手动查杀百分百(zjb8975整理)

本主题分木马与病毒两个内容。

有天天笑笑slcs(QQ253225574)整理目录,再次感谢slcs的奉献。本人进行搜索加以整理,目前还有待完善,等大家在错误的地方支持并帮以完善。请在手杀前备份注册表。

木马分类:

1.”BO2000″攻防
在注册表中删除HKEY_LOCAL_ MACHINE\ Software\Microsoft\ Windows\Current Version\RunService或Run中的BOGUI.EXE和BOClient键值,重新启动计算机即可。
2.”冰河”攻防
清除木马v1.1 :打开注册表Regedit ,点击目录至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ,查找以下的两个路径,并删除 ”

C:\windows\system\ kernel32.exe” ” C:\windows\system\ sysexplr.exe” 关闭Regedit ,重新启动到MSDOS方式 删除C:\windows\system\ kernel32.exe和

C:\windows\system\ sysexplr.exe木马程序 重新启动。OK
清除木马v2.2 :服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。 因此,不能明确说明。 你可以察看注册表,把可疑的文件路径删除。 重新启动

到MSDOS方式 删除于注册表相对应的木马程序 .重新启动Windows。OK
3.”广外幽灵”攻防
这是一款可以自动识别和截取Windows窗体中的星号、黑点密码-IE除外,因为IE中的密码框不是标准的Windows控件,可以记录键盘以及输入法活动。记录的内容可以通过

E-mail发送到指定的邮箱,也可以保存到记录文件中。广外幽灵使用了线程插入技术。目前为止,幽灵使用用户当前工作的程序来作为发信程序-不能是16位程序,绝大多数

情况下均可以顺利发送邮件,网络防火墙软件无法察觉,即使发出警告,所警告的程序也不是幽灵本身的程序,一般用户便会选择允许使用网络
4.”黑暗天使”攻防
因为“黑暗天使”的文件名和存放的目录都是随机的,替换服务也是随机的,在任务管理器中是看不到任何新增的进程、注册表中页看不到任何新增的键,所以“手工卸载黑

暗天使”的是比较困难。不过,黑暗天使自带的服务器命令行窗口中卸载黑暗天使很简单,输入:dkangel -u,等几秒钟直到提示信息出来就完成卸载了。
5.”聪明基因”攻防
   1.删除文件:删除C:WINDOWS下的MBBManager.exe和Explore32.exe,再删除C:WINDOWSsystem下的editor.exe文件。如果服务端已经运行,那么就得用进程管理软

件终止MBBManager.exe这个进程,然后在Windows下将它删除,也可到纯DOS下删除MBBManager.exe。editor.exe在Windows下可直接删除。
   2.删除自启动文件:展开注册表到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下,删除串值“MainBroadBackManager”,其键值为

C:WINDOWSMBBManager.exe,它每次在开机时就被加载运行,因此删之别手软!
   3.恢复TXT文件关联:聪明基因将注册表HKEY_CLASSES_ROOTtxtfileshellop.将注册表HKEY_CLASSES\Txtfile\Shell\Open\Command下的默认键值由C:\Windows\

NOTEPAD.EXE   %1改为C:\Windows\System\Editor.exe  %1,因此要恢复成原值。
6.”屏幕幽灵”攻防
=
7.”Liquid木马”攻防
=
8.”QDe1234″攻防
=
9.”WNC”攻防
=
10.”风雪”攻防
            一、结束WINLOGON.EXE进程。注意,装在C盘的NT系统:木马路径:C:\WINDOWS\WINLOGON.EXE;正常系统进程路经:C:\WINDOWS\SYSTEM32

\WINLOGON.EXE。为避免误将系统进程WINLOGON.EXE结束而导致系统崩溃,动手前务必用IceSword等可以显示进程路径的工具鉴别一下。不要用微软自带的任务管理

器(它根本就不显示进程路径!)。
           二、下载RegFix(一个注册表修复工具)。将Regfix.exe的后缀改为scr,按确定。双击Regfix.scr,自动修复注册表主要文件关联项。
           三、找到并删除下列文件(见附图)。
           四、修改被木马篡改的注册表项:

           1、HKEY_CLASSES_ROOT\.lnk\ShellNew”Command”=”rundll32.com appwiz.cpl,NewLinkHere %1″删除”Command”=”rundll32.com
           2、HKEY_CLASSES_ROOT\.bfc\ShellNew”Command”=”%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create

%2!d! %1″将”Command”=”%SystemRoot%\\system32\\rundll32.com改为”Command”=”%SystemRoot%\\system32\\rundll32.exe
           3、HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command将@=”\”C:\\Program Files\\Internet Explorer\\iexplore.com\” %1″改为

@=”\”C:\\Program Files\\Internet Explorer\\iexplore.exe\” %1″
           4、HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command将@=”\”C:\\Program Files\\Internet

Explorer\\iexplore.com\””改为@=”\”C:\\Program Files\\Internet Explorer\\iexplore.exe\””
           5、HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command@=”rundll32.com shell32.dll,Control_RunDLL \”%1\”,%*”删除@=”rundll32.com
           6、HKEY_CLASSES_ROOT\Drive\shell\find\command将@=”%SystemRoot%\\explorer.com”改为@=”%SystemRoot%\\explorer.exe”
           7、HKEY_CLASSES_ROOT\dunfile\shell\open\command 将@=”%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1″改为@=”%

SystemRoot%\\system32\\rundll32.exe NETSHELL.DLL,InvokeDunFile %1″
           8、HKEY_CLASSES_ROOT\ftp\shell\open\command将@=”\”C:\\Program Files\\Internet Explorer\\iexplore.com\” %1″改为@=”\”C:\\Program

Files\\Internet Explorer\\iexplore.exe\” %1″
           9、HKEY_CLASSES_ROOT\htmlfile\shell\open\command将@=”\”C:\\Program Files\\Internet Explorer\\iexplore.com\” -nohome”改为@=”\”C:\\Program

Files\\Internet Explorer\\iexplore.exe\” -nohome”
           10、HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command删除@=”\”C:\\Program Files\\common~1\\iexplore.pif\” %1″
           11、HKEY_CLASSES_ROOT\htmlfile\shell\print\command删除@=rundll32.com
           12、HKEY_CLASSES_ROOT\inffile\shell\Install\command删除@=”%SystemRoot%\\System32\\rundll32.com
           13、HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command删除@=”finder.com
           14、HKEY_CLASSES_ROOT\scrfile\shell\install\command删除@=”finder.com
           15、HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command删除@=”\”C:\\WINDOWS\\system32\\finder.com\”
           16、HKEY_CLASSES_ROOT\telnet\shell\open\command删除@=”finder.com
           17、HKEY_CLASSES_ROOT\Unknown\shell\openas\command删除@=”%SystemRoot%\\system32\\finder.com
           18、HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command删除@=”C:\\WINDOWS\\ExERoute.exe \”%1\” %*”  
           19、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除”Torjan Program”=”C:\\WINDOWS\\WINLOGON.EXE”
           20、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon将”Shell”=”Explorer.exe 1″改为”Shell”=”Explorer.exe”
11.”失恋”攻防
=
12.”广外女生”攻防
由于该木马程序运行时无法删除该文件,因此启动到纯DOS模式下,找到System目录下的DIAGFG.EXE,删除它;
由于DIAGCFG.EXE文件已经被删除了,因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”,将它改名为

“Regedit.com”;
回到Windows模式下,运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件);
找到HKEY_CLASSES_ROOTexefileshellopencommand,将其默认键值改成%1 %;
找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersion RunServices,删除其中名称为“Diagnostic Configuration”的键值;
关掉注册表编辑器,回到Windows目录,将“Regedit.com”改回“Regedit.exe”。
13.”网络神偷”攻防
网络神偷会在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下建立键值“internet”,其值为internet.exe s,将键值删除;
删除其自启动程序CWINDOWSSYSTEMINTERNET.EXE。
14.”SubSeven”攻防
打开注册表Regedit,点击至:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和RunService下,如果有加载文件,就删除右边的项目:加载

器=cwindowssystem。注:加载器和文件名是随意改变的
打开win.ini文件,检查“run=”后有没有加上某个可执行文件名,如有则删除之。
打开system.ini文件,检查“shell=explorer.exe”后有没有跟某个文件,如有将它删除。
重新启动Windows,删除相对应的木马程序,一般在cwindowssystem下,在我在本机上做实验时发现该文件名为vqpbk.exe。
15.”灰鸽子”攻防
 由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(

或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“SafeMode”或“安全模式”。
由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护

的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\\windows,2k/NT为C:\\Winnt)。
经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为*****_Hook.dll的文件。
根据灰鸽子原理分析我们知道,如果*****_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有*****.exe和*****.dll文件。打开Windows目录,果然有这两个文件,同

时还有一个用于记录键盘操作的*****Key.dll文件。
打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services注册表项。
点击菜单“编辑”-》“查找”,“查找目标”输入“*****.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为*****_Server)。
删除整个*****_Server项。
16.”网络精灵”攻防
重新启动机器并在出现Staring windows提示时,按F5键进入命令行状态。在Cwindowssystem目录下输入以下命令:del netspy.exe 回车!
进入注册表HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentVersionRun,删除Netspy的键值即可安全清除Netspy。
17.”WinShell”攻防
=
18.”无赖小子”攻防
要清除WAY,只要删除它在注册表中的键值,再删除Cwindowssystem下的msgsvc.exe这个文件就可以了。要注意在Windows下直接删除msgsvc.exe是删不掉的,此时你

可以用进程管理工具终止它的进程,然后再删除它。或者到Dos下删除msgsvc.exe也可。如果服务端已经和可执行文件捆绑在一起了,那就只有将那个可执行文件也删除了!
在删除前请做好备份。
19.”网络魔鬼”攻防
=
20.”Torjan.Zasil”攻防
=
21.”PWSteaL.Kaylo”攻防
用更改注册表方法来解决。运行注册表编辑器,将HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run中将OsaRun这个键值删除即可。
22.”Trojan.Prova”攻防
=
23.”网络公牛”攻防
删除网络公牛的自启动程序C:WINDOWSSYSTEMCheckDll.exe。
把网络公牛在注册表中所建立的键值全部删除(上面所列出的那些键值全部删除)
检查上面列出的文件,如果发现文件长度发生变化(大约增加了40K左右,可以通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始->附件->系统工具

->系统信息->工具->系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后

按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。
24.”蓝色火焰”攻防
在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,进入:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,找

到”Network Services”=”C:\\WINDOWS\\SYSTEM\\tasksvc.exe”,删除串值Network Services及其键值。再到这里:HKEY_CLASSES_ROOTtxtfile\shell\

open\command和HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command之下,将C:\WINDOWS\SYSTEM\sysexpl.exe %1中的

“sysexpl.exe %1”更改为“NOTEPAD.exe %1”。到C:\WINDOWS\SYSTEM下,将tasksvc.exe、sysexpl.exe、bfhook.dll这三个文件彻底删除。
25.”Backdoor.Ducktoy”攻防
26.”BachDoor-ACH”攻防
27.”国际密码”攻防
=
28.”黑洞2001″攻防
将HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1
将HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command下的默认键值由S_SERVER.EXE %1改为C:\WINDOWS\NOTEPAD.EXE %1
将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices\下的串值windows删除。
将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES下的Winvxd主键删除。到C:\WINDOWS\SYSTEM下,删除windows.exe和S_Server.exe这两个

木马文件。要注意的是如果已经中了黑洞2001,那么windows.exe这个文件在windows环境下是无法直接删除的,这时我们可以在DOS方式下将它删除,或者用进程管理软

件终止windows.exe这个进程,然后再将它删除。
29.”Funny Flash”攻防
=
30.”Webber”攻防
=
31.”Win2000密码大盗”攻防
=
32.”短文”攻防
=
33.”后门”攻防
=
34.”聪明基因”攻防
      删除文件。删除CWINDOWS下的MBBManager.exe和Explore32.exe,再删除CWINDOWSsystem下的editor.exe文件。如果服务端已经运行,那么就得用进程管理

软件终止MBBManager.exe这个进程,然后在windows下将它删除。也可到纯DOS下删除MBBManager.exe,editor.exe在windows下可直接删除。
  删除自启动文件。展开注册表到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下,删除键值“MainBroad BackManager”,其值为

CWINDOWSMBBManager.exe,它每次在开机时就被加载运行,因此删之别手软!
  恢复TXT文件关联。聪明基因将注册表HKEY_CLASSES_ROOTtxtfileshellopencommand下的默认键值由CWINDOWSNOTEPAD.EXE %1改为

CWINDOWSsystemeditor.exe %1,因此要恢复成原值。同理,到注册表的HKEY_LOCAL_MACHINESoftwareCLASSEStxtfileshellopencommand下,将此时的默认键值

由CWINDOWSsystemeditor.exe %1改为CWINDOWSNOTEPAD.EXE %1,这样就将TXT文件关联恢复过来了。
  恢复HLP文件关联。聪明基因将注册表HKEY_CLASSES_ROOThlpfileshellopencommand下的默认键值改为CWINDOWSexplore32.exe %1,因此要恢复成原值:

CWINDOWSWINHLP32.EXE %1。同理,到注册表的HKEY_LOCAL_MACHINESoftwareCLASSEShlpfileshellopencommand下,将此时的默认键值由

CWINDOWSexplore32.exe %1改为CWINDOWSWINHLP32.EXE %1,这样就将HLP文件关联恢复过来了。
35″QQ大盗”攻防
在系统目录找到病毒文件winsocks.dll和intren0t.exe,并将其删除。打开注册表并定位到以下键值,将键值删除:
  [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
  \”Intren0t\”=%Windir%\\intren0t.exe
  [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]
  \”Intren0t\”=%Windir%\\intren0t.exe
36″工行钓鱼木马”攻防
在系统目录下找到svchost.exe病毒文件,并将其删除,打开注册表找到svchost.exe的关联键值,并将其删除
37″初恋情人(Sweet Heart)”攻防
删除CWINDOWSTEMP下的Aboutagirl.EXE文件
然后,将HKEY_CLASSES_ROOTtxtfileshellopencommand下的默认键值由girl.exe %1改为CWINDOWSNOTEPAD.EXE %1;
再将HKEY_LOCAL_MACHINESoftwareCLASSEStxtfileshellopencommand下的默认键值由girl.exe %1改为CWINDOWSNOTEPAD.EXE %1

绿色兵团专用链接:

                        多种病毒的查杀

                      

未注明即为原创文章,转载请注明: 转载自Sword Blog手动查杀百分百(zjb8975整理)

《手动查杀百分百(zjb8975整理)》有一个想法

发表评论

电子邮件地址不会被公开。 必填项已用*标注

注意: 评论者允许使用'@user空格'的方式将自己的评论通知另外评论者。例如, ABC是本文的评论者之一,则使用'@ABC '(不包括单引号)将会自动将您的评论发送给ABC。使用'@all ',将会将评论发送给之前所有其它评论者。请务必注意user必须和评论者名相匹配(大小写一致)。