windir%AdminClient.exe删除。病毒 logo_1.exe专杀病毒名称: 威金蠕虫 (Worm.Viking)主要症状 : 1、占用大量网速，使机器使用变得极慢。2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt 下的 logo1.exe图标就会相应变成应用程序图标。3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。名师资料总结 - - -精品资料欢迎下载

41、- - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 19 页 - - - - - - - - - 详细技术信息：病毒运行后，在%Windir%生成 Logo1_.exe 同时会在windws 根目录生成一个名为virDll.dll的文件。%WinDir%virDll.dll 该蠕虫会在系统注册表中生成如下键值：HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW auto = 1 盗取密码病毒试图登陆并盗取被感染计算机中网络游戏传奇2 的密码，将游戏密码发送到该木马病毒的植入者手中。阻

42、止以下杀毒软件的运行病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。包括卡八斯基，金山公司的毒霸。瑞星等。98% 的杀毒软件运行。国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。通过写入文本信息改变%System%driversetchosts 文件。这就意味着，当受感染的计算机浏览许多站点时（包括众多反病毒站点），浏览器就会重定向到66.197.186.149。病毒感染运行windows 操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫将会感染受感染计算机中的.exe 文件。名师资料总结 - - -精品资料

43、欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 19 页 - - - - - - - - - 网吧遭此病毒破坏造成大面积的卡机，瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。 该病毒可以通过网络传播，传播周期为3 分钟。 如果是新做的系统处于中了毒的网络环境内，只要那个机器一上网，3 分钟内必定中招。中招后你安装rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill NAV 等杀毒软件都无法补救你的系统，病毒文件 Logo1_.exe

44、 为主体病毒，他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程及所以 .exe 的可执行文件， 外观典型表现症状为传奇，泡泡堂， 等游戏图标变色。此时系统资源可用率极低，你每重新启动一次，病毒就会发作一次。该病毒对于防范意识较弱，还原软件未能及时装到位的网吧十分致命，其网络传播速度十分快捷有效。 旧版的杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某台机器中了此病毒， 那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。 因此即

45、使是装了还原精灵，还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。病毒发作会生成另外病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似，但是其威力是外挂病毒的50 倍以上。在WIN98平台下，改病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的，运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了，最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。病毒清理办法如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不

46、要杀毒了。直接克盘恢复吧。一、找到注册表中HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW auto = 1 删除 DownloadWWW 主键名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 19 页 - - - - - - - - - 二、找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingsystem.iniboot winlogo 项

47、把 WINLOGO 项 后面的 C:WINNTSWS32.DLL 删掉接下来把HKEY_LOCAL_MACHINESOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中/RunOnce/RunOnceEx 两个中其中有个是也是C:WINNTSWS32.dll 把类似以上的全部删掉注意不要删除默认的键值（删了的话后果自负）如果没有以上键值，则直接跳过此步骤三 结束进程按“Ctrl+Alt+Del”键弹出任务管理器，找到logo1_.exe 等进程，结束进程，可以借助绿鹰的进程管理软件处理更方便。找到EXPL0RER.EXE 进程（注意第5 个字母是数字0

48、 不是字母 O），找到它后选中它并点击“结束进程”以结束掉（如果EXPL0RER.EXE 进程再次运行起来需要重做这一步）。四 装杀毒软件装完后不要重新启动（切记）直接升级病毒库，升级完后，把C:winnt 目录下所有带毒文件删除。 然后运行杀毒软件开始杀毒。杀完后。 还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。, 重新启动后再次杀毒。 记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5 次才能杀干净。五看看杀毒后的系统名师资料总结 - - -精品资料欢

49、迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 19 页 - - - - - - - - - 缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 SFC 命令检查文件系统。具体操作为运行 - 输入CMD 命令进入DOS 提示符。 - 输入 SFC /scannow - 提示放入系统光盘。- 放进去吧。然后慢慢等。看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。然后重新做系统吧。谁叫中毒的是网吧的系统以上操作只是阻断传播，如果怕在使用中感染此病毒，您还需要按照如下操作，这样即使病毒感染， 也不能运行主体病毒程序。当然这里说的操作实针对win2000 系统的， 其他的系统可以参考操作：运行 gpedit.msc 打开组策略依次单击用户配置- 管理模块 - 系统 - 指定不给windows运行的程序点启用然后点显示添加 logo1_exe 也就是病毒的源文件。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 19 页 - - - - - - - - -