| 网站首页 | 业界新闻 | 小组 | 威客 | 人才 | 下载频道 | 博客 | 代码贴 | 在线编程 | 编程论坛
欢迎加入我们,一同切磋技术
用户名:   
 
密 码:  
共有 415 人关注过本帖
标题:怎么删除这样的病毒
只看楼主 加入收藏
键盘
Rank: 1
等 级:新手上路
帖 子:6
专家分:0
注 册:2006-6-11
收藏
 问题点数:0 回复次数:4 
怎么删除这样的病毒
前几天,我的机子中了backdoor病毒。每次开机都会出现,瑞星删了之后又会出现,我想请教各位高手怎样删除这样的病毒。谢谢!
搜索更多相关主题的帖子: 删除 
2006-08-31 22:35
燃燒
Rank: 9Rank: 9Rank: 9
来 自:磁盘驱动器
等 级:贵宾
威 望:56
帖 子:9878
专家分:2
注 册:2006-4-20
收藏
得分:0 
呵呵

恭喜你中了大名顶顶的灰鸽子木马病毒

去找个专杀工具吧!~

Thinking in life, thinking in love, thinking in dream,thinking in you !
月光倾泻,岁月沉沦
[url=http://58189.]http://58189.[/url]
2006-08-31 23:22
foreverlovelj
Rank: 1
等 级:新手上路
帖 子:41
专家分:0
注 册:2006-8-23
收藏
得分:0 

这类病毒一般是以进程的方式运行,这类病毒一般是比较好被发现的。下边先说下这类病毒,是在哪里启动的。
1/注册表 如果发现计算机有不名的进程和异常情况请在注册表内下列地方进行核实找住可以的程序进行删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Explorer/ShellFolders Startup="C:/windows/start menu/programs/startup

2/系统WIN.INI文件内 在win.ini文件中,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动件。也许你会问了我是XP系统啊 怎么没有这个呢?不必担心给你个正确的你参考下就知道有没有可疑程序了。下边就是正常的WIN.INI(XP)
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
CMCDLLNAME32=mapi32.dll
CMCDLLNAME=mapi.dll
CMC=1
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo2
asx=MPEGVideo2
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo2
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo2
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2
wpl=MPEGVideo
3/SYSTEM.INI文件中 在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 又会有人问了 我是XP系统怎么又不一样呢?在给你个正常的XP系统的SYSTEM.INI请大家可以参考下 正常的SYSTEM.INI文件
; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app936.FON
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON
4/在config.sys内 这类加载方式比较少见 ,但是并不是没有,如果上述方法都找不到的话,请来这里也许会有收获的。
5/在autuexec.bat内 这类加载方式也是比较少见,建议跟config.sys方法一样。
4 和5 的加载方式建议大家先必须确定计算机有病毒后在 并且上边的方法都找不到后,最后来这里进行查找。
总结:这类病毒是比较容易暴露的,建议手动删除时最好进入安全模式下,因为安全模式只运行WINDOWS必备的系统进程,EXE型病毒很容易暴露出来的,下边附上一张WINDOWS安全模式的 必须进程表
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) ->netlogon
svchost.exe 包含很多系统服务 !!!->eventsystem,(SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)
explorer.exe 资源管理器 (internat.exe 托盘区的拼音图标)
system
System Idle Process 这个进程是不可以从任务管理器中关掉的。这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器时间
taskmagr.exe 就是任务管理器了

2006-09-01 11:44
feiniao888
Rank: 1
等 级:新手上路
帖 子:61
专家分:0
注 册:2006-4-7
收藏
得分:0 

上雅虎上去下载一个灰鸽子专杀工具应该可以吧

2006-09-01 15:26
tianykun
Rank: 4
等 级:禁止访问
威 望:11
帖 子:3727
专家分:0
注 册:2005-11-13
收藏
得分:0 
以下是引用燃燒在2006-8-31 23:22:00的发言:
呵呵

恭喜你中了大名顶顶的灰鸽子木马病毒

去找个专杀工具吧!~


离开这里,离开你的视野,归隐到属于我的地方,无论何处
2006-09-05 12:56
快速回复:怎么删除这样的病毒
数据加载中...
 
   



关于我们 | 广告合作 | 编程中国 | 清除Cookies | TOP | 手机版

编程中国 版权所有,并保留所有权利。
Powered by Discuz, Processed in 0.017036 second(s), 7 queries.
Copyright©2004-2024, BCCN.NET, All Rights Reserved