文件夹exe病毒的解决办法

文件夹exe病毒的解决办法
文件夹exe病毒的解决办法

文件夹exe病毒的解决办法

最近碰到一种病毒,其实很早就猖獗过,很烦,我也遇上了。它是以"文件名.ex e"的形式出现的,而这种病毒的传播方式主要表现为:打开盘符后,病毒不断同名复制原文件夹,并以".exe"结尾,把原文件隐藏,欺骗用户去点击,从而导致用户重招,并不断复制传播,感染其他文件夹。

重此病毒后文件现状表现如下,大小一般是几十kb到几M那么大,其实伪装的病毒文件和原文件大小也是有差别的,可以通过下面第二张图和第三张图对比一下。

伪装的病毒文件

遇到此病毒不用太慌张,我们先通过如下方式来查看我们的原文件,并尽量先将其作好备分。其实原文件是被篡改属性后被隐藏起来了,通过如下几种方式来查找原文件。

工具→文件夹选项→查看→勾选"显示所有文件和文件夹"→确定,就能查看到了真正被隐藏了的原文件,如下组图所示。

第二种方式是通过命令提示符还原原文件属性,运行"cmd"命令,转至相应盘符,使用"dir /a"命令查看被隐藏文件,并使用"attrib"命令来恢复文件属性,如下组图所示。

进入病毒感染盘符

查看隐藏了的原文件

原文件和伪装的病毒文件对比

使用本命令并加相关参数恢复文件属性,"***"代表要恢复的文件第三种方式可以用一个bat文件来恢复,复制代码到记事本,保存为.bat文件即可,这个bat文件的代码如下。echo.::::::::::::::::::::::::::::::::::::::::::::::::::::::

@echo::正在还原你的文件,请稍侯......

@e c h o::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

FOR %%a IN ( c: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO ATTRIB -H -S %%a\*.* /s /d ATTRIB -H -S "%userprofile%\桌面\*.*" /s /d

ATTRIB -H -S "%userprofile%\My Documents\*.*" /s /d

ping -n 120 localhost

FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO del %%a\看一看.txt

del "%userprofile%\桌面\看一看.txt"

del "%userprofile%\My Documents\看一看.txt"

color 4F

color 0C

color 4F

color 0C

color 4F

color 0C

@echo 文件已还原!

@pause

也可以到这里下载,Exe.bat>>

作了如上操作之后,回到盘符根目录,作好原文件的备份后(当然,这样操作是为了万无一失),可以直接删掉病毒文件,如下图以".exe"结尾的所有感染文件。

通过上面的方法一般可以解决这个问题,如果没有解决的话,请下载"USB Cleaner"专杀,下载地址如下。

USBCleaner>>

ARP病毒彻底清除方法

最近流行的ARP病毒彻底清除方法 1、删除”病毒(一种具有隐蔽性破坏性传染性的恶意代码)组件释放者”程序: “%windows%\System32\LOADHW.EXE”(window xp 系统目录为:“C:\WINDOWS\Syst em32\LOADHW.EXE”) 2、删除”发ARP欺骗包的驱动(驱动程序即添加到操作系统中的一小块代码,其中包含 有关硬件设备的信息)程序” (兼“病毒(一种具有隐蔽性破坏性传染性的恶意代码)守护程序”): “%windows%\System32\drivers\n pf.sys”(window xp 系统目录为:“C:\WINDOWS\Syste m32\drivers\npf.sys”) 2、npf.sys病毒手工清除方法 3、病毒的查杀有很多种方式,下面就让我们来介绍一下手工查杀的方法。 4、npf.sys(%system32/drivers/npf.sys)是该npf病毒主要文件,病毒修改注册表创建系统服务 NPF实现自启动,运行ARP欺骗,在病毒机器伪造MAC地址时,不停地向各个机器发送ARP包堵塞网络,使得传输数据越来越慢,并且通过伪掉线来使用户重新登陆游戏,这样它就可以截取局域所有用户登陆游戏时的信息数据。 5、该病毒往往造成网络堵塞,严重时造成机器蓝屏!!!!。开始杀毒: 6、1.首先删除%system32/drivers/下的npf.sys文件 7、2.进入注册表删除 8、HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Npf服务。 9、同时删除 10、HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/Root/LEGACY-NPF 11、HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Enum/Root/LEGACY-NPF 12、 3.删这两键时,会提示无法删除,便右键,权限,设everyone控制,删除。 13、 14、 a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备” b. 在设备树结构中,打开”非即插即用….” c. 找到“NetGroup Packet Filter Driver”或“NetGroup Packet Filter” ,若没找到,请先刷新设 备列表 d. 右键点击“NetGroup Packet Filter Driver”或“NetGr oup Packet Filter”菜单,并选择”卸 载” e. 重启windows系统 f. 删除“%windows%\System32\drivers\npf.sys”(window xp系统目录为:“C:WINDOWS\ System32\drivers\npf.sys”) 3、删除”命令驱动(驱动程序即添加到操作系统中的一小块代码,其中包含有关硬件设 备的信息)程序发ARP欺骗包的控制者”

手工清理病毒原来可以如此简单

手工清理病毒原来可以如此简单 2007-12-14来源: 进入论坛 编者按:当大家看到这个题目的时候一定会觉得手工杀毒真的很简单吗?笔者写这个文章的目的就是让所有菜鸟在面对病毒的时候能轻而易举的狙杀掉它,而不是重装系统,或者在重装N次系统以后无奈的选择格式化,结果却依然无法将讨厌的病毒驱逐出你可怜的电脑。今天我们以今年泛滥比较严重的病毒之一的“AV终结者”的手工清理方法来像大家讲述如何手工清理这类非感染exe文件类型的病毒(本次讲述的办法在清理完病毒源头以后借助专杀工具依然可以适用于清理感染exe类病毒)。 第一步:知己知彼,百战百胜 要战胜AV终结者,我们先要了解自己的处境和它的特性还有弱点。首先我们来了解下AV终结者的执行以后的特征: 1.在多个文件夹内生成随机文件名的文件 旧版本的AV终结者在任务管理器里可以查看2个随机名的进程,新的变种文件名格式发生变化,目前我遇到过2种。 一种是随机8个字母+数字.exe和随机8个字母+数字.dll;另一种是6个随机字母组成的exe文件和inf文件。不管变种多少它们保存的路径大概都是如下几个: C:\windows C:\windows\help C:\Windows\Temp C:\windows\system32 C:\Windows\System32\drivers C:\Program Files\ C:\Program Files\Common Files\microsoft shared\ C:\Program Files\Common Files\microsoft shared\MSInfo C:\Program Files\Internet Explorer 以及IE缓存等 这个是我个人总结出来的,随着病毒的变种。获取还有其他的。我这里只提供参考。 2.感染磁盘及U盘 当你的系统中了AV终结者,你会发现你的磁盘右键打开时将出现一个”Auto”也就是自动运行的意思,此时你的电脑已经中毒了,而且如果你这个时候企图插入移动硬盘、U盘,或者刻录光盘以保存重要资料,都将被感染。这也就为什么许多用户重装完系统甚至格式化磁盘以后病毒依然的原因。 当你重装完系统,必定会有双击打开硬盘寻找软件或者驱动的时候,这个时候寄生在你磁盘根目录内的Autorun.inf文件就起到让病毒起死回生的功能了。这绝对不是耸人听闻哦! 3.破坏注册表导致无法显示隐藏文件 我们一起来看看磁盘里的Autorun.inf,因为此时你的系统已经无法显示隐藏文件了。这个也是AV终结者的一个特征,所以我们这里用到几条简单的dos命令。 开始菜单-运行-输入“cmd”来到cmd界面,输入“D:” 跳转到D盘根目录,因为AV是不感染C盘根目录的,再输入“dir /a”显示D盘根目录内的所有文件及文件夹。“/a”这个参数就是显示所有文件,包含隐藏文件。如图:

以Safedrvse.exe为例进行蠕虫病毒行为分析与清除

以Safedrvse.exe为例进行蠕虫病毒行为分析与清除 【摘要】蠕虫病毒是目前所有计算机病毒中数量最多、传播最快、危害最大的一种病毒类型。如何有效的进行蠕虫病毒的防范与清除,是目前在计算机信息安全领域面临的一个严峻问题。只有清楚掌握蠕虫病毒在计算机中的运行情况,了解其行为,才能有效的对其进行防范和清除。本文以典型的蠕虫病毒Safedrvse.exe病毒为例说明蠕虫病毒的分析与清除方法。 【关键词】蠕虫病毒;行为分析;病毒防治 1.Safedrvse.exe病毒行为分析 1.1 Safedrvse.exe病毒简介 Safedrvse.exe病毒目前大范围感染高校内的计算机,使得计算机无法正常的使用。Safedrvse.exe病毒还会自动搜索和关闭杀毒软件,被长时间深度感染的计算机中的应用程序往往都会被破坏掉,使得计算机几乎无法正常使用。 1.2病毒行为分析 在虚拟机系统中,通过filemon监控工具、HA_ProcessExplorer进程分析工具和icesword病毒分析工具对病毒行为进行分析。 开启filemon后运行病毒程序,filemon会记录病毒的运行情况。 (1)找到病毒副本 Safedrvse.exe病毒在系统中的C:\Program Files\Common Files目录下创建了病毒文件的副本如图1所示。打开相应的文件夹可以验证病毒副本的存在如图2所示。并且病毒还会在系统中所有盘符的根目录中生成病毒副本。 图1 病毒在系统中创建副本 图2在系统中的病毒副本 (2)找到病毒进程 进程的判定对于病毒的分析非常重要。由于Safedrvse.exe病毒将自己在系统中的进程注入到svchost.exe 进程中,使得病毒本身具有较强的隐蔽性和迷惑性。在filemon的记录中可以看到svchost.exe 进程与病毒文件之间的关系,从而可以初步断定编号为2504的进程是病毒进程。 图3 病毒进程读写病毒文件 在HA_ProcessExplorer工具中可以看到,其中进程号为2504的svchost.exe 进程与系统中其它svchost.exe进程不同,它是explorer.exe的子进程,说明它是用户进程而不是系统进程。 图4编号为2504的svchost.exe进程是explorer.exe的子进程 打开资源管理器同样可以看到只有一个svchost.exe进程是用户进程如图5所示。 图5 svchost.exe进程是用户进程 (3)找到病毒启动项 蠕虫病毒通常会加载到注册表的自启动项中。通过查找可以发现在注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Safedrvse.exe中存在病毒启动项。 2. Safedrvse.exe病毒手工清除 在掌握Safedrvse.exe病毒的关键行为之后可以对其进行手工清除。 (1)找到并关闭病毒进程svchost.exe。

常见木马病毒清除的方法

常见木马病毒清除的方法 来源:互联网 | 2009年09月23日 | [字体:小大] | 网站首页 由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。 “木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan 木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表 “HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。 当然在注册表中还有很多地方都可以隐藏“木马”程序, 如:“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能,最好的办法就是在

恶意插件务必清除,介绍几种手工清除方法

20种恶意插件手工清除方法 如今,恶意软件及插件已经成为一种新的网络问题,恶意插件及软件的整体表现为清除困难,强制安装,甚至干拢安全软件的运行。下面的文章中就给大家讲一部份恶意插件的手工清除方法,恶意插件实在太多,无法做到一一讲解,希望下面的这些方法能为中了恶意插件的网友提供一定的帮助。 1、恶意插件Safobj 相关介绍: 捆绑安装,系统速度变慢,没有卸载项/无法卸载,强制安装,干扰其它软件正常运行, 清除方法: 重新注册IE项,修复IE注册。从开始->运行 输入命令 regsvr32 actxprxy.dll 确定 输入命令 regsvr32 shdocvw.dll 确定 重新启动,下载反间谍专家查有没有ADWARE,spyware,木马等并用其IE修复功能修复IE和注册表,用流氓软件杀手或微软恶意软件清除工具清除一些难卸载的网站插件。 到https://www.360docs.net/doc/ef14599602.html,下载KillBox.exe。在C:\Program Files\Internet Explorer\目录下,把LIB 目录或Supdate.log删除。 跳窗网页可能保留在HOSTS,一经上网就先触发该网址为默认,就会自动打开,检查HOSTS: 用记事本在C:\WINDOWS\system32\drivers\etc\目录下打开HOSTS 在里面检查有没有网址,有则删除。 或在前面加 127.0.0.1 保存后屏蔽掉。 如果是弹出的信使: 从开始->运行,输入命令: net stop msg net stop alert 即终止信使服务。 2、恶意插件MMSAssist 相关介绍: 这其实是一款非常简便易用的彩信发送工具,但它却属于流氓软件!并采用了类似于木马的Hook(钩子)技术,常规的方法也很难删除它,而且很占用系统的资源。 清除方法: 方法一:它安装目录里第一个文件夹有个.ini文件,它自动从 https://www.360docs.net/doc/ef14599602.html,/updmms/mmsass.cab下载插件包,包里有albus.dll文件,UPX 0.80 - 1.24的壳,脱掉用16位进制软件打开发现这个垃圾插件利用HOOK技术插入到explorer和iexplore中,开机就在后台自动运行。 安全模式下,右键点击我的电脑-管理-服务-禁用jmediaservice服务,删除C:\windows\system32下的Albus.DAT,删除C:\WINDOWS\SYSTEM32\DRIVERS下的Albus.SYS,删除彩信通的安装文件夹,开始-运行-regedit-查找所有MMSAssist并删除,如果怕注册表还有彩信通的垃圾存在,下载个超级兔子扫描下注册表再一一删除,你也可以试试超级兔子的超级卸载功能。 要阻止它再次安装,也很简单。彻底删除它之后,你在它原来的位置新建一个与它同名的文件夹,

U盘中exe文件夹病毒怎么办

U盘中exe文件夹病毒怎么办 当你使用U盘时发现你的U盘下面文件夹的后缀名都变成了.EXE,那恭喜你,你的U盘中了文件夹.EXE 病毒。 这个毒虽然是小毒,但是通常的杀毒软件和safe360都杀不掉,怎么办。如果不清除这个病毒,当你点了中病毒的文件夹,又会感染其他的电脑。后来我问了朋友U盘中了文件夹.exe病毒应该用什么杀毒软件,朋友说那些文印店、照相馆他们都用文件夹.exe专杀-U盘杀毒专家。 于是我下载了U盘杀毒专家USBkiller,并小小研究了一下,下面我展示一下我的研究成果,如何用U盘杀毒清除文件夹.exe病毒。 怎样使用U盘杀毒专家(USBKiller)清除电脑中的文件夹.exe病毒呢?请参照以下步骤操作: 1. 首先确保您已经正确安装了正版的U盘杀毒专家(USBKiller),有关该下载过程,可以参考以下教程:查看如何安装U盘杀毒专家单机版 2. 将U盘等可移动存储器插入USB接口,双击打开U盘杀毒专家(USBKiller),此时会出现如下界面:

3. 选择需要扫描的对象,然后点击“开始扫描”: U盘杀毒专家(USBkiller)开始对您的电脑进行查杀病毒,等待片刻,您就可以清除病毒。 4. 扫描结束,会在任务栏里面列出查杀到的文件夹.exe病毒,并且会列出处理的结果。 5. 此时,查杀到的文件夹.EXE病毒已经完全被杀掉了,再次打开U盘,我们可以正常打开文件夹,而且清楚的看到我们的磁盘上的文件夹后面的.exe后缀名都已经消失了。 利用U盘杀毒专家(USBKiller)这个文件夹.exe病毒专杀,我们可以轻松的将U盘中的文件夹.exe病毒进行剿灭。 到这里了解更多关于U盘杀毒专家(USBKiller)的信息: https://www.360docs.net/doc/ef14599602.html,

手工清除ms-dos。com病毒的方法

手工清除https://www.360docs.net/doc/ef14599602.html,病毒的方法 中毒现象:每隔30秒飞出一个飘动的图片,写着“your computer is being attacked”(您的计算机受到攻击),还不停地发出噔噔的声音。有时开机有一个进程借“regedit.exe"(注册表编辑器)发作,跳出一个象枫叶样的窗口在屏幕上晃来晃去。不能切换中英文输入,输入法失效和优盘文件夹丢失。查看各盘符根目录下有https://www.360docs.net/doc/ef14599602.html, 文件;查看进程有:Global.exe、keyboard、fonts.exe等进程,即可确定电脑已被此病毒感染。由于其他盘上还有病毒(如优盘上的220K病毒文件),即使格式化C盘,重装系统,稍不留意仍然会死灰复燃,前功尽弃。我单位最近因为此病毒大面积泛滥造成人人自危,由于没有专杀软件,防毒、杀毒苦不堪言,严重影响正常工作。 杀毒需要的文件: 一共有四个文件:sreng-2,冰刃IceSword122cn ,yereg-rd.bat ,yereg-rd.bat。 第一步运行“冰刃IceSword122cn”,中止该死的进程。 第二步运行“yereg-rd.bat”,删除所有病毒文件,建立免疫文件夹。

第三步运行“sreng-2”,修复注册表编辑器的关联。打开sreng-2(可能有已经过期的提示,不要紧,把系统日期修改成2007年照样可用),别的都不用做,只把“系统修复--文件关联”做一下就可以了。重复点几下,当发现 .reg 的关联变成“regedit.exe”就正常了(如果第一步没有中止进程,这里也不可能恢复)。 第四步运行“killms.reg”,导入注册表,清除注册表启动项和清除映像劫持项以及清除一些病毒残留。 总结一下几个关键点:必须先中止进程,否则根本没办法继续往下做第二步;然后是修复regedit注册表编辑器的关联,这是为做第四步创造前提条件。环环相扣,不能省略也不能提前做。 具体的杀毒方法和原理分析 关键字:global.exe、fonts.exe、keyboard.exe、https://www.360docs.net/doc/ef14599602.html,、tskmgr.exe、remoteabc.exe、autorun.inf、输入法丢失、找回输入法、220K文件夹、映像劫持、regedit 关联、病毒防御、病毒免疫。

清理病毒的终极方法

清理病毒的终极方法 【摘要】计算机病毒的泛滥与层出不穷,往往使普通用户深受其害,有时候更是束手无策,也使学生如临深渊,教材中也缺少系统的解决方案。寻找反击病毒的通用方法,尽最大可能恢复系统的正常,使普通用户也能在危机的时候凭最基本的操作能自己处理此类问题,为病毒防杀软件提供纯净平台。 【关键词】病毒可疑进程 DOS 运行权 PE系统釜底抽薪备份忠告 你已经明显的感觉到你的系统出现了问题,比如打开程序缓慢,移动鼠标困难,浏览网页不顺畅,莫明其妙的跳出些窗口,正常的程序不能运行,硬盘上出现了一些你不清楚的文件与目录,但是你却束手无策,因为你的杀毒软件已经不能正常运行,你的各种流氓软件清理工具也已经失灵,甚至你想登录到一些病毒防杀治理的网站都不可能。这个时候的病毒已经一手遮天,对它产生“危害”的程序及操作它都要想方设法阻止,它在大模大样的狞笑,怎么办?去找“高人”吗,好象也可以,但恰巧“高人”有事去了,你却心急如焚;去重装系统吗,好像绝大部分人不想这么做,恐怕你也不想这么做。怎么办?自己办! 一点预备知识。病毒本质上也是一个计算机程序,它再厉害还不能达到你对它不能进行任何操作的程度,脱离了系统环境,它的一切功能就将消失,随你来“修理”它。得不到系统的支持它没有任何威胁,只要我们不让它运行,就为我们来清理它创造了有利的条件。 病毒要挟持系统,无外乎是在杀毒软件及流氓软件清理工具掌管系统之前优先占领系统,在系统的制高点上来狙击对它自身产生“危害”的程序及操作,从而获得系统至高无上的权利,使自己随时处于保护与传播及破坏的状态。要想抢先运行,无外乎依赖系统提供的方式,都要在系统启动的时候加载自己,尽可能的利用系统存在的漏洞,既要保证系统工作又要使自己隐身其中,都要在内存及系统的关键位置留下蛛丝马迹,这就为我们消灭它提供了线索。摧毁其“政权”,支解它的体系,反其道而行之就是我们来发现它、战胜它的途径。下面我们就来见招拆招,练就清理病毒的终极方法。

常见病毒手动查杀

常见病毒手动查杀 计算机现在已经成为我们日常生活的不可或缺的一部分,但同时计算机病毒的泛滥也给我们的生活带来了不可估量的损失 和影响。如果计算机中了病毒,但没有联网或者杀毒软件失效时,我们该怎么应对呢,我们可以先尝试手动处理清除这些病毒,实在不行就只能重装系统了。这里我们简要介绍一下常见病毒的症状和清除方法。 本文主要介绍以下几种常见病毒的清除,其他的额可以举一反三:I-WORM/Badtrans.b病毒的清除、恶性蠕虫病毒 “I-Worm.Aliz”清除、Nimda.e病毒、I-WORM/Badtrans.b,病毒的清除、清除Sircam蠕虫病毒、清除“快乐时光”病毒、清除圣诞节病毒的方法、Win32/MTX.A.Worm病毒的清除方法、如何自行将MSIE.HTA(网路害虫)清除。 具体内容: 手工删除BackOrifice2000的方法: 首先用最新DOS版的杀毒软件开机杀毒,然后将邮箱中的带毒邮件一一删除,否则又会重复感染,该病毒传播能力极强,必须加强防范,为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。 恶性蠕虫病毒“I-Worm.Aliz” 又出现Nimda.e病毒,再次更新详细解毒方案

清除方法: 1.使用干净DOS软盘启动机器。 2.执行vrvdos,查杀所有硬盘。 3.在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。 4.开启实时监测病毒防火墙。 5.为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。 6.WINDOWS2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。 7.如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区。 8.下载补丁。 9.病毒被清除后,在windows的system目录下的文件riched20.dll将被删除,请从WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件,否则的话,写字板和OFFICE,WORD等程序将不能正常运行。在WINDOWS98系统下的该文件大小是:431376字节。或重装office。 Nimda病毒解决方案

手工清除木马的几种方法

系统安全:剿清删不掉的DLL木马 DLL注入木马是目前网络上十分流行的木马形式,它就像是一个寄生虫,木马以DLL文件的形式,寄宿在某个重要的系统进程中,通过宿主来调用DLL文件,实现远程控制的功能。这样的木马嵌入到系统进程中可以穿越防火墙,更让人头疼的是,用杀毒软件进行查杀,杀软即使报警提示发现病毒,但是也无法杀掉木马病毒文件,因为木马DLL文件正被宿主调用而无法删除。下面我们把杀软放到一边,通过专用工具及其手工的方法来清除DLL木马。 一、清除思路 1、通过系统工具及其第三方工具找到木马的宿主进程,然后定位到木马DLL文件。 2、结束被木马注入的进程。 3、删除木马文件。 4、注册表相关项的清除。 二、清除方法 1、普通进程DLL注入木马的清除 有许多DLL木马是注入到“iexplore.exe”和“explorer.exe”这两个进程中的,对于注入这类普通进程的DLL木马是很好清除掉的。 如果DLL文件是注入到“iexplore.exe”进程中,此进程就是IE浏览进程,那么可以关掉所有IE窗口和相关程序,然后直接找到DLL文件进行删除就可以了。如果是注入到“explorer.exe”进程中,那么就略显麻烦一些,因为此进程是用于显示桌面和资源管理器的。当通过任务管理器结束掉“explorer.exe”进程时,桌面无法看到,此时桌面上所有图标消失掉,“我的电脑”、“网上邻居”等所有图标都不见了,也无法打开资源管理器找到木马文件进行删除了。怎么办呢? 这时候可以在任务管理器中点击菜单“文件”→“新任务运行”,打开创建新任务对话框,点击“浏览”挖通过浏览对话框就可以打开DLL文件所在的路径。然后选择“文件类型”为“所有文件”,即可显示并删除DLL了。(图1)

病毒的手工清除方法

清除方法 cmd.exe病毒进程清除方法 第一种情况 开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU。关闭cmd.exe 后,CPU实用率恢复正常。但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。 1.装了ewido 查杀木马,查出了几个感染目标,已删除。但是今天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。 2.再装“木马清除专家2006”,查杀,结果没有发现木马。 3.查system 32 中的CMD.EXE 大小,结果如下:CMD.EXE 大小:459 KB (470,016 字节) 占用空间:460 KB (471,040 字节) 应该没有异常。 解决方法 如果出现这种情况,很不幸,你99%是中了木马了。不过不妨继续验证一下,假定你的windows安装盘位于C:\,并且需要你在文件查看选项中打开查看隐藏文件的选项和显示所有文件扩展名的选项,则查看你的c:\Program Files\Internet Explorer\PLUGINS\目录,应该会发现有new123.bak和new123.sys两个文件;查看你的C:\Documents and Settings\Administrator\Local Settings\Temp\目录,应该会发现有MicroSoft.bat这个文件;你可以用记事本打开MicroSoft.bat文件,发现其中提到一个exe文件(具体名称会有不同),你也会在该目录下发现这个exe文件;如果以上两步你并未发现相应文件,请将你的文件查看改为不隐藏已知文件后缀,并在系统盘内进行文件搜索,确认是否的确没有相关的文件。 编辑本段木马描述 该木马主要是因为用户安装了嵌入木马程序的安装程序所致,这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序(比如qq的一些版本等)。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件,所以才出现“症状描述”中所描述的情况。该木马的母体就是new123.sys,属于Trojan-PSW.Win32.Delf.mc,可能会偷取你的一些应用的帐号和密码。 编辑本段木马清除 该木马可以很方便的手工清除,过程如下:打开“任务管理器”,在“进程”中结束cmd.exe的运行,此时CPU占用率会明显下降;进入C:\Documents and Settings\Administrator\Local Settings\Temp\目录,删除MicroSoft.bat这个文件中所提到的exe 文件和该bat文件;(这一步不做也没有问题,但最好清除掉)进入c:\Program Files\Internet Explorer\PLUGINS\目录,删除new123.bak文件,但此时你无法删除new123.sys 文件,因为系统正在使用,你有两种方式处理new123.sys文件:重启机器并进入安全模式对new123.sys进行删除;当前状态虽无法删除该文件,但可更改new123.sys的文件名为new123.sysdel,并且重启机器(无需进入安全模式)后,再把new123.sysdel进行删除。处理完后,如果“症状描述”中的情况消失,则说明清除成功。

文件夹exe病毒

文件夹exe病毒 人们经常会使用手机内存卡连接到电脑下载MP3和电影,这样手机就可以听歌和看电影。这时候手机内存卡的作用就像U盘。不过当我们使用手机内存卡时,打不开文件夹,发现文件夹后缀名是.EXE。这个就中了文件.EXE病毒。 这时该如何处理,处理一共有两种方法: 1.用杀毒软件自动处理 2.手动处理。 我建议大家用杀毒软件自动处理,因为用杀毒软件比较快,也很方便。手动处理比较繁杂,需要的时间也比较多。 下面我教大家如何用文件夹.exe病毒专杀工具-U盘杀毒专家清除文件.EXE病毒。 1. 首先确保您的个人电脑已经正确安装了正版的U盘杀毒专家(USBKiller),您可以免费下载这款文件夹.exe病毒专杀工具:https://www.360docs.net/doc/ef14599602.html, 2. 把中了文件夹.EXE病毒的U盘插入USB接口,打开U盘杀毒专家(USBKiller),此时U盘杀毒专家会出现如下界面:

3. 选择需要扫描的设备。一共包括本地磁盘或者内存或者移动磁盘,然后点击“开始扫描”: U盘杀毒专家(USBkiller)开始对您的电脑进行全盘查杀病毒,等待一会,就可以对病毒进行强烈清除。 4. 扫描结束,会在任务栏里面展示出刚刚查杀到的文件夹.exe病毒,并且告诉你处理的结果 5.杀完毒以后还要修复文件夹的被隐藏属性,首先在主界面用鼠标左键单击“修复系统”,然后再单击“全选”,最后单击按钮开“开始修复”就能还原原来的文件夹属性。 利用U盘杀毒专家(USBKiller)这个文件夹.exe病毒专杀强大的清除病毒能力,我们将不必在为文件夹.EXE 病毒烦恼。 到这里了解更多关于U盘杀毒专家(USBKiller)的信息: https://www.360docs.net/doc/ef14599602.html,

如何清除常见病毒

12.2 清除病毒 1.如何清除7939上网导航病毒 【清除方法】清除该病毒的方法如下。 01在任务管理器中找到名为“Realplayer.exe”和“Explorer.exe”的进程,将这两个进程结束。 02“Explore.exe”进程被结束后将会看不到桌面图标和任务栏,这时可按住【Ctrl+Alt+ Del】键,启动任务管理器,选择“文件”>“新建任务”,输入“explorer.exe”,单击“确定”重新显示桌面图标和任务栏。 03在“文件夹选项”对话框的“查看”选项卡中取消选择“隐藏已知类型文件的扩展名”复选框。 04打开“系统盘:\Windows\System32”文件夹,找到“realplayer.exe”、“brlm on.dll”(部分变种dll文件的名称为ravmon.dll)两个文件,并将其删除即可。 2.如何清除西伯利亚渔夫病毒 【病毒简介】感染该病毒后,“自动获取DNS服务器”设置被锁定为指定的IP,并且该设置在清除病毒前不可修改,如图12-1所示。 图12-1 被修改的DNS设置 【清除方法】清除该病毒的方法如下。 01使用冰刃文件管理器找到“系统盘:\Windows\system32”中的文件“kd*.exe”(*为通配符),删除。注意:利用Windows的资源管理器将无法看到这些隐藏的病毒文件。 02使用冰刃内置的注册表编辑器,找到HKLM\Software\Microsoft\Windows NT\Curre ntVersion\Winlogon system子键,以及HKLM\Software\Microsoft\Windows\Curr entVersion run子键,然后分别删除这两个子健中病毒相关的键值项,将其删除。最后重启电脑即可。 3.如何清除HBKernel32类似病毒 【病毒简介】感染该病毒后,任务管理器中出现system.exe、explore.exe具有欺骗性的进程。服务里面会创建HBKernel32.sys、HBKernel.sys等服务,同时也会更改rpcss.dll,导致网络访问故障。具体表现症状如下。

EXE病毒解决办法

有一种U盘病毒感染计算机后,并不是破坏性地全盘感染应用程序,而是使文件夹全部变成“.exe”可执行程序,这就是“文件夹.EXE”病毒! 『“文件夹.EXE”』 病毒名称:“文件夹.EXE”病毒; 病毒别称:Worm.Win32.AutoRun.soq; 病毒类型:蠕虫; 病毒长度:1,415,094 字节; 病毒MD5:afb08df3fef57788d839bc02f14b2159 危害等级:★★★ 感染系统:Windows 系统。 开发工具:《E语言》 “文件夹.EXE”病毒行为分析: “文件夹.EXE”病毒主要通过可移动磁盘传播。就拿U盘为例,一个干净的U 盘或者未感染的U盘插入已被“文件夹.EXE”病毒感染的计算机主机USB接口上以后,病毒会在U盘根目录下生成病毒脚本安装文件“autorun.inf”和伪装文件夹的病毒程序“Recycle.exe”、“.exe”、“.exe”、“.exe”。 很显然,“文件夹.EXE”的传播程序“Recycle.exe”的文件名称是在模仿回收站的文件夹“Recycler”,两者名称上就相差一个字母“r”。回收站的文件夹“RECYCLER”只有在NTFS格式文件系统的磁盘分区根目录下才会出现,该文件夹内存储着各个用户的回收站。 如图,这是打开“文件夹.EXE”的配置文件“autorun.inf”显示的文件命令,意思是访问该驱动器磁盘分区后自动执行病毒程序“Recycle.exe”,也就是说“Recycle.exe”是“文件夹.EXE”的病毒样本。 被“文件夹.EXE”病毒感染的U盘再插入到正常的计算机主机USB接口上以后,只要受害者一打开访问U盘,便会感染到计算机上。由于该病毒变种较多,所以绕过了许多杀毒软件的眼睛。 首先会获取要感染计算机的用户临时文件目录,获取后会在这个用户的临时文件夹“C:\Documents and Settings\Administrator(受害者的用户名)\Local Settings\Temp”目录下创建一个名称为“E_N4”的文件夹,并在其目录下释放9个病毒组件,分别是“cnvpe.fne”、“dp1.fne”、“eAPI.fne”、“HtmlView.fne”、“internet.fne”、“krnln.fnr”、“shell.fne”、“spec.fne”,这些扩展名为“.fne”文件均为“只读”、“系统”和“隐藏”的文件属性。 文件夹“E_N4”是“E语言(即“易语言”)”程序运行时才会产生的临时文件夹,而后缀名为“.fne”的程序是“E语言”的支持库文件,不过是已经编译好的,也就是改了扩展名以后的动态链接库文件“.dll”,由此可以证明“文件夹.EXE”病毒是使用《易语言》编写的。 然后会获取要感染计算机的系统目录,获取后会在“C:\WINDOWS\system32”系统目录下创建一个6位随机数字、字母组成的文件夹,文件夹的属性是“只读”、“系统”和“隐藏”的文件属性,本次测试病毒创建的文件夹名称是“5A8DCC”。病毒成功创建文件夹“5A8DCC”之后,将释放在“C:\Documents and Settings\Administrator(受害者的用户名)\Local Settings\Temp\E_N4”临时文件夹目录下的9个病毒组件复制到“C:\WINDOWS\system32\5A8DCC”目录下。

常见病毒手工清除方法

手工清除“恶邮差”(Supnot)蠕虫病毒 1.使用资源管理器查看进程,注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒(或由病毒生成的后门软件),甚至其它的一切不常见的进程都有可能是,如果不能确定,找一台服务器上的进程来观察(服务器应该不会被感染)。 2.将病毒程序(后门)的进程结束掉,对于不能结束的,可以使用附件中的pskill.exe结束掉(命令格式“pskill 进程名”)。 3.打开“服务”,在服务列表中将没有“描述”服务进行筛选,查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务,依次删掉注册表中的[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BRWWTELK] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prom0n.exe] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Extension] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window Remote Service] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run(RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(RunService s] ……的相关的健值(还有WinVNC的进程,没有记住是什么健值) 4.删掉 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg] [HKEY_CLASSES_ROOT\Applications\winrpc.exe]的健值, 5. 并修改[HKEY_CLASSES_ROOT\txtfile\shell\open\command]的右侧的默认健值 为” %SystemRoot%\system32\NOTEPAD.EXE %1”,此时,.txt的文件无法正常打开,可以点击文本文件的右键选择其它方式,选择使用Notepad即可。 6.删掉系统system32目录下的以下程序(大部分可执行程序的大小都为78,848字节):winrpcsrv.exe 、winrpc.exe 、wingate.exe 、syshelp.exe 、rpcsrv.exe 、iexplore.exe 、prom0n.exe(注意中间的是数字0)、irftpd.exe 、irftpd.dll 、iexplore.exe 、reg.dll 、task.dll 、ily.dll 、Thdstat.exe 、1.dll 、winvnc.exe 7. 清空“C:\Documents and Settings\Default User(或Default Uesr..WINNT)\Local Settings\Temporary Internet Files\Content.IE5”目录下除了“desktop.ini”的所有文件,该路径下,发现有一些后门软件。 8.关闭所有目录的完全共享!――这是关闭了该程序还可以通过网络感染的途径。 9. 重新启动计算机,观察是否还有类似进程出现,尤其是irftpd.exe,这个程序是由上述第3步的“服务”程序自动生成的。由于该蠕虫先后出现多个变种,建议使用专杀工具来查杀。

文件夹EXE病毒

文件夹EXE病毒 同名文件夹EXE病毒: 木马名称:Worm.Win32.AutoRun.soq 当你把你的U盘插入到一台电脑后,突然发现U盘内生成了以文件夹名字命名的文件,扩展名为exe,更要命的是它们的图标跟文件夹是一样的,很具有迷惑性。相信很多人见到过这种情况,我已经在百度知道上回答了同一个问题N次了,但是还是有人会中奖,所以在这里建立一个百科,希望对大家有用。 一、病毒原理及相关分析 一台电脑中毒后,电脑里面会有一个XP-****.exe(其中*** *是一个大写字母与数字混合,如XP-02B94AC1.exe)的类似X P补丁的进程以及D7F45.exe的类似进程,同时建立D7F45.ex e及一个文件夹的几个启动项,当你插入U盘后,它会把原文件夹隐身,同时建立同名的EXE文件夹,例如软件.exe 这样的病毒文件夹,文件夹大小为1.44M,不知道的人双击就会中毒。 病毒名称:Worm.Win32.AutoRun.soq 病毒类型:蠕虫类 危害级别:3 感染平台:Windows 病毒行为: 1、病毒运行后会释放以下文件:com.run dp1.fne eAPI.f ne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.f

ne ul.dll XP-290F2C69.EXE(后8位随机)(其中com.run d p1.fne eAPI.fne internet.fne krnln.fnr RegEx.fnr fne spec.fn e 等并非病毒文件,而是汉语编程易语言的支持库文件)到系统盘的\WINDOWS\system32里面 2、新增以下注册表项,已达到病毒随系统启动而自启动的目的。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion\Run 注册表值:XP-290F2C69(后8位随机) 类型:REG_SZ 值:C:\WINDOWS\system32\XP-290F2C69.EXE(后8位随机) 3、添加以下启动项,实现病毒自启动: “C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“.lnk”指向病毒文件。 4、下载病毒文件:hxxp://https://www.360docs.net/doc/ef14599602.html,/v.gif(16,896 字节)保存为以下文件,并且运行它们: %Windir%\System32\winvcreg.exe %Windir%\System32\2080.EXE (名称随机) 5、被感染的电脑接入移动磁盘后,病毒会遍历移动磁盘根目录下的文件夹,衍生自身到移动磁盘根目录下,更名为检测到的文件夹名称,修改原文件夹属性为隐藏,使用户在其他计算机

手动杀除病毒方法

病毒种类很多现在给大家介绍下常见类型的手工清除方法 一EXE后缀型病毒文件 这类病毒一般是以进程的方式运行,这类病毒一般是比较好被发现的。下边先说下这类病毒,是在哪里启动的。 1/注册表如果发现计算机有不名的进程和异常情况请在注册表内下列地方进行核实找住可以的程序进行删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServicesOnce HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER \Software \Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\Run HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion Explorer/ShellFolders Startup="C:/windows/start menu/programs/startup 2/系统WIN.INI文件内在win.ini文件中,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动件。也许你会问了我是XP系统啊怎么没有这个呢?不必担心给你个正确的你参考下就知道有没有可疑程序了。下边就是正常的WIN.INI(XP) ; for 16-bit app support [fonts] [extensions] [mci extensions] [files] [Mail] MAPI=1 CMCDLLNAME32=mapi32.dll CMCDLLNAME=mapi.dll

相关文档
最新文档