51阅读吧 - 为您打造专业优质的文章分享平台!
您的当前位置: 51阅读吧 >

手动清除病毒|后门病毒:后门病毒-技术报告,后门病毒-手工清除方法

NO.1 后门病毒:后门病毒-技术报告,后门病毒-手工清除方法

后门病毒的前缀是:Backdoor。该类病毒的特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。2004年年初,IRC后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失。由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现。还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难。


后门病毒中毒界面图2004年年初,IRC后门病毒开始在全球网络大规模出现。一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失。由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成1个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现。还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难。

后门病毒_后门病毒 -技术报告


后门病毒清除解决方安图IRC病毒集黑客、蠕虫、后门功能于一体,通过局域网共享目录和系统漏洞进行传播。病毒自带有简单的口令字典,用户如不设置密码或密码过于简单都会使系统易受病毒影响。

病毒运行后将自己拷贝到系统目录下(Win 2K/NT/XP操作系统为系统盘的system32,win9x为系统盘的system),文件属性隐藏,名称不定,这里假设为xxx。exe,一般都没有图标。病毒同时写注册表启动项,项名不定,假设为yyy。病毒不同,写的启动项也不太一样,但肯定都包含这一项:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\yyy : xxx。exe

其他可能写的项有:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\ yyy : xxx。exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices\ yyy : xxx。exe

也有少数会写下面两项:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce\yyy : xxx。exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce\yyy : xxx。exe

此外,一些IRC病毒在2K/NT/XP下还会将自己注册为服务启动。
病毒每隔一定时间会自动尝试连接特定的IRC服务器频道,为黑客控制做好准备。黑客只需在聊天室中发送不同的操作指令,病毒就会在本地执行不同的操作,并将本地系统的返回信息发回聊天室,从而造成用户信息的泄漏

这种后门控制机制是比较新颖的,即时用户觉察到了损失,想要追查黑客也是非常困难。
病毒会扫描当前和相邻网段内的机器并猜测登陆密码。这个过程会占用大量网络带宽资源,容易造成局域网阻塞,国内不少企业用户的业务均因此遭受影响。

出于保护被IRC病毒控制的计算机的目的,一些IRC病毒会取消匿名登陆功能和DCOM功能。取消匿名登陆可阻止其他病毒猜解密码感染自己,而禁用DCOM功能可使系统免受利用RPC漏洞传播的其他病毒影响。

后门病毒_后门病毒 -手工清除方法

所有的IRC后门病毒都会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加自己的启动项,并且项值只有文件名,不带路径,这给了我们提供了追查的线索。通过下面几步我们可以安全的清除掉IRC病毒。

1、打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项,找出可疑文件的项目。

2、打开任务管理器(按Alt+Ctrl+Del或在任务栏单击鼠标右键,选择“任务管理器”),找到并结束与注册表文件项相对应的进程。若进程不能结束,则可以切换到安全模式进行操作。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。

3、接着打开“我的电脑”,在“工具”菜单下选择“文件夹选项”,选择“显示所有文件”,然后点击“确定”。再进入系统文件夹,找出可疑文件并将它转移或删除,到这1步病毒就算清除了。

4、最后可手工把注册表里病毒的启动项清除,也可使用瑞星注册表修复工具清除。
如果你发现了瑞星杀毒软件查不到的IRC病毒,也欢迎登陆瑞星新病毒上报网站http://up。rising。com。cn)上传样本。

后门病毒_后门病毒 -安全建议

1。建立良好的安全习惯

不要轻易打开一些来历不明的邮件及其附件,不要轻易登陆陌生的网站。从网上下载的文件要先查毒再运行。

2。关闭或删除系统中不需要的服务

默认情况下,操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对大多数用户没有用。删除它们,可以大大减少被攻击的可能性。

3。经常升级安全补丁

据统计,大部分网络病毒都是通过系统及IE安全漏洞进行传播的,如:冲击波、震荡波、SCO炸弹AC/AD等病毒。如果机器存在漏洞则很可能造成病毒反复感染,无法清除干净。因此一定要定期登陆微软升级网站http://windowsupdate。microsoft。com)下载安装最新的安全补丁。同时也可以使用瑞星杀毒软件附带的“瑞星漏洞扫描”定期对系统进行检查。

4。设置复杂的密码

有许多网络病毒是通过猜测简单密码的方式对系统进行攻击。因此设置复杂的密码(大小写字母、数字、特殊符号混合,8位以上),将会大大提高计算机的安全系数,减少被病毒攻击的概率。

5。迅速隔离受感染的计算机

当您的计算机发现病毒或异常情况时应立即切断网络连接,以防止计算机受到更严重的感染或破坏,或者成为传播源感染其它计算机。

6。经常了解一些反病毒资讯

经常登陆信息安全厂商的官方主页,了解最新的资讯。这样您即可及时发现新病毒并在计算机被病毒感染时能够作出及时准确的处理。比如了解一些注册表的知识,即可定期查看注册表自启动项是否有可疑键值;了解一些程序进程知识,即可查看内存中是否有可疑程序。

7。最好是安装专业的防毒软件进行全面监控

在病毒技术日新月异的今天,使用专业的反病毒软件对计算机进行防护仍是保证信息安全的最佳选择。用户在安装了反病毒软件之后,一定要开启实时监控功能并经常进行升级以防范最新的病毒,这样才能真正保障计算机的安全。

后门病毒_后门病毒 -后门概念

当1个训练有素的程序员设计1个功能较复杂的软件时,都习惯于先将整个软件分割为若干模块,然后再对各模块单独设计、调试,而后门则是1个模块的秘密入口。在程序开发期间,后门的存在是为了便于测试、更改和增强模块的功能。当然,程序员一般不会把后门记入软件的说明文档,因此用户通常无法了解后门的存在。

按照正常操作程序,在软件交付用户之前,程序员应该去掉软件模块中的后门,但是,由于程序员的疏忽,或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访问,方便测试或维护已完成的程序等种种原因,实际上并未去掉。

这样,后门就可能被程序的作者所秘密使用,也可能被少数别有用心的人用穷举搜索法发现利用。
从早期的计算机入侵者开始,他们就努力发展能使自己重返被入侵系统的技术或后门。本文将讨论许多常见的后门及其检测方法。更多的焦点放在Unix系统的后门,同时讨论一些未来将会出现的Windows NT的后门。本文将描述如何测定入侵者使用的方法这样的复杂内容和管理员如何防止入侵者重返的基础知识。当管理员懂的一旦入侵者入侵后要制止他们是何等之难以后,将更主动于预防第一次入侵。

大多数入侵者的后门实现以下二到3个目的:
即使管理员通过改变所有密码类似的方法来提高安全性,仍然能再次侵入。使再次侵入被发现的可能性减至最低。大多数后门设法躲过日志,大多数情况下即使入侵者正在使用系统也无法显示他已在线。一些情况下,如果入侵者认为管理员可能会检测到已经安装的后门,他们以系统的脆弱性作为唯一的后门,重而反复攻破机器。这也不会引起管理员的注意。所以在这样的情况下,一台机器的脆弱性是它唯一未被注意的后门。

后门病毒_后门病毒 -密码破解后门

这是入侵者使用的最早也是最老的方法,它不仅可以获得对Unix机器的访问,而且可以通过破解密码制造后门。 这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号,这些新的帐号仍然可能是重新侵入的后门。多数情况下,入侵者寻找口令薄弱的未使用帐号,然后将口令改的难些。当管理员寻找口令薄弱的帐号是,也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。

Rhosts + + 后门
在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简单的认证方法。用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的某用户的rhosts文件中输入"+ +",即可允许任何人从任何地方无须口令便能进入这个帐号。特别当home目录通过NFS向外共享时,入侵者更热中于此。这些帐号也成了入侵者再次侵入的后门。许多人更喜欢使用Rsh,因为它通常缺少日志能力。 许多管 理员经常检查 "+ +",所以入侵者实际上多设置来自网上的另1个帐号的主机名和用户名,从而不易被发现。

校验和及时间戳后门

早期,许多入侵者用自己的trojan程序替代二进制文件。系统管理员便依*时间戳和系统校验和的程序辨别1个二进制文件是否已被改变,如Unix里的sum程序。入侵者又发展了使trojan文件和原文件时间戳同步的新技术。它是这样实现的:先将系统时钟拨回到原文件时间,然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与原来的精确同步,即可把系统时间设回当前时间。sum程序是基于CRC校验,很容易骗过。入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。MD5是被大多数人推荐的,MD5使用的算法目前还没人能骗过。

Login后门

在Unix里,login程序通常用来对telnet来的用户进行口令验证。入侵者获取login。c的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入。 这将允许入侵者进入任何帐号,甚至是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生1个访问的,所以入侵者可以登录获取shell却不会暴露该帐号。管理员注意到这种后门后,便用"strings"命令搜索login程序以寻找文本信息。许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令,使strings命令失效。所以更多的管理员是用MD5校验和检测这种后门的。

Telnetd后门

当用户telnet到系统,监听端口的inetd服务接受连接随后递给in。telnetd,由它运行login。一些入侵者知道管理员会检查login是否被修改,就着手修改in。telnetd。在in。telnetd内部有一些对用户信息的检验,比如用户使用了何种终端。典型的终端设置是Xterm或者VT100。入侵者可以做这样的后门,当终端设置为"letmein"时产生1个不要任何验证的shell。入侵者已对某些服务作了后门,对来自特定源端口的连接产生1个shell。

服务后门

几乎所有网络服务曾被入侵者作过后门。finger,rsh,REXEC,rlogin,ftp,甚至inetd等等的作了的版本随处是。有的只是连接到某个TCP端口的shell,通过后门口令就能获取访问。这些程序有时用刺娲□?ucp这样不用的服务,或者被加入inetd。conf作为1个新的服务。管理员应该非常注意那些服务正在运行,并用MD5对原服务程序做校验。

Cronjob后门

Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序使它在1AM到2AM之间运行,那么每晚有1个小时可以获得访问。也可以查看cronjob中经常运行的合法程序,同时置入后门。

库后门

几乎所有的UNIX系统使用共享库。共享库用于相同函数的重用而减少代码长度。一些入侵者在象crypt。c和_crypt。c这些函数里作了后门。象login。c这样的程序调用了crypt(),当使用之后门口令时产生1个shell。因此,即使管理员用MD5检查login程序,仍然能产生1个后门函数。而且许多管理员并不会检查库是否被做了后门。对于许多入侵者来说有1个问题:一些管理员对所有东西多作了MD5校验。有1种办法是入侵者对open()和文件访问函数做后门。后门函数读原文件但执行trojan后门程序。所以当MD5读这些文件时,校验和一切正常。但当系统运行时将执行trojan版本的。即使trojan库本身也可躲过MD5校验。对于管理员来说有1种方法可以找到后门,就是静态编连MD5校验程序然后运行。静态连接程序不会使用trojan共享库。

内核后门

内核是Unix工作的核心。用于库躲过MD5校验的方法同样适用于内核级别,甚至连静态连接多不能识别。1个后门作的很好的内核是最难被管理员查找的,所幸的是内核的后门程序还不是随手可得,每人知道它事实上传播有多广。

文件系统后门

入侵者需要在服务器上存储他们的掠夺品或数据,并不能被管理员发现。入侵者的文章常是包括exploit脚本工具,后门集,sniffer日志,email的备分,原代码,等等。有时为了防止管理员发现这么大的文件,入侵者需要修补"ls","du","fsck"以隐匿特定的目录和文件。在很低的级别,入侵者做这样的漏洞:以专有的格式在硬盘上割出一部分,且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件。对于普通的管理员来说,很难发现这些"坏扇区"里的文件系统,而它又确实存在。

Boot块后门

在PC世界里,许多病毒藏匿与根区,而杀病毒软件就是检查根区是否被改变。Unix下,多数管理员没有检查根区的软件,所以一些入侵者将一些后门留在根区。

隐匿进程后门

入侵者通常想隐匿他们运行的程序。这样的程序一般是口令破解程序和监听程序(sniffer)。有许多办法可以实现,这里是较通用的:编写程序时修改自己的argv[]使它看起来象其他进程名。可以将sniffer程序改名类似in。syslog再执行。因此当管理员用"ps"检查运行进程时,出现的是标准服务名。可以修改库函数致使"ps"不能显示所有进程。可以将1个后门或程序嵌入中断驱动程序使它不会在进程表显现。使用这个技术的1个后门例子是amod。tar。gz :http://star。niimm。spb。su/~MAILLIST/bugtraq。1/0777。html 也可以修改内核隐匿进程。

Rootkit

最流行的后门安装包之一是rootkit。它很容易用web搜索器找到。从Rootkit的README里,可以找到一些典型的文件:
z2 - removes entries from utmp, wtmp, and lastlog。
Es - rokstar's ethernet sniffer for sun4 based kernels。
Fix - try to fake checksums, install with same dates/perms/u/g。
Sl - become root via a magic password sent to login。
Ic - modified ifconfig to remove PROMISC flag from output。
ps: - hides the processes。
Ns - modified netstat to hide connections to certain machines。
Ls - hides certain directories and files from being listed。
du5 - hides how much space is being used on your hard drive。
ls5 - hides certain files and directories from being listed。

网络通行后门

入侵者不仅想隐匿在系统里的痕迹,而且也要隐匿他们的网络通行。这些网络通行后门有时允许入侵者通过防火墙进行访问。有许多网络后门程序允许入侵者建立某个端口号并不用通过普通服务就能实现访问。因为这是通过非标准网络端口的通行,管理员可能忽视入侵者的足迹。这种后门通常使用TCP,UDP和ICMP,但也可能是其他类型报文。

TCP Shell 后门

入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门。许多情况下,他们用口令进行保护以免管理员连接上后立即看到是shell访问。管理员可以用netstat命令查看当前的连接状态,那些端口在侦听,目前连接的来龙去脉。通常这些后门可以让入侵者躲过TCP Wrapper技术。这些后门可以放在SMTP端口,许多防火墙允许e-mail通行的。

UDP Shell 后门

管理员经常注意TCP连接并观察其怪异情况,而UDP Shell后门没有这样的连接,所以netstat不能显示入侵者的访问痕迹。许多防火墙设置成允许类似DNS的UDP报文的通行。通常入侵者将UDP Shell放置在这个端口,允许穿越防火墙。

ICMP Shell 后门

Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器。入侵者可以放数据入Ping的ICMP包,在ping的机器间形成1个shell通道。管理员也许会注意到Ping包暴风,但除了他查看包内数据,否者入侵者不会暴露。

加密连接

管理员可能建立1个sniffer试图某个访问的数据,但当入侵者给网络通行后门加密后,就不可能被判定两台机器间的传输内容了。

Windows NT

由于Windows NT不能轻易的允许多个用户象Unix下访问一台机器,对入侵者来说就很难闯入Windows NT,安装后门,并从那里发起攻击。因此你将更频繁地看到广泛的来自Unix的网络攻击。当Windows NT提高多用户技术后, 入侵者将更频繁地利用 WindowsNT。如果这一天真的到来,许多Unix的后门技术将移植到Windows NT上, 管理员可以等候入侵者的到来。Windows NT已经有了telnet守护程序。通过网络通行后门,入侵者发现在Windows NT安装它们是可行的。

解决

当后门技术越先进,管理员越难于判断入侵者是否侵入后者他们是否被成功封杀。

评估

首先要做的是积极准确的估计你的网络的脆弱性,从而判定漏洞的存在且修复之。许多商业工具用来帮助扫描和查核网络及系统的漏洞。如果仅仅安装提供商的安全补丁的话,许多公司将大大提高安全性。

MD5基准线

1个系统(安全)扫描的1个重要因素是MD5校验和基准线。MD5基准线是在黑客入侵前由干净系统建立。 一旦黑客入侵并建立了后门再建立基准线,那么后门也被合并进去了。一些公司被入侵且系统被安置后门长达几个月。所有的系统备份多包含了后门。当公司发现有黑客并求助备份祛除后门时,一切努力是徒劳的,因为他们恢复系统的同时也恢复了后门。应该在入侵发生前作好基准线的建立。

入侵检测

随着各种组织的上网和允许对自己某些机器的连接,入侵检测正变的越来越重要。以前多数入侵检测技术是基于日志型的。最新的入侵检测系统技术(IDS)是基于实时侦听和网络通行安全分析的。最新的IDS技术可以浏览DNS的UDP报文,并判断是否符合DNS协议请求。如果数据不符合协议,就发出警告信号并抓取数据进行进1步分析。同样的原则可以运用到ICMP包,检查数据是否符合协议要求,或者是否装载加密shell会话。

从CD-ROM启动

一些管理员考虑从CD-ROM启动从而消除了入侵者在CD-ROM上做后门的可能性。这种方法的问题是实现的费用和时间够企业面临的。

警告

由于安全领域变化之快,每天有新的漏洞被公布,而入侵者正不断设计新的攻击和安置后门技术,安枕无忧的安全技术是没有的。请记住没有简单的防御,只有不懈的努力!

后门病毒_后门病毒 -相关词条

云安全入侵检测技术蓝光光盘网络内容过滤技术五毒虫木马爱虫病毒中间件欢乐时光病毒

后门病毒_后门病毒 -参考资料

[1]病毒大百科
[2]电脑教育

NO.2 手动清除魔波病毒的方法

问题描述:近日,我的电脑不小心中了,利用微软MS06-040高危漏洞进行传播的恶性病毒——“魔波(Worm.Mocbot.a)”和“魔波变种B(Worm.Mocbot.b)病毒,导致系统瘫痪,不能正常工作。(www.51jianli.com)请问怎么样才能有效清除该病毒。   问题回答:重启进入安全模式(开机按F8)。   1. 打开注册表编辑器。点击开始> 运行,输入REGEDIT,按Enter   2. 在左边的面板中,双击:HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services   3. 仍然在左边的面板中,找到并删除如下键:“wgareg”魔波(Worm.Mocbot.a)、“wgavm ”魔波变种B(Worm.Mocbot.b)   恢复EnableDCOM和RestrictAnonymous注册表项目   1. 仍然在注册表编辑器中,在左边的面板中,双击: HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Ole   2. 在右边的面板中,找到如下项目:IEnableDCOM = "N"   3. 右击该项目选择修改值为: EnableDCOM = "Y"   删除关于管理共享的注册表项目   1. 在注册表编辑器中,在左边的面板中,双击:HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>lanmanserver>parameters   2. 在左边的面板中,找到并删除如下项目:   a. AutoShareWks = "dword:00000000"   b. AutoShareServer = "dword:00000000"   3. 在注册表编辑器中,在左边的面板中,双击:HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>lanmanworkstation>parameters   4. 在左边的面板中,找到并删除如下项目:   a. AutoShareWks = "dword:00000000"   b. AutoShareServer = "dword:00000000"   魔波(Worm.Mocbot.a,又称WORM_IRCBOT.JL)删除添加或者修改的注册表项目  1. 在注册表编辑器中,在左边的面板中,双击:HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center   2. 在右边的面板中,找到项目:o FirewallDisableNotify = "dword:00000001" o AntiVirusOverride = "dword:00000001" o AntiVirusDisableNotify = "dword:00000001" o FirewallDisableOverride = "dword:00000001"   3. 在左边的面板中,双击:HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>DomainProfile   4. 在右边的面板中,找到项目:EnableFirewall = "dword:00000000"   5. 在左边的面板中,双击:HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>StandardProfile   魔波变种B(Worm.Mocbot.b,又称WORM_IRCBOT.JK)删除添加或者修改的注册表项目:   1. 在注册表编辑器中,在左边的面板中,双击:HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center   2. 在右边的面板中,找到并删除如下项目::   AntiVirusDisableNotify = "dword:00000001"   AntiVirusOverride = "dword:00000001"   FirewallDisableNotify = "dword:00000001"   FirewallDisableOverride = "dword:00000001"   3.

魔波 手动清除魔波病毒的方法

在左边的面板中,双击:HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess   4. 在右边的面板中,找到项目: Start = "dword:00000004"   5. 右击该注册表项目,选择修改项目值为:Start = "dword:00000002"   6. 在左边的面板中,双击:HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>DomainProfile   7. 在右边的面板中,找到并删除如下项目:EnableFirewall = "dword:00000000"

NO.3 手动清除Excel宏病毒的方法

我们在日常网络生活中,经常遇到这样的问题,特别是单位要用一些材料从上级或者同事的电脑里复制excel文件,结果当放到自己的电脑里就出问题了,打开excel文件,这个文件就无休止的复制,从而使你的电脑无法操作,直至重启这个表格才停止!

我前几次都是从别人的电脑里传的文件,杀毒软件查杀不到,结果打开就是上面那个样子了,中招了!这个是无法判断的,特别是有的文件是要求启用“宏”,就更不好解决了。那么遇到这样的情况,我都用了下面的手动方法解决,简单实用,一招见效!

那么手动清除Excel宏病毒的具体方法:
1、进入 C:\Program Files\MicrosoftOffice\OFFICE11\xlstart\下先删除book1文件,(注意:这个C是指你的系统盘,比如我的是双系统,那么打开C盘就是删了也是无用的,看你使用的是哪个系统。)然后再建立Book1文件夹;
2、打开EXCEL文档,格式-->工作表-->取消隐藏工作表,删除xl4poppy工作表,然后,点击菜单:插入-->名称-->定义,删除所有的名称。保存;
3、处理完再删除刚才建立的文件夹。
这样就可以清松消灭掉Excel宏病毒,再打开你的excel文件,就安全了。此种方法保证快捷有效!

宏病毒专杀(office病毒专杀)软件下载地址:

文件小,轻松搞定!

NO.4 常见病毒手工清除方法大集锦(1)

手工清除“恶邮差”(Supnot)蠕虫病毒

1.使用资源管理器查看进程,注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒(或由病毒生成的后门软件),甚至其它的一切不常见的进程都有可能是,如果不能确定,找一台服务器上的进程来观察(服务器应该不会被感染)。
2.将病毒程序(后门)的进程结束掉,对于不能结束的,可以使用附件中的pskill.exe结束掉(命令格式“pskill 进程名”)。
3. 打开“服务”,在服务列表中将没有“描述”服务进行筛选,查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务,依次删掉注册表中的
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BRWWTELK]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prom0n.exe]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Extension]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window Remote Service]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run(RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(RunServices]
……的相关的健值(还有WinVNC的进程,没有记住是什么健值)
4.删掉
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg]
[HKEY_CLASSES_ROOT\Applications\winrpc.exe]的健值,
5. 并修改[HKEY_CLASSES_ROOT\txtfile\shell\open\command]的右侧的默认健值为” %SystemRoot%\system32\NOTEPAD.EXE %1”,此时,.txt的文件无法正常打开,可以点击文本文件的右键选择其它方式,选择使用Notepad即可。
6.删掉系统system32目录下的以下程序(大部分可执行程序的大小都为78,848字节): winrpcsrv.exe 、 winrpc.exe 、 wingate.exe 、 syshelp.exe 、rpcsrv.exe 、 iexplore.exe 、 prom0n.exe(注意中间的是数字0) 、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、 winvnc.exe
7. 清空“C:\Documents and Settings\Default User(或Default Uesr..WINNT)\Local Settings\Temporary Internet Files\Content.IE5”目录下除了“desktop.ini”的所有文件,该路径下,发现有一些后门软件。
8.关闭所有目录的完全共享!――这是关闭了该程序还可以通过网络感染的途径。
9. 重新启动计算机,观察是否还有类似进程出现,尤其是irftpd.exe,这个程序是由上述第3步的“服务”程序自动生成的。由于该蠕虫先后出现多个变种,建议使用专杀工具来查杀。

常见病毒手工清除方法大集锦(1)_常见病毒

新欢乐时光VBS/Redolf的清除办法

1、删除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel3
2 键值;
参照其他系统,恢复 HKEY_CLASSES_ROOT\dllFile\ 下键值;
参照其他系统,恢复 HKEY_CURRENT_USER\Identities\" & UserID & "\Software\Microsoft\Outlook Express\" & OEVersion?& "\Mail\ 下相关键值;
参照其他系统,恢复 HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\ 下相关键值;
参照其他系统,恢复 HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\ 下相关键值;
3、删除文件
参照其他系统,恢复 %Windows%\web 目录下 folder.htt 文件;
删除 Kernel32.dll 或者 Kernel.dll 文件;删除 kjwall.gif;
查找所有存在 KJ_start 字符串的文件,删除文件尾部的病毒代码。
由于该病毒利用 Windows 资源管理器的视图模板进行感染,所以必须对计算机所有磁盘进行检查,不能遗漏,否则很快又会再次感染。在查杀过程中一定不能打开资源管理器,否则也不能查杀干净。

常见病毒手工清除方法大集锦(1)_常见病毒

I-WORM/Badtrans.b,病毒的清除

首先用最新DOS版的杀毒软件开机杀毒,然后将邮箱中的带毒邮件一一删除,否则又会重复感染,该病毒传播能力极强,必须加强防范, 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

恶性蠕虫病毒“I-Worm.Aliz”

用最新的杀毒软件清除病毒,然后下载补丁:
如果用户使用升级的因特网outlook版本6.0,就不需要修补outlook。
1. outlookhttp://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
2.outlook 2000http://office.microsoft.com/korea/downloads/2000/outlctlx.aspx
3.outlook 2002 (office XP)http://office.microsoft.com/korea/downloads/2002/OLK1003.aspx

常见病毒手工清除方法大集锦(1)_常见病毒

Nimda.e病毒详细解毒方案

一、winX系统的清除方法:

1 使用干净DOS软盘启动机器。
2 执行vrvdos, 查杀所有硬盘。
3 在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。
4 开启vrv实时监测病毒防火墙。
5 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
地址是:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp。
这样可以预防此类病毒的破坏。

6、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。
7、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区。

8、对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载:http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.
9、病毒被清除后, 在windows的system目录下的文件riched20.dll将被删除,请从WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件,否则的话,写字板和OFFICE, WORD等程序将不能正常运行。在WINDOWS98系统下的该文件大小是:431376字节。或重装office。

二、WINDOWS NT/2000系统的清除方法:

WINDOWS NT/2000系统的NTFS硬盘分区感染此毒时,处理比较烦琐。因用DOS软盘引导后不认硬盘分区,所以无法杀毒。在患毒的WINDOWS NT/2000系统下又杀不干净病毒。不管是服务器还是单机的硬盘染此毒了,要想杀干净病毒,可按如下方法杀毒:
1 找一台没有感染病毒的、并装有WINDOWS NT/2000(NTFS)系统的计算机,将vrv2001 server安装到硬盘中,对硬盘进行查杀。
2 如果有杀不掉的,用dos盘引导起动,再执行NTFSpro(在vrv网站可以下载)中的ntfspro.exe 即可,看到NTFS格式下的所有文件,将其删除,再回到正常模式下查杀。
3 如果有多台机器,也可以将患毒的硬盘挂接在没有感染病毒的计算机上做为副盘。

Nimda病毒解决方案

请大家尽快到微软网站下载更新程序,修补这些漏洞,以免中毒。收到可疑的信件,例如:Nimda病毒病毒附件为readme.exe,不要随意打开以免中毒,IE 5.x 的使用者请到http://www.microsoft.com/technet/security/bulletin/MS01-020.asp下载修复程序,避免浏览中毒网页就被感染。
IIS 的使用者请到http://www.microsoft.com/technet/security/bulletin/MS01-044.asp、http://www.microsoft.com/technet/security/bulletin/MS00-078.asp下载修复程序,以修正Unicode漏洞。
另外:Win9x用户记得去掉共享,修改System.ini中shell=explorer.exe load.exe -dontrunold为shell=Explorer.exe ,Win2000则查看一下administrators组中是否加进了“guest”用户,如果是,请将guest用户从administrators组中删除,然后用最新版的杀毒软件扫描你的机器,查杀病毒。

常见病毒手工清除方法大集锦(1)_常见病毒

自己动手对付CodeRed(红色代码)

CodeRed(红色代码)是利用Windows NT/2000本身的漏洞来执行骇客行为,微软网站提供更新档下载,使用IIS 4.0以上版本用户,请尽快至微软网站http://www.microsoft.com/technet/security/bulletin/MS01-033.asp更新修正。

手工清除Sircam蠕虫病毒:

1、 清空回收站,因为病毒将自身隐藏在回收站;
2、 删除Autoexec.bat文件中的"@win ecycledsirc32.exe"
3、 恢复注册表
(1) 将regedit.exe改名为regedit.com因为该病毒关联exe文件
(2) 打开注册表编辑器,查找主键:
HKEY_CLASSES_ROOT/exefile/shell/open/command将其键值改为"%1" %*
(3) 删除主键HKEY_LOCAL_MACHINE/Software/SirCam
(4) 删除键值HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run Services/Driver32
(5) 将regedit.com改回为regedit.exe

常见病毒手工清除方法大集锦(1)_常见病毒

手工清除“快乐时光”病毒

1.检查 C:\Help.htm、C:\ 盘第一个子目录下的 Help.vbs 和 Help.hta、Windows录下 Help.htm 或者与原墙纸文件名的 html 格式文件,若其中 含有“Rem I am sorry! happy time”字符串,则删除该文件
2.检查 C: 盘上所有 vbs、html 或者 asp 文件,若含有“Rem I am sorry! happy time”字符串,则删除该文件
3.检查 \Windows\Web 目录下所有 vbs、html、htt 和 asp 文件,若含有“Rem Iam sorry! happy time”字符串,则删除该文件;
4.删除 HKEY_CURRENT_USER\Software 下 Help 项;
5.删除收件箱中所有带有 Untitled.htm 附件的不明邮件。

常见病毒手工清除方法大集锦(1)_常见病毒

手工清除出现漩涡画面的Hybris.A变种病毒

解决方案:
一、Window 95用户更改WSOCK32.DLL
1.从开始->关机->重新启动并切换到MS-DOS模式。
2.键入: EXTRACT /A C:\WINDOWS\OPTIONS\CABS\WIN95_11.CAB WSOCK32.DLL /L C:\WINDOWS\SYSTEM,或是放入你的 Windows 95 CD-ROM,然后键入:EXTRACT /A D:\WIN95\WIN95_11.CAB WSOCK32.DLL /L C:\WINDOWS\SYSTEM. D: 指你的CD-ROM drive
二、Window 98用户更改WSOCK32.DLL
1.从开始->运行,键入SFC并按OK.
2.选择从安装软盘提取一个文件(E)
3.在空格中键入C:\WINDOWS\SYSTEM\WSOCK32.DLL 并按开始。
4.在提取文件表格中键入C:\WINDOWS\OPTIONS\CABS 或是在你的Windows 98 CD-ROM中浏览 Windows 98,会在CAB file这里发现命名为"PRECOPY1.CAB" 按OK 后跟着提示进行就可。

常见病毒手工清除方法大集锦(1)_常见病毒

手动清除圣诞节病毒的方法:

1.开始——>程序——>MS-DOS模式
2.将DOS指令regedit.exe重新命名为 regedit.com
3.回到Windows运行Regedit。
4.开始——>运行
5.输入“regedit”。按一下“确定”。
6.在左边窗口,按一下含有 "+" 记号的方块以展开节点来寻找下列登录:
HKEY_CLASSES_ROOT exefile shell open command
7.在右边窗口,以展开节点来寻找含有下列登录的记录值并点选 (Default) = "% windir%\SYSTEM\WINSVRC.EXE"%1""%*" where %windir%
8.当编辑窗口出现,将所有整个部分删除,只留下 "%1"%*"。
9.同步骤 3-5,输入“regedit”。按一下“确定”,进入以下注册机值:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
10.点选Win32BaseServiceMOD = %windir%\SYSTEM\WINSVRC.EXE ,并按“删除”
11.开始——>程序——>MS-DOS模式
12.将 regedit.com重新命名为 regedit.exe。

常见病毒手工清除方法大集锦(1)_常见病毒

Win32/MTX.A.Worm 病毒的清除方法

清除步骤:
1、对于蠕虫病毒生成的文件如:MTX_.exe,Ie_pack.exe和Win32.dll,需要彻底删除,它们的病毒报警为Win32/MTX.Attachment.Worm 或Win32/MTX.A.Downloader.Worm。
2、 开始---运行(regedit)修改注册表,将注册表中的关键字值删除,关键字值为:
Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run\Systembackup =\MTX_.EXE
3、 开始---运行(regedit)---编辑---查找(Win32.dll),将查找到的键值删除掉,用同样的方法 查找Ie_pack.exe和mtx,将查找到的键值也删除;
4、重新启动计算机。

常见病毒手工清除方法大集锦(1)_常见病毒

手动清除特洛伊木马TROJ_QAZ.A病毒

1、单击“开始│运行” 键入:Regedit,按Enter键
2、找到注册键:
HKEY_LOCAL_MACHIN/Software/Microsoft/Windows/CurrentVersion/Run
3、在右边的窗口中,找出任何包含下列数据的注册键值:
startIE=XXXX\Notepad.exe
4、在右边的窗口中,选中该键值,按删除键后再选是,删除该值。 退出注册表修改。 单击 “开始│关闭系统”,选择“重启动”后单击“是”。
5、重命名Note.com为Notepad.exe。

常见病毒手工清除方法大集锦(1)_常见病毒

冰河的手工解决办法

病毒冰河的手工解决办法:
1、在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中找 到冰河(默认是C:\WINDOWS\SYSTEM\Kernel32.exe),将其删除。
2、在注册表中找到HKEY_CLASSES_ROOT\txtfile\,可以在其次键中发觉Shell\open\command中运行的程序,默认的是C:\WINDOWS\SYSTEM\Sysexplr.exe %1, 将它删掉就行。其他形式的伪装也照删不误。
3、重新启动,在纯Dos模式中删除冰河以及它的关联程序(默认是 C:\WINDOWS\SYSTEM\Kernel32.exe和sysexplr.exe)。

常见病毒手工清除方法大集锦(1)_常见病毒

VBS_STAGES.A蠕虫的解决方案

进入以下注册表目录:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
查找含有以下键值的键:"C:\WINDOWS\WSCRIPT.EXE,C:\WINDOWS\SYSTEM\SCANREG.VBS" 将含有这些键值的键删除。
进入以下注册表目录:
HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/DefaultIcon
查找以下键值:"C:\RECYCLED\RECYCLED.VXD,1" 将其修改为:C:\WINDOWS\regedit.exe,1 to this input box
进入以下注册表目录:
HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/shell/open/command
查找以下键值:"C:\RECYCLED\RECYCLED.VXD,1" 将其修改为:C:\WINDOWS\regedit.exe,1 to this input box.,退出注册表 。重启后扫描整个系统,将感染了此病毒的文件删除。 从另一干净的机器上拷贝一个REGEDIT.EXE 程序到本机。

常见病毒手工清除方法大集锦(1)_常见病毒

抵御港产电脑病毒“嘻哈”

近日传媒公布港产电脑病毒“嘻哈”即“F4student.heha”病毒,此ICQ病毒轰炸校园,而且通过ICQ扩散,威胁约一亿个香港与国际ICQ用户,只要通过它人用ICQ发给你的网址http://f4student.heha.net/????(为了避免误进入我将这个网址‘马赛克’了^-^)进入此网站后再重新开机,会删除整个电脑硬盘全部资料。

本人分析过此病毒,其实只是使用了IE5的一个漏洞,其“发作”时调用了start /m deltree c: d: e: /autotest /u这一危险的命令,只要将你们机器里的Deltree.exe作特殊处理(改名等)就可预防该‘病毒’了。
另外:本人在此提醒大家,一般来说,我建议电脑管理员将机器里面的(Format,Fdisk,Deltree等特殊的命令)作特殊处理,防止使用人员误操作导致发生灾难。

常见病毒手工清除方法大集锦(1)_常见病毒

手工清除“I LOVE YOU”病毒

解决方案: 在开始菜单中选“运行”, 输入“Regedit”并回车, 在注册表编辑器的左边一栏内选“HKEY_LOCAL_MACHINE/Software/Micro soft/Windows/CurrentVersion/Run”, 在右边栏内查找值为“:\Windows\System\ MSKernel32.vbs”和“\WI N-BUGSFIX.exe”的键, 这些键值使得病毒在Windows启动的时候得以运行,选中这些键并删除。 在注册表中查找键值为“:\Windows\System\ Win32DLL.vbs”的键, 选中并删除。 退出注册表, 从开始菜单中选择“关闭系统”的“重新启动计算机并启动到MS-Dos方式”, 进入缺省目录“C:\”之后,接着输入DEL WIN-BUGSFIX.exe,回车, 重启计算机。这样,整个清除病毒过程就结束啦。

常见病毒手工清除方法大集锦(1)_常见病毒

如何自行将MSIE.HTA(网路害虫)清除

1.将Windows\system目录下MSBOOT.BAT、MSIE.LST、MSIE.INI、MSIE.HTA四个文件删除。
2.将Windows\system\system目录删除。
3.将windows\Start Menu\Programs\启动\ 中的Microsoft Internet Explorer.hta文档删掉。

如何防范VBS_BUBBLEBOY(OUTLOOK.BubbleBoy)蠕虫

BubbleBoy(泡沫小子)是由VB 脚本撰写而成,且浏览器要求是安装了Windows Scripting Host的IE5。WindowsS-cripting Host是Windows 98 和Windows 2000标准安装程序。BubbleBoy 在Windows NT上无法运行。 若IE5的安全级别设定为最高,动态脚本组件(Active Scripting Components)就无法被执行。最好的办法就是从Microsoft获取最新的安全补丁程序。 Microsoft的Internet Explorer 5.0用户可以进入“Tools/ Windows Update”,来获得最新的补丁和插件程序。

常见病毒手工清除方法大集锦(1)_常见病毒

清除黑客程序“煞伯7号”

1999年8月17日,南京信源公司的“病毒119”寻呼急促地响起,有一例黑客程序被上报到南京信公司技术部,经过紧张的分析测试,他们已经彻底的破解了该黑客程序。怎样判断你的机器内是否有“煞伯7号”?你可以到你的操作系统安装目录(一般为Windows目录)下,检查是否有Rundll16.exe文件。有没有?如果你发现了,哈哈你被“黑”了,黑客可能正在窃取你的秘密。赶快用文本编辑器修改该目录下的文件System.ini将 [boot] shell=Explorer.exe rundll16.exe 改为 [boot]shell=Explorer.exe 重新启动计算机,将Rundll16.exe删除,要快哦!否则就会有更大的破坏。到此为止,你已经躲开了该黑客程序的控制。 南京信源公司VRV2000的3.B版本及VRV31.0,能够彻底查杀“煞伯7号”。

常见病毒手工清除方法大集锦(1)_常见病毒

Back Orifice 2000的清除方法

手工删除Back Orifice 2000的方法:
1.在WINDOWS 9X 中运行REGEDIT。
2.将注册表中:HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUNSERVICES下的UMGR32.EXE 串值删除。
3.重新启动。
4.将WINDOWS/SYSTEM目录下的UMGR32~1.EXE文件删除即可。

常见病毒手工清除方法大集锦(1)_常见病毒

解决:“控险虫”

6月6日在以色列发现新的病毒“探险虫”,它通过邮件传播,专门攻击微软的Office文件,只攻击WINX/NT 操作系统,请大家收到邮件时千万不要随意打开附件,以免文件造破坏。另外,如果你有杀毒软件不能查杀的病毒或碰到“探险虫”,可与我们联系!你们可在杀毒专栏里找免费杀毒软件SODU1999清除“探险虫”。

常见病毒手工清除方法大集锦(1)_常见病毒

清除Windows NT蠕虫病毒

目前,NAI公司已发现清除ExploreZIP.worm病毒的有效方法:Win9X:重启并进入MS_DOS模式,编辑WIN.INI并删掉“run=c:\windows\system\explore.exe”,然后删除“c:\windows\system\ explore.exe”,再重启Win9X即可。
Win NT:该蠕虫作为一个进程在Win NT Task manager中名为“explore”,用户可以终止该进程。运行REGEDIT(注意:不是REGEDIT32)并嵌入[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current\Version\Windows,删除“run=C:\\WINNT\System32\Explore.exe”,重启NT,删除文件“c:\winnt\system32\Explore.exe”即可。

常见病毒手工清除方法大集锦(1)_常见病毒

清除“Pretty park 蠕虫”病毒

近日,一种名为“Pretty Park蠕虫”的病毒被赛门铁克在法国的Sscan&Deliver系统截获,并预言此病毒有蔓延扩散之趋势。为避免广大的电脑用户遭受此病毒的侵袭,赛门铁克防病毒专家提醒大家提早采取措施。
手工删除该病毒的步骤为:删除WINDOWS\SYSTEM\FILES32.VXD;使用REGEDIT,把注册项?HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command”从 Ffiles32.VXD“%1%*;通过Windows“开始”菜单的“运行”菜单 项启动 REGEDIT;然后在REGEDIT中搜索FILES32.VXD;删除“PrettyPark.exe”文件;再重新启 动计算机。需要注意的是,用户必须严格的执行 第二步,否则,如果只是简单的把FILES32.VXD删除掉,可执 行文件将不能正常运行。

常见病毒手工清除方法大集锦(1)_常见病毒

教你如何手工删除“MSN照片”病毒

一、 删除病毒的注册表启动项目
1、运行regedit,打开注册表编辑器。打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad找到“rdshost”一项,将其值记录下来,并将该项删除。
注意:“rdshost”项的值为一个CLSID。病毒产生的这段CLSID不固定,本例中为:{C7B4EE78-A8FB-4C16-AE1F-C1A568949825}。

2、打开HKEY_CLASSES_ROOT\CLSID,找到刚才记录下的CLSID项,本例为:{C7B4EE78-A8FB-4C16-AE1F-C1A568949825},将其删除。

二、 重新启动计算机
由于该病毒驻留内存,因此,清除掉启动项目后必须重新启动计算机才能够删除病毒文件。

三、 删除病毒文件
1、 进入Windows,默认为C:\windows\,找到名为“photo album.zip”的文件并删除。
2、进入系统目录,默认为C:\windows\system32,找到名为“rdshost.dll”文件并删除(注意是DLL文件不是EXE)。
3、重新启动计算机,检查这几个文件是否存在,如果不存在,则病毒已被清除干净。

其他采取手动查杀如下:
1、断网(拨掉网线、禁用网卡都行)
2、取消MSN的自动运行(打开MSN-工具-选项-常规-取消“当我登录到Windows时自动运行……”)
3、重启(进不进安全模式都行,我没有进)
4、打开注册表(开始-运行-输入“regedit”-回车)
5、在注册表中搜索“photo album”,并将之删除(在注册表中按下F3键,文本框中输入“photo album”,回车,搜索到相关项,删除;再按F3,继续搜索,并删除……直到显示“注册表搜索完毕”)
6、删除接收到的文件,并重启计算机
7、可重复第5步,以查是否还有相关项(我重复了几次,没有发现)
8、运行MSN(我测试了20分钟,没有发现异常,发消息没有异常

常见病毒手工清除方法大集锦(1)_常见病毒

灰鸽子的手工清除
清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。注意:为防止误操作,清除前一定要做好备份。

一、清除灰鸽子的服务
Windows2000/WindowsXP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。

Windows98/WindowsME系统:
在Windows9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005服务端已经被清除干净。

常见病毒手工清除方法大集锦(1)_常见病毒

手工清除熊猫烧香

一、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(我的电脑里出现的是SVCHOST)注意别搞错了。
二、显示出被隐藏的系统文件
运行注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
四、删除病毒的自动运行项
打开注册表运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。

其他方法一:
1. 断开网络
2. 结束病毒进程:%System%/drivers/spoclsv.exe
3. 删除病毒文件:%System%/drivers/spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:X:/setup.exe,X:/autorun.inf
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
"svcshare"="%System%/drivers/spoclsv.exe"
6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer
/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue"=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件

其他方法二:
1、拔掉网线断开网络,打开Windows任务管理器,迅速找到spoclsv.exe,结束进程,找到explorer.exe,结束进程,再点击文件,新建任务,输入c:\WINDOWS\explorer.exe,确定。
2、点击开始,运行,输入cmd回车,输入以下命令:
del c:\setup.exe /f /q
del c:\autorun.inf /f /q
如果你的硬盘有多个分区,请逐次将c:改为你实际拥有的盘符(C盘-->Z盘)。上述两个木马文件为只读隐藏,会修改Windows属性,使用户无法通过设置文件夹选项显示所有文件及文件夹的功能看到。
3、进入注册表,删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。
4、删除C:\windows\system32\drivers\spoclsv.exe
5、修复或重新安装防病毒软件并升级病毒库,彻底全面杀毒,清除恢复被感染的.exe文件。
6、屏蔽熊猫烧香病毒网站pkdown.3322.org和ddos2.sz45.com,具体方法如下:
打开C:\WINDOWS\system32\drivers\etc\host文件,添加修改如下格式:

# Copyright (c) 1993-1999 Microsoft Corp.## This is a sample HOSTS file used by Microsoft TCP/IP for Windows.## This file contains the mappings of IP addresses to host names. Each# entry should be kept on an individual line. The IP address should# be placed in the first column followed by the corresponding host name.# The IP address and the host name should be separated by at least one# space.## Additionally, comments (such as these) may be inserted on individual# lines or following the machine name denoted by a '#' symbol.## For example:## 102.54.94.97 rhino.acme.com # source server# 38.25.63.10 x.acme.com # x client host127.0.0.1 localhost127.0.0.1 *.3322.org127.0.0.1 *.sz45.com


7、修复文件夹选项的“显示所有文件及文件夹”的方法:
A、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支,在右边的窗口中双击CheckedValue键值项,该键值应为1.如果值不为1,改为1即可。

如果你设置仍起不了作用,那么接下来看。
有些木马把自己的属性设置成隐藏、系统属性,并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除,致使通过procexp可以在进程中看到,但去文件所在目录又找不到源文件,无法进行删除。(正常如图,被修复后看不见图中标注的项)
针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Text"="@shell32.dll,-30501""Type"="radio""CheckedValue"=dword:00000002"ValueName"="Hidden""DefaultValue"=dword:00000002"HKeyRoot"=dword:80000001"HelpID"="shell.hlp#51104"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden\SHOWALL]"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Text"="@shell32.dll,-30500""Type"="radio""CheckedValue"=dword:00000001"ValueName"="Hidden""DefaultValue"=dword:00000002"HKeyRoot"=dword:80000001"HelpID"="shell.hlp#51105"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\SuperHidden]"Type"="checkbox""Text"="@shell32.dll,-30508""WarningIfNotDefault"="@shell32.dll,-28964""HKeyRoot"=dword:80000001"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""ValueName"="ShowSuperHidden""CheckedValue"=dword:00000000"UncheckedValue"=dword:00000001"DefaultValue"=dword:00000000"HelpID"="shell.hlp#51103"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]@=""

具体操作方法:
1)通过记事本新建一个文件
2)将以上内容复制到新建的记事本文件中
3)通过记事本文件菜单另存为show.reg
4)双击存储的showall.reg文件,点击弹出的对话框是按钮即可。
注意:以上方法对win2000和XP有效
B、HKEY_LOCAL_MACHINE | Software |Microsoft | windows | CurrentVersion | explorer | Advanced | Folder | Hidden | SHOWALL,将CheckedValue键值修改为1
但可能依然没有用,隐藏文件还是没有显示,这是因为病毒在修改注册表达到隐藏文件目的之后,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!
方法:删除此CheckedValue键值,单击右键 新建Dword值,命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

常见病毒手工清除方法大集锦(1)_常见病毒

全手工清除落雪

中途注意不要双击到其中任何一个文件,必须在文件夹选项里打开显示隐藏文件及显示已知文件扩展名。
1、打开始菜单的运行,输入命令 regedit,进注册表,到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除Torjan pragramme
2、然后注销! 重新进入系统后到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把pagefile.com和D:\autorun.inf删掉, 然后再到C盘把上面所列出来的文件都删掉,可以对比其他文件的日期判断。
3、头号文件WINLOGON.EXE在C:\Windows\WINLOGON.EXE 可能提示删不掉可以用光盘启动进入DOS模式,把它的系统,隐藏属性去掉然后删除它!
手工病毒清除后的系统修复
1、把那些病毒文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com ,然后双击这个COM文件,然后行动可以进入到DOS下的命令提示符。再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格) ftype exefile="%1" %* 这样exe文件就可以运行了。或者用Regfix.exe,sreng.exe等工具修复,将扩展名EXE改成COM,就可打开。
2、开机跳出找不到文件“1.com”
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
3、清除了这个出马出现IE不能下载 请在IE选项 然后安全 然后点默认级别就可以下载了。

常见病毒手工清除方法大集锦(1)_常见病毒

autorun.inf病毒手工删除方法

一、 结束病毒进程
鼠标右键点击“任务栏”,选择“任务管理器”。点击菜单“查看”->“选择列”,在弹出的对话框中选择“PID(进程标识符)”,并点击“确定”。
找到映象名称为“LSASS.exe”,并且用户名不是“SYSTEM”的一项,记住其PID号。
点击“开始”-》“运行”,输入“CMD”,点击“确定”打开命令行控制台。输入“ntsd –c q -p (PID)”,比如我的计算机上就输入“ntsd –c q -p 1464”。
二、 删除病毒文件
打开“我的电脑”,设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件:
C:\Program Files\Common Files\INTEXPLORE.pif、
C:\Program Files\Internet Explorer\INTEXPLORE.com、
C:\WINDOWS\EXERT.exe、
C:\WINDOWS\IO.SYS.BAK、
C:\WINDOWS\LSASS.exe、
C:\WINDOWS\Debug\DebugProgram.exe、
C:\WINDOWS\system32\dxdiag.com、
C:\WINDOWS\system32\MSCONFIG.COM、
C:\WINDOWS\system32\regedit.com
如果硬盘有其他分区,则在其他分区上点击鼠标右键,选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件。

三、删除注册表中的其他垃圾信息
这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。
将Windows目录下的“regedit.exe”改名为“regedit.com”并运行,删除以下项目:
HKEY_CLASSES_ROOT\WindowFiles、
HKEY_CURRENT_USER\Software\VB and VBA Program Settings、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项、
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项。
将HKEY_CLASSES_ROOT\.exe的默认值修改为“exefile”
将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command的默认值修改为“C:\Program Files\Internet Explorer\IEXPLORE.EXE”
将HKEY_CLASSES_ROOT\ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\htmlfile\shell\open\command和HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默认值修改为“IEXPLORE.EXE”。

重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕

NO.5 清除浮动新说

起源:

以下为引用的内容:

.clearfix:after {
visibility: hidden;
display: block;
font-size: 0;
content: " ";
clear: both;
height: 0;
}
.clearfix { display: inline-table; }
/* Hides from IE-mac */
* html .clearfix { height: 1%; }
.clearfix { display: block; }
/* End hide from IE-mac */

说明:

*对大多数符合标准的浏览器应用第一个声明块,目的是创建一个隐形的

内容为空的块来为目标元素清除浮动。

*第二条为clearfix应用 inline-table 显示属性,仅仅针对IE/Mac。

*利用 * / 对 IE/Mac 隐藏一些规则:

* height:1% 用来触发 IE6 下的haslayout。

*重新对 IE/Mac 外的IE应用 block 显示属性。

*最后一行用于结束针对 IE/Mac 的hack。

由于此方法针对的浏览器或成为历史(尤其是Mac下的IE5 ),或正在靠近标准的路上,这个方法就不再那么与时俱进了。

抛掉对 IE/Mac 的支持之后,新的清除浮动方法:

以下为引用的内容:

/* new clearfix */
.clearfix:after {
visibility: hidden;
display: block;
font-size: 0;
content: " ";
clear: both;
height: 0;
}
* html .clearfix             { zoom: 1; } /* IE6 */
*:first-child+html .clearfix { zoom: 1; } /* IE7 */

说明:

IE6 和 IE7 都不支持 :after 这个伪类,因此需要后面两条来触发IE6/7的haslayout,以清除浮动。幸运的是IE8支持 :after 伪类。因此只需要针对IE6/7的hack了。

糖伴西红柿说:

Jeff Starr 在这里针对IE6/7用了两条语句来触发haslayout。我在想作者为什么不直接用 * 来直接对 IE6/7 同时应用 zoom:1 或者直接就写成:

以下为引用的内容:

.clearfix:after {
visibility: hidden;
display: block;
font-size: 0;
content: " ";
clear: both;
height: 0;
}
.clearfix{*zoom:1;}

以我目前的浅薄认知来讲,以上写法应该也可以直接达到同样效果。关于这个地方,在文章的评论里也有些讨论,我希望再听听大家的高见。

我平时都是用 overflow:hidden 来清除浮动的,因为够简单粗暴。但是 overflow 有时候也不太适用:

父级元素使用 overflow:hidden 时,如果其子元素定位到部分或全部在父元素之外,父元素就会对超出其外的子元素部分进行裁剪。

对 css3 来说,也会 overflow:hidden 也会对一些属性产生影响。

例如 box-shadow, 当父元素使用 overflow:hidden 属性时,box-shadow 会被裁剪。

其他可能被影响的元素如 text-shadow 和 transform。可以参考 Andy Ford 的 demo

对于那些不愿意再给标签添加额外的 clearfix 类来清除浮动的人来说,直接将需要清除浮动的元素添加进清除浮动代码块这个组也是一个办法。

以下为引用的内容:

.group:after,
#content:after,
#sidebar:after,
#some .other .thing:after
{
visibility: hidden;
display: block;
font-size: 0;
content: " ";
clear: both;
height: 0;
zoom:1;
}

这种情况下,html 和 css 文件就像一个跷跷板的两头。html 代码倒是整洁了,css 代码却出现了一定的繁冗。而且一旦专题页面过长,或者在项目中使用,用这个清除组的方式反而会不胜其扰。

归结下来,还是得看个人、项目的权衡选择.虽然我一直用简单粗暴的overflow:hidden,但是现在更倾向于使用 clearfix,感觉这种一体化的东西更靠谱,能避免偶尔对 zoom 的遗忘。

成熟的东西稳定性好,但是会比较复杂、厚重;简单的灵活性好,但是过于零散、随意,没有组织性,还没那么稳定.权衡决定到底要使用那种方法,有时候反而比问题本身还让人头疼.

我个人的想法是没有好与坏的区别,只有合适不合适的区别。但是我们一直都受困于所受的教育,什么问题都有标准答案,非对即错,非好即坏。经常可见对一些工具的讨论,都是奔着争出个谁好谁坏而去的,例如 jQuery mootools YUI.相比起到底是好谁坏,我们还是最好赶紧转变思想,摒弃”一刀切”的思想吧。

最后,关于为什么要采用一下这种复杂方式来针对IE6/7,而不采用其他稍微简洁的方式,还希望大家给我指点下迷津。

以下为引用的内容:

* html .clearfix             { zoom: 1; } /* IE6 */
*:first-child+html .clearfix { zoom: 1; } /* IE7 */

Reference:

[1].Jeff Starr,The New Clearfix Method, December 6, 2009

[2].Andy Ford, Saying Goodbye to the overflow: hidden Clearing Hack, December 10th, 2009

原文:

上一篇:寒假学习心得体会|小学生寒假学习心得范文 上一篇:协会各部门工作职责|会展中心部门工作职责
与该文相关的文章

温馨提示:如果您对51阅读吧有任何建议,请通过网站联系邮箱向我们反馈,感谢各位的建议与支持!