34种木马查杀方法
34种木马查杀方法 第二课时
3. Acid Shiver v1.0 + 1.0Mod + lmacid 第一课时 清除木马的步骤:
1. 冰河v1.1 v2.2 重新启动到MSDOS方式
删除C:\windows\MSGSVR16.EXE 这是国产最好的木马
然后回到Windows系统 清除木马v1.1
打开注册表Regedit 打开注册表Regedit
点击
目录
工贸企业有限空间作业目录特种设备作业人员作业种类与目录特种设备作业人员目录1类医疗器械目录高值医用耗材参考目录
至: 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MiHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run crosoft\Windows\CurrentVersion\Run 查找以下的两个路径,并删除 删除右边的Explorer = " C:\windows\system\ kernel32.exe" "C:\WINDOWS\MSGSVR16.EXE" " C:\windows\system\ sy***plr.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Mi关闭Regedit crosoft\Windows\CurrentVersion\RunServices
删除右边的Explorer = 重新启动到MSDOS方式
"C:\WINDOWS\MSGSVR16.EXE" 删除C:\windows\system\ kernel32.exe和
关闭Regedit C:\windows\system\ sy***plr.exe木马程序
重新启动。OK 重新启动。OK
重新启动到MSDOS方式清除木马v2.2
服务器程序、路径用户是可以随意定义,写删除C:\windows\wintour.exe然后回到
入注册表的键名也可以自己定义。 Windows系统
因此,不能明确说明。 打开注册表Regedit
你可以察看注册表,把可疑的文件路径删除。 点击目录至:
重新启动到MSDOS方式 HKEY_LOCAL_MACHINE\SOFTWARE\Mi删除于注册表相对应的木马程序 crosoft\Windows\CurrentVersion\Run 重新启动Windows。OK 删除右边的Wintour =
"C:\WINDOWS\WINTOUR.EXE" 2. Acid Battery v1.0 HKEY_LOCAL_MACHINE\SOFTWARE\Mi清除木马的步骤: crosoft\Windows\CurrentVersion\RunServices
删除右边的Wintour = 打开注册表Regedit "C:\WINDOWS\WINTOUR.EXE" 点击目录至: 关闭Regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Mi重新启动。OK
crosoft\Windows\CurrentVersion\Run
删除右边的Explorer 4. Ambush
="C:\WINDOWS\expiorer.exe" 清除木马的步骤:
关闭Regedit 打开注册表Regedit
重新启动到MSDOS方式 点击目录至:
删除c:\windows\expiorer.exe木马程序 HKEY_LOCAL_MACHINE\SOFTWARE\Mi注意:不要删除正确的ExpLorer.exe程序,crosoft\Windows\CurrentVersion\Run删除右
它们之间只有i与L的差别。 边的zka
重新启动。OK = "zcn32.exe"
1
关闭Regedit 保存退出system.ini
重新启动到MSDOS方式 打开win.ini文件
删除C:\Windows\ zcn32.exe 在[WINDOWS]下面有个run=
重新启动。OK 如果你看到=后面有路径文件名,必须把它删
除。 第三课时 正确的应该是run=后面什么也没有。
5. AOL Trojan =后面的路径文件名就是木马,把它查找出
清除木马的步骤: 来,删除。
启动到MSDOS方式 保存退出win.ini。
删除C:\ command.exe(删除前取消文件的隐OK
含属性) 第四课时 注意:不要删除真的command.com文件。
删除C:\ americ~1.0\buddyl~1.exe(删除前取7. AttackFTP
消文件的隐含属性) 清除木马的步骤:
删除C:\ 打开win.ini文件
windows\system\norton~1\regist~1.exe(删除在[WINDOWS]下面有load=wscan.exe 前取消文件的隐含属性) 删除wscan.exe ,正确是load=
保存退出win.ini。
打开WIN.INI文件
打开注册表Regedit 在[WINDOWS]下面“run=”和“load=”都加载
者特洛伊木马程序的路径,必须清除它们 点击目录至:
: HKEY_LOCAL_MACHINE\SOFTWARE\Mirun= crosoft\Windows\CurrentVersion\Run load= 删除右边的Reminder="wscan.exe /s" 保存WIN.INI 关闭Regedit,重新启动到MSDOS系统中 还要改正注册表Regedit 删除C:\windows\system\ wscan.exe 点击目录至: OK
HKEY_LOCAL_MACHINE\SOFTWARE\Mi
crosoft\Windows\CurrentVersion\Run 8. Back Construction 1.0 - 2.5 删除右边的WinProfile = c:\command.exe 清除木马的步骤:
关闭Regedit,重新启动Windows。OK 打开注册表Regedit
点击目录至:
6. Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, HKEY_LOCAL_MACHINE\SOFTWARE\Mi1.1 crosoft\Windows\CurrentVersion\Run 清除木马的步骤: 删除右边的"C:\WINDOWS\Cmctl32.exe" 注意:木马程序默认文件名是wincmp32.exe,关闭Regedit,重新启动到MSDOS系统中 然而程序可以随意改变文件名。 删除C:\WINDOWS\Cmctl32.exe 我们可以根据木马修改的system.ini和OK
win.ini两个文件来清除木马。 第五课时 打开system.ini文件
在[BOOT]下面有个”shell=文件名”。正确的9. BackDoor v2.00 - v2.03 文件名是explorer.exe 清除木马的步骤:
如果不是”explorer.exe”,那么那个文件就是打开注册表Regedit
木马程序,把它查找出来,删除。 点击目录至:
2
HKEY_LOCAL_MACHINE\SOFTWARE\MiHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run crosoft\Windows\CurrentVersion\Run 删除右边的c:\windows\notpa.exe /o=yes 删除右边的Systemdoor = 关闭Regedit,重新启动到MSDOS系统中 "C:\WINDOWS\System\mprdll.exe" 删除c:\windows\notpa.exe 关闭Regedit,重新启动计算机。
注意:不要删除真正的notepad.exe笔记本程 查找到C:\WINDOWS\System\mprdll.exe和
序 C:\WINDOWS\system\rundll.exe OK 注意:不要删除
C:\WINDOWS\RUNDLL.EXE正确文件。
10. BF Evolution v5.3.12 并删除两个文件。
清除木马的步骤: OK
打开注册表Regedit 第七课时 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Mi13. BladeRunner
crosoft\Windows\CurrentVersion\Run 清除木马的步骤:
删除右边的(Default)=" " 打开注册表Regedit
关闭Regedit,再次重新启动计算机。 点击目录至:
将C:\windows\system\ .exe(空格exe文件) HKEY_LOCAL_MACHINE\SOFTWARE\Mi
crosoft\Windows\CurrentVersion\Run 第六课时 可以找到System-Tray = 11. BioNet v0.84 - 0.92 + 2.21 "c:\something\something.exe" 0.8X版本是运行在Win95/98 右边的路径可能是任何东西,这时你不需要
0.9X以上版本有运行在Win95/98 和WinNT删除它,因为木马会立即自动加上,你需要 上两个软件 的是记下木马的名字与目录,然后退回到
客户,服务器协议是一样的,因而NT客户MS-DOS下,找到此木马文件并删除掉。
能黑95/98被感染的机器,和Win95/98客户重新启动计算机,然后重复第一步,在注册
能黑NT被感染的系统完全一样。 表中找到木马文件并删除此键。
清除木马的步骤:
首先准备一张98的启动盘,用它启动后,进14. Bobo v1.0 - 2.0 入c:\windows目录下,用attrib 清除木马v1.0
libupd~1.exe -h 打开注册表Regedit
命令让木马程序可见,然后删除它。 点击目录至:
抽出软盘后重新启动,进入98下,在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Mi里找到: crosoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Mi删除右边的DirrectLibrarySupport crosoft\Windows\CurrentVersion\Run的子键="C:\WINDOWS\SYSTEM\Dllclient.exe" WinLibU 关闭Regedit,重新启动计算机。
pdate = "c:\windows\libupdate.exe -hide" DEL C:\Windows\System\Dllclient.exe 将此子键删除。 OK
12. Bla v1.0 - 5.03 清除木马v2.0
清除木马的步骤: 打开注册表Regedit
打开注册表Regedit 点击目录至:
点击目录至: HKEY_USER/.Default/Software/Mirabilis/IC
3
Q/Agent/Apps/ICQ Accel/ 保存Win.ini,再打开注册表Regedit ICQ Accel是一个“假象“的主键,选中ICQ 点击目录至:
Accel主键并把它删除。 HKEY_LOCAL_MACHINE\SOFTWARE\Mi重新启动计算机。OK croSoft\Windows\CurrentVersion\Run
删除右边的System Protect = winprot.exe 第八课时 重新启动Windows
15. BrainSpy vBeta 查找到C:\windows\system\ winprot.exe,并删
清除木马的步骤: 除。
打开注册表Regedit ,,
点击目录至: 第十课时 HKEY_LOCAL_MACHINE\SOFTWARE\Mi
crosoft\Windows\CurrentVersion\Run 19. Coma v1.09
右边有 ??? = 清除木马的步骤:
"C:\WINDOWS\system\BRAINSPY .exe" 打开注册表Regedit
???标签选是随意改变的。 点击目录至:
关闭Regedit,重新启动计算机 HKEY_LOCAL_MACHINE\SOFTWARE\Mi查找删除croSoft\Windows\CurrentVersion\Run C:\WINDOWS\system\BRAINSPY .exe 删除右边的RunTime = ,, C:\windows\msgsrv36.exe
重新启动Windows 16. Cain and Abel v1.50 - 1.51
这是一个口令木马 查找到C:\windows\ msgsrv36.exe,并删除。 进入MS-DOS方式 ,,
查找到C:\windows\msabel32.exe
并删除它。,, 20. Control
清除木马的步骤: 第九课时 打开注册表Regedit
17. Canasson 点击目录至:
清除木马的步骤: HKEY_LOCAL_MACHINE\SOFTWARE\Mi打开WIN.INI文件 croSoft\Windows\CurrentVersion\Run 查找c:\msie5.exe,删除全部主键 删除右边的Load MSchv Drv = 保存win.ini C:\windows\system\MSchv.exe 重新启动计算机 保存Regedit,重新启动Windows
删除c:\msie5.exe木马文件 查找到C:\windows\system\MSchv.exe,并删
,, 除。
第十一课时 18. Chupachbra
清除木马的步骤: 21. Dark Shadow
打开WIN.INI文件 清除木马的步骤:
[Windows]的下面有两个行 打开注册表Regedit
run=winprot.exe 点击目录至:
load=winprot.exe HKEY_LOCAL_MACHINE\SOFTWARE\Mi删除winprot.exe croSoft\Windows\CurrentVersion\RunServices
run= 删除右边的winfunctions="winfunctions.exe" load= 保存Regedit,重新启动Windows
4
查找到C:\windows\system\ winfunctions.exe,,,
并删除。 第十三课时 ,,
25. Doly v1.1 - v1.7 (SE) 22. DeepThroat v1.0 - 3.1 + Mod (Foreplay) 清除木马V1.1-V1.5版本:
清除木马的步骤: 这几个木马版本的木马程序放在三处,增加
打开注册表Regedit 二个注册项目,还增加到Win.ini项目。
点击目录至: 首先,进入MS-DOS方式,删除三个木马程
HKEY_LOCAL_MACHINE\SOFTWARE\Mi序,但V1.35版本多一个木马文件mdm.exe。 croSoft\Windows\CurrentVersion\Run 把下列各项全部删除:
版本1.0 C:\WINDOWS\SYSTEM\tesk.sys 删除右边的项目C:\WINDOWS\Start
System32=c:\windows\system32.exe Menu\Programs\Startup\mstesk.exe 版本2.0-3.1 c:\Program Files\MStesk.exe 删除右边的项目SystemTray = Systray.exe c:\Program Files\Mdm.exe 保存Regedit,重新启动Windows 重新启动Windows。
版本1.0删除c:\windows\system32.exe
版本2.0-3.1 接着,打开win.ini文件
删除c:\windows\system\systray.exe 找到[WINDOWS]下面
,,load=c:\windows\system\tesk.exe项目,删除
路径,改变为load= 第十二课时 保存win.ini文件。
23. Delta Source v0.5 - 0.7 最后,修改注册表Regedit
清除木马的步骤: 找到以下两个项目并删除它们
打开注册表Regedit HKEY_CURRENT_USER\Software\Microsoft点击目录至: \Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\MiMs tesk = "C:\Program Files\MStesk.exe" croSoft\Windows\CurrentVersion\Run 和
删除右边的项目:DS admin tool = HKEY_USER\.Default\Software\Microsoft\WiC:\TEMPSERVER.exe ndows\CurrentVersion\Run 保存Regedit,重新启动Windows Ms tesk = "C:\Program Files\MStesk.exe" 查找到C:\TEMPSERVER.exe,并删除它。 再寻找到
,, HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\ss 24. Der Spaeher v3 这个组是木马的全部参数选择和设置的服务
清除木马的步骤: 器,删除这个ss组的全部项目。
打开注册表Regedit 关闭保存Regedit。
点击目录至: 还有打开C:\AUTOEXEC.BAT文件,删除
HKEY_LOCAL_MACHINE\SOFTWARE\Mi@echo off copy c:\sys.lon croSoft\Windows\CurrentVersion\Run c:\windows\StartMenu\Startup Itemsdel 删除右边的项目:explore = c:\win.reg
"c:\windows\system\dkbdll.exe " 关闭保存autoexec.bat。
保存Regedit,重新启动Windows ,,
删除c:\windows\system\dkbdll.exe木马文件。
5
清除木马V1.6版本: 关闭保存Regedit。重新启动Windows。 该木马运行时,将不能通过98的正常操作关
闭,只能RESET键。彻底清除步骤如下: 最后,删除以下木马程序:
1(打开控制面板——添加删除程序——删除c:\sys.lon
memory manager 3.0,这就是木马程序,但 c:\iecookie.exe
是它并不会把木马的EXE文件删除掉。 c:\windows\start
2(用98或DOS启动盘启动(用RESET键)menu\programs\startup\mdm.exe 后,转入C:\,编辑AUTOEXEC。BAT,把c:\program files\mdm.exe 如下内容 c:\windows\system\mdm.exe 删除: c:\windows\system\kernal32.exe @echo off copy c:\sys.lon 注意:kernal32是,
c:\windows\startm~1\programs\startup\mdm.ex,,
e
del c:\win.reg 26. Donald Dick v1.52 - 1.55 保存AUTOEXEC。BAT文件并返回DOS后,清除木马V1.52-1.53版本:
在C:\根目录下删除木马文件: 打开注册表Regedit
del sys.lon 点击目录至:
del HKEY_LOCAL_MACHINE\system\CurrentCwindows\startm~1\programs\startup\mdm.exe ontrolSet\Services\VxD\VMLDIR删除右边的del progra~1\mdm.exe 项目:StaticVxD = "vmldir.vxd" 3(抽出软盘重新启动,进入98后,把关闭保存Regedit,重新启动Windows c:\program files\目录下的memory manager 删除C:\WINDOWS\System\vmldir.vxd 目录 ,,
删除。 清除木马V1.54-1.55版本:
这两个版本跟上面的版本只是默认文件名不清除木马V1.7版本: 同,其它都一样,
首先,打开C:\AUTOEXEC.BAT文件,删除 把vmldir.vxd改为intld.vdx即可。
@echo off copy c:\sys.lon 第十四课时 c:\windows\startm~1\programs\startup\mdm.exe 27. Drat v1.0 - 3.0b del c:\win.reg 清除木马的步骤:
关闭保存autoexec.bat 打开注册表Regedit
点击目录至:
然后打开注册表Regedit hkey_classes_root\exefile\shell\open\command
点击目录至: 找到@=SHELL32 \"%1\" %*把它更改为HKEY_LOCAL_MACHINE\SOFTWARE\Mi@="%1" %*
croSoft\Windows\CurrentVersion\Run 关闭保存Regedit,重新启动Windows。 找到c:\windows\system\mdm.exe路径并删除查找c:\windows\下shell32(,文件,并删除这个项目 它。
点击目录至: ,,
HKEY_USER/.Default/Software/Marabilis/IC
Q/Agent/Apps/ 28. Eclipse 2000 找到"C:\windows\system\kernal32.exe"路径并清除木马的步骤:
删除这个项目 打开注册表Regedit
6
点击目录至: 点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MiHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除右crosoft\Windows\CurrentVersion\Run删除右
边的项目:bybt = 边的项目:Rundll32 = rundll3.tww /h "c:\windows\system\eclipse2000.exe" 关闭保存Regedit,重新启动Windows 点击目录至: 找到C:\windows\文件夹下的三个文件并删
HKEY_LOCAL_MACHINE\SOFTWARE\Mi 除它们
crosoft\Windows\CurrentVersion\ RunServicesrundll3.bat - 9x.reg - nt.reg 删除右边的项目:cksys = "c:\windows\system\ ,,
could be anything .exe"
关闭保存Regedit,重新启动Windows 32. Forced Entry
查找到eclipse2000.exe木马文件,并删除。 清除木马的步骤:
,, 打开注册表Regedit
点击目录至: 第十五课时 HKEY_LOCAL_MACHINE\SOFTWARE\Mi29. Eclypse v1.0 crosoft\Windows\CurrentVersion\Run删除右
清除木马的步骤: 边的项
打开注册表Regedit 目:MicrosoftRegistration32 = "C:\somepath
点击目录至: \trojanhrs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Mi关闭保存Regedit,重新启动Windows crosoft\Windows\CurrentVersion\Run删除右由于路径容易改变,只要查找到
边的项目:Rnaapp trojanhrs.exe,并删除它。
="C:\WINDOWS\SYSTEM\rmaapp.exe" 第十七课时 关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\SYSTEM\rmaapp.exe 33. GateCrasher v1.0 - 1.2 注意:不要删除Rnaapp.exe 清除木马v1.0:
,, 打开注册表Regedit
点击目录至:
30. Executer v1 HKEY_LOCAL_MACHINE\SOFTWARE\Mi清除木马的步骤: crosoft\Windows\CurrentVersion\Run删除右
打开注册表Regedit 边的项目:Explore=c:\windows\explore.exe 点击目录至: 关闭保存Regedit,重新启动Windows HKEY_LOCAL_MACHINE\SOFTWARE\Mi然后,删除相应的木马程序。
crosoft\Windows\CurrentVersion\Run在右边,,
的项目查找到"C:\windows\***ec.exe",并删
除。 清除木马v1.1:
关闭保存Regedit,重新启动Windows 打开注册表Regedit
相应删除木马程序文件。 点击目录至:
,, HKEY_LOCAL_MACHINE\SOFTWARE\Mi
crosoft\Windows\CurrentVersion\Run删除右第十六课时 边的项
31. FakeFTP beta 目:Inet=EXPLORE.EXE 清除木马的步骤: 关闭保存Regedit,重新启动Windows 打开注册表Regedit 然后,找到相应的木马程序,并删除。
7
,, HKEY_LOCAL_MACHINE\SOFTWARE\Mi
crosoft\Windows\CurrentVersion\Run
清除木马v1.2: 这里有该项存在,即使将该项删除,重打开注册表Regedit 启后仍如原样。这个文件是存在在点击目录至: WINDOWS的SYSTEM32目录下,未中毒机HKEY_LOCAL_MACHINE\SOFTWARE\Mi器没有该文件。因此可基本确认该进程是病crosoft\Windows\CurrentVersion\Run删除右 毒。
边的项目:Command = c:\windows\system.exe 然后是病毒的查杀。这过程中出现两个
问题,一是瑞星开始无法升级,这是因为病关闭保存Regedit,重新启动Windows 毒本身把出口堵塞,TCP流无法正常传输。 然后,找到相应的木马程序,并删除。 我们尝试了一下,发现可以用防火墙(例,, 如天网)将病毒程序隔离,然后再连网进行升
级。第二个问题是瑞星查毒过程缓慢(查毒前34. Girlfriend v1.3x (Including Patch 1 and 2) 已经将网卡先禁用了),这是因为病毒程序清除木马的步骤: explored占用CPU太狠,在无法设置删除该打开注册表Regedit 进程的情况下,可以用任务管理器提高瑞星点击目录至: 进程的优先级(比如实时),这样瑞星从病毒手HKEY_LOCAL_MACHINE\SOFTWARE\Mi中抢过CPU资源来正常地运行。 crosoft\Windows\CurrentVersion\Run删除右 不过,这次瑞星只查杀了伪装成边的项 svchost.exe的蠕虫病毒,explored仍然存在。 :Windll.exe ="C:\windows\windll.exe" 目 我们无可奈何下只好采用很笨的方法删Regedit里也保存着服务器的数据 除explored,就是进入安全模式,到WindowsHKEY_LOCAL_MACHINE\SOFTWARE\Mi的System32目录下直接把该文件删除掉。顺crosoft\General 便也把注册表中启动运行那项也删掉了。 删除General项目标题 重启后,提示有服务出错,到管理工具关闭保存Regedit,重新启动Windows 下的“服务”一看,才终于发现了该病毒的真然后,找到相应的木马程序,并删除。 实面目:原来“服务”里面有一栏“Windows
Login”,属性显示服务名称是“MpR”,可执第十八课时 行文件路径正是
“C:\WINNT\SYSTEM32\explored.exe Explored病毒快速清除 -services”。
昨天单位这好几台机器病毒大爆发,因 这就说明了为什么进程中止不了,删掉为都不是专家高手,折腾了很久才清理掉,注册表中系统启动项也没用。也就是说,当过程中有些体会,觉得可以写下来,跟大家初应该到服务里将该服务停止,而不是在任作一番交流。 务管理器试图将其删除。
首先是病毒的发现。昨天出现了两个症 最后就病毒查杀的
心得
信息技术培训心得 下载关于七一讲话心得体会关于国企改革心得体会关于使用希沃白板的心得体会国培计划培训心得体会
作一点小结:上状。 述病毒发作都有一定迹象,例如CPU占满,
一、在局域网上出现广播包(ARP)暴增,网络带宽占满(可以通过网络连接状态看,如甚至把出口堵死。 果后台没有运行什么进程,网络接口上收/发
二、机器CPU资源耗尽。 包数激增,就很可能是中毒或是连接的网络
用任务管理器可以看到可疑的进程上有机器中毒),因为平时要保持警惕,发现explored.exe和services.exe一起占用CPU近异常就赶紧查毒。
100%(后来才知道,这是因为该病毒是通过服 最好是用查毒软件,用任务管理器有时务启动的),该进程无法停止,注册表键值: 被骗,现在的病毒起名往往跟系统程序相似
8
甚至相同,例如explored, smsss(smss是系统键路径:
程序),svchost等等。最好知道真正的系统程[HKEY_CURRENT_USERSoftwareMicrosoft
序所在目录,例如系统svchost.exe应该在WindowsCurrentVersionPoliciesExploer]
system32下,而病毒可能藏在在右侧窗格中有 system32\drivers下。 "NoDriveTypeAutoRun"这个键决定了是否执
病毒的自启动可能通过很多途径:注册行Autorun功能.其中每一位代表一个设备,表,INI文件,甚至——象explored这样——不同设备用以下数值表示:设备名称 通过服务启动。 第几位
与其中了毒再查再杀,不如切实做好防 值
护措施——补丁,病毒保护,防火墙,一个设备用如下数值表示 都不能少啊! 设备名称含义
DRIVE_UNKNOWN 0 第十九课时 1
U盘(auto病毒)类病毒
分析
定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析
与解决
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
01h
U盘病毒简述: 不能识别的类型设备
U盘(自动运行)类病毒(auto病毒)近来非DRIVE_NO_ROOT_DIR 1
0 常常见,并且具有一定程度危害,它的机理是
依赖Windows的自动运行功能,使得我们在02h
没有根目录的驱动器 点击打开磁盘的时候,自动执行相关的文件.
目前我们使用U盘都十分频繁,当我们享受UDRIVE_REMOVABLE 2
1 盘所带来的方便时,U盘病毒也在悄悄利用系
统的自动运行功能肆意传播,目前流行的 U04h
盘病毒文件大家甚至耳熟能详了,比如经常可移动驱动器
有网友问的SSS.EXE SXS.EXE如何查杀这DRIVE_FIXED 3 类的,下面我们将对U盘病毒极其特性和防0
范办法进行分析
总结
初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf
. 08h
二、特性分析: 所谓的自动运行功固定的驱动器
能是指Windows系统一种方便特性,使当光DRIVE_REMOTE 4 盘、U盘插入到机器自动运行,而这种特性1
的实现就是通过磁盘跟目录下的 autorun.inf10h
文件进行。这个文件保存在驱动器的根目录网络驱动器
下(一般会是一个隐藏属性的系统文件),它保DRIVE_CDROM 5 存着一些简单的命令,告知系统新插入的光0
盘或 U盘应该自动启动什么程序等。 20h
常见的Autorun.inf文件格式大致如下: 光驱
[AutoRun]//表示AutoRun部分开始,必DRIVE_RAMDISK 6 须输入icon=C:C.ico //指定给C盘一个个0
性化的盘符图标C.ico 40h
open=C:1.exe //指定要运行程序的路RAM磁盘
径和名称,只要在此放入病毒程序就可自动其中: 保留 7 1 80h 未指定的驱动器运行; 类型
在Windows系统有允许和阻止自动运行以上值"0"表示设备运行,"1"表示设备不的键值的方法: 运行。
在注册表中找到如下键: 从上面可以看出,对应的
9
DRIVE_NO_ROOT_DIR、DRIVE_FIXED、符串命令,单击回车键后,顽固的病毒进程DRIVE_CDROM、DRIVE_RAMDISK是可以“aaa”就被强行杀死了。比方说,要强行杀死自动运行的。所以要禁止硬盘自动运行“conime.exe”病毒进程,只要在命令提示符下AutoRun.inf文件,就必须将DRIVE_FIXED执行“taskkill /im conime.exe”命令,要不了多
,由于DRIVE_FIXED代这些键的值设为1久,系统就会自动返回如图所示的结果。 表固定的驱动器(即硬盘)。如果仅想禁止软件根据进程号查杀
光盘的AutoRun功能,但又保留对CD音频上面的方法,只对部分病毒进程有效,碟的自动播放能力,这时只需将遇到一些更“顽固”的病毒进程,可能就无济“NoDriveTypeAutoRun”的键值改为:于事了。此时你可以通过Win2000以上系统BD,00,00,00即可。 的内置命令——ntsd,来强行杀死一切病毒进
U盘病毒就是利用这种系统特性,一般程,因为该命令除System进程、SMSS.EXE在感染后会修改系统的注册表,将显示所有进程、CSRSS.EXE进程不能“对付”外,基本文件的选项设置为禁止。甚至修改磁盘关联,可以对付其它一切进程。但是在使用该命令杀毒软件一般会只把病毒文件清除,但对残杀死病毒进程之前,需要先查找到对应病毒余的文件不会处理。这也是常见的杀毒软件进程的具体进程号。
为什么常常无法清除干净,或者清除后双击考虑到系统进程列表界面在默认状态无法打开磁盘的原因。 下,是不显示具体进程号的,因此你可以首
三、解决方案: 先打开系统任务管理器窗口,再单击“查看”
1、使用超级巡警套装来全面解决U盘菜单项下面的“选择列”命令,在弹出的设置病毒问题(推荐!): 框中,将“PID(进程标志符)”选项选中,单
超级巡警对U盘病毒检测进行了特别?击“确定”按钮。返回到系统进程列表页面中的处理,可以快速的监测和定位U盘病毒,后,你就能查看到对应病毒进程的具体PID并清除它们。 了。
?超级巡警同时还提供对注册表关联修接着打开系统运行对话框,在其中运行复和自动运行阻止的处理。 “cmd”命令,在命令提示符状态下输入“ntsd
2、手动解决办法: -c q -p PID”命令,就可以强行将指定PID的
?根据上面的原理,自己修改注册表禁病毒进程杀死了。例如,发现某个病毒进程止磁盘的自动运行特性。 的PID为“444”,那么可以执行“ntsd -c q -p
?把文件夹选项中隐藏受保护的操作系444”命令,来杀死这个病毒进程 统文件钩掉,选中显示所有文件和文件夹,
点击确定。这样可以在感染病毒的移动存储
设备中会看到几个文件(包括autorun.inf和病
毒文件),删除后,病毒就清除了。
第二十课时
根据进程名查杀
这种方法是通过WinXP系统下的
taskkill命令来实现的,在使用该方法之前,
首先需要打开系统的进程列表界面,找到病
毒进程所对应的具体进程名。
接着依次单击“开始?运行”命令,在弹
出的系统运行框中,运行“cmd”命令;再在
DOS命令行中输入“taskkill /im aaa”格式的字
10