ITPub博客

首页 > Linux操作系统 > Linux操作系统 > 手把手教你如何删除病毒木马(转)

手把手教你如何删除病毒木马(转)

原创 Linux操作系统 作者:jcszjswkzhou 时间:2019-06-05 13:15:07 0 删除 编辑
手把手教你如何删除病毒木马


时下,病毒、木马可谓越来越多,而且经常造访我们的“爱机”,给工作带到来极大的不便!如此之多的病毒、木马,若要都用杀毒软件来杀的话,并非确保全盘杀掉,况且有的病毒出现快,杀毒软件还未来得及更新病毒库就已侵袭了我们的电脑,在这种情况下,如何是好呢?是否一筹莫展呢?非也,您不妨按照如下步骤自已动手进行删除。
??
??1、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。
??
??2、删除上述可疑键在硬盘中的执行文件。
??
??3、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
??
??4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USERSOFTWAREMicrosoft??Internet ExplorerMain中的几项(如Local Page),如果被修改了,改回来就可以。
??
??5、检查HKEY_CLASSES_ROOTinifileshellopencommand和??HKEY_CLASSES_ROOT xtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt,.ini等的默认打开程序让病毒“长生不老,永杀不尽”的。
??
??6、如果有可能,对病毒的母文件进行反汇编,比如我上次中的那个病毒,通过用IDA反汇编,发现它还偷窃系统密码并建立 %systemroot%systemmapis32a.dll 文件把密码送到一个邮箱中,由于我用的是W2K,所以它当然没有得手。
??
  至此,病毒完全删除! 笔者建议有能力的话,时刻注意系统的变化,奇怪端口、可疑进程等等。 现在的病毒都不象以前那样对系统数据破坏很严重,也好发现的多,所以尽量自己杀毒(较简单的病毒、木马)。


最近几种木马病毒杀除方法

pwsteal.lemir.gen norton提示文件名是lsas.bmp

WINDOWS下的传奇木马程序。请以瑞星杀毒软件最新版在安全模式下扫描全盘并杀毒即可解决。注意将系统打上补丁,上线时开启反病毒实时监控并拒绝使用非法外挂。如无法杀除又要求解压缩之类的提示,记录下其文件名、位置后在安全模式下强制删除。使用WINDOWS UPDATE将您的系统该打的补丁全部打全。IE安全属性的疾病调节高一些,在弹出ACTIVEX控件插件的脚本对话框的时候看清楚是否合法(如WINDOWS UPDATE、Macromedia的FLASH播放插件为合法;藏鲸阁等为非法)
Keylogger.Trojan的病毒

WINDOWS下的键盘记录木马程序。请以瑞星杀毒软件最新版在安全模式下扫描全盘并杀毒即可解决。注意将系统打上补丁,上线时开启反病毒实时监控。如无法杀除又要求解压缩之类的提示,记录下其文件名、位置后在安全模式下强制删除。使用WINDOWS UPDATE将您的系统该打的补丁全部打全。IE安全属性的疾病调节高一些,在弹出ACTIVEX控件插件的脚本对话框的时候看清楚是否合法(如WINDOWS UPDATE、Macromedia的FLASH播放插件为合法;藏鲸阁等为非法)
win32.spybot.worm

WINDOWS下的木马程序。
http://download.microsoft.com/do ... ws-KB833330-CHS.exe。先下载KB833330,断开网络,重启到安全模式下使用瑞星杀毒软件在安全模式下扫描全盘并杀毒即可解决。注意使用WINDOWS UPDATE将您的系统该打的补丁全部打全。IE安全属性的疾病调节高一些,上线时开启反病毒实时监控。

Win32/IRCBot.worm.60416.D

Win32/ForBot.worm.90112

Win32/IRCBot.worm.94208.N
三种木马

WINDOWS下的木马程序。
http://download.microsoft.com/do ... ws-KB833330-CHS.exe。先下载KB833330,断开网络,重启到安全模式下使用瑞星杀毒软件在安全模式下扫描全盘并杀毒即可解决。注意使用WINDOWS UPDATE将您的系统该打的补丁全部打全。IE安全属性的疾病调节高一些,上线时开启反病毒实时监控。

BackDoor.Rbot.jx的病毒

WINDOWS下的木马程序。
http://download.microsoft.com/do ... ws-KB833330-CHS.exe。先下载KB833330,断开网络,重启到安全模式下使用瑞星杀毒软件在安全模式下扫描全盘并杀毒即可解决。注意使用WINDOWS UPDATE将您的系统该打的补丁全部打全。IE安全属性的疾病调节高一些,上线时开启反病毒实时监控。

Backdoor.SdBot.adt杀毒方法以及其他变异病毒的杀毒方法

1.Backdoor.SdBot.adt
破坏方法:SDBot的变种,破坏行为如下

一、IRC(Internet Relay Chat)连接。

试图通过"verona.no-ip.org "的TCP 9000 端口建立通讯。

二、文件和注册表

1. 复制自己到系统目录,命名为“msupdate.exe”。

2. 在下列键添加启动项“Microsoft Update Machine”使病毒随Windows的启动而自动运行。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversion
Run
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversion
RunServices

三、建立通讯后,接收远程控制命令。

1. 偷用户正版游戏的序列号。

Command & Conquer Generals 、
FIFA 2003 、NFSHP2 、SOF2 、
Soldier of Fortune II - Double Helix
Battlefield 1942
Project IGI 2 、Unreal Tournament 2003
Half-Life


2. 猜测局域网内其他机器的ipc连接密码。一旦成功连接,把病毒复制过去,并运行起来,进行新的破坏。
病毒带有一个密码字典,包含一百多个数字、字母、词汇的简单组合。建议用户一定使用复杂的密码。
3. 记录键盘输入,保存到系统目录的“keylog.txt”。通过这种方式可以获得用户的各种密码(Windows登陆、邮箱、论坛、游戏、网络支付等等)。
4. 发动SYN 攻击,造成指定机器拒绝服务。
5. 下载文件并运行。往往用作传递新的远程控制程序,进行直接控制。
6. 终止系统的进程和线程。
2.Backdoor.SdBot.adw
破坏方法:SDBot的变种,破坏行为如下

一、IRC(Internet Relay Chat)连接。

试图通过"xirc.ifs-irc.net"的TCP 6667 端口建立通讯。

二、文件和注册表

1. 复制自己到系统目录,命名为“Sound.exe”。

2. 在下列键添加启动项“Microsoft Server Application”使病毒随Windows的启动而自动运行。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversion
Run
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversion
RunServices

三、建立通讯后,接收远程控制命令。

1. 偷用户正版游戏的序列号。

Command & Conquer Generals 、
FIFA 2003 、NFSHP2 、SOF2 、
Soldier of Fortune II - Double Helix
Battlefield 1942
Project IGI 2 、Unreal Tournament 2003
Half-Life


2. 猜测局域网内其他机器的ipc连接密码。一旦成功连接,把病毒复制过去,并运行起来,进行新的破坏。
病毒带有一个密码字典,包含一百多个数字、字母、词汇的简单组合。建议用户一定使用复杂的密码。
3. 记录键盘输入,保存到系统目录的“keylog.txt”。通过这种方式可以获得用户的各种密码(Windows登陆、邮箱、论坛、游戏、网络支付等等)。
4. 发动SYN 攻击,造成指定机器拒绝服务。
5. 下载文件并运行。往往用作传递新的远程控制程序,进行直接控制。
6. 终止系统的进程和线程。

3.Backdoor.SdBot.adu
破坏方法:SDBot的变种,破坏行为如下

一、IRC(Internet Relay Chat)连接。

试图通过"newboot.server.us "的TCP 30108 端口建立通讯。

二、文件和注册表

1. 复制自己到系统目录,命名为“mntcgf032.exe”。

2. 在下列键添加启动项“Microsoft WinUpdate”使病毒随Windows的启动而自动运行。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversion
Run
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversion
RunServices

三、建立通讯后,接收远程控制命令。

1. 偷用户正版游戏的序列号。

Command & Conquer Generals 、
FIFA 2003 、NFSHP2 、SOF2 、
Soldier of Fortune II - Double Helix
Battlefield 1942
Project IGI 2 、Unreal Tournament 2003
Half-Life


2. 猜测局域网内其他机器的ipc连接密码。一旦成功连接,把病毒复制过去,并运行起来,进行新的破坏。
病毒带有一个密码字典,包含一百多个数字、字母、词汇的简单组合。建议用户一定使用复杂的密码。
3. 记录键盘输入,保存到系统目录的“keylog.txt”。通过这种方式可以获得用户的各种密码(Windows登陆、邮箱、论坛、游戏、网络支付等等)。
4. 发动SYN 攻击,造成指定机器拒绝服务。
5. 下载文件并运行。往往用作传递新的远程控制程序,进行直接控制。
6. 终止系统的进程和线程。

4.Backdoor.SdBot.adv
破坏方法:SDBot的变种,破坏行为如下

一、IRC(Internet Relay Chat)连接。

试图通过"y.eliteirc.co.uk"的TCP 6668 端口建立通讯。

二、文件和注册表

1. 复制自己到系统目录,命名为“regscan.exe”。

2. 在下列键添加启动项“Windows Registry Scan”使病毒随Windows的启动而自动运行。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversion
Run
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversion
RunServices

三、建立通讯后,接收远程控制命令。

1. 偷用户正版游戏的序列号。

Command & Conquer Generals 、
FIFA 2003 、NFSHP2 、SOF2 、
Soldier of Fortune II - Double Helix
Battlefield 1942
Project IGI 2 、Unreal Tournament 2003
Half-Life

2. 猜测局域网内其他机器的ipc连接密码。一旦成功连接,把病毒复制过去,并运行起来,进行新的破坏。
病毒带有一个密码字典,包含一百多个数字、字母、词汇的简单组合。建议用户一定使用复杂的密码。
3. 记录键盘输入,保存到系统目录的“keylog.txt”。通过这种方式可以获得用户的各种密码(Windows登陆、邮箱、论坛、游戏、网络支付等等)。
4. 发动SYN 攻击,造成指定机器拒绝服务。
5. 下载文件并运行。往往用作传递新的远程控制程序,进行直接控制。
6. 终止系统的进程和线程。

5.Trojan.PSW.Lmir.vf
破坏方法:窃取游戏“传奇”帐号密码的木马病毒

此病毒启动后将自己安装到%Windows%或%system%或%tmp%目录下,
尝试破坏软件“密码防盗专家”
搜索下列反病毒软件的窗体并且向其发送推出消息:
Symantec AntiVirus 企业版
江民杀毒软件 KV2004:实时监视
RavMon.exe
RavMonClass
ZoneAlarm
ZAFrameWnd
天网防火墙个人版
天网防火墙企业版
木马克星
此病毒还会搜索下列反病毒软件的进程,并将其强行结束:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
NMain.exe
navw32.EXE
KvXP.kxp
KVSrvXP.exe
KVMonXP.kxp
KAVSvc.exe
KAV32.exe
KAVSvcUI.exe
KWatchUI.EXE
system.exe
然后此病毒会从体内释放一个动态连接库,利用此动态连接库拦截键盘及窗体的消息,趁机窃取帐号并发送到指定的邮箱内。
破坏方法:
1.修改注册表:
在注册表的下列位置添加一项自启动项
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

最常见病毒查杀方法

1.
script.Redlof.Head


script.redlof.htm.head

vbs.Redlof.A

查杀方法:WINDOWS下的脚本病毒。
http://download.rising.com.cn/zsgj/RavRedlof.exe

将专杀放在桌面上,重启到安全模式,什么都不要动,直接双击专杀工具杀毒。

2.
Win32.Hack.Agobot.en.136218

worm.agobot.3.ft.enc

win32.Hack.agobot.a.104960


查杀方法:高波病毒。先下载KB833330,断开网络,重启到安全模式下使用
http://download.rising.com.cn/zsgj/ravblaster.exe杀毒,最后安装补丁,上线时开启反病毒实时监控。
http://download.microsoft.com/do ... ws-KB833330-CHS.exe

3.I-Worm/Korgo.v

查杀方法:
http://securityresponse.symantec.com/avcenter/FixKorgo.exe
。将专杀放在桌面上,断开网络,重启到安全模式,什么都不要动,直接双击专杀工具杀毒。

4.I-Worm.Wukill

I-Worm/wukill.b


JS.Exception.Exploit

W32.Wullik.B@mm

查杀方法:WINDOWS下的木马程序I-Worm.Wukill,将拷贝自身到windows目录Mstray.exe。
修改注册表: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun "RavTime"
: %WINDOWS%MSTRAY.EXE ,以达到自启动的目的。 请以瑞星杀毒软件最新版在安全模式下扫描全盘并杀毒即可解决。

5.Bloodhound.Exploit.6



vbs.StartPage.u


Harm.Reg.WebImport.i

Harm.Reg.WebImport.h

Trojan StarPage


查杀方法:脚本病毒。(1)请以瑞星杀毒软件最新版在安全模式下扫描全盘所有文件(不是只扫描程序文件)并杀毒。(2)
http://download.rising.com.cn/zsgj/RegClean.comhttp://www.coolwww.net/bbs/attach/2004/06/18/61511-CWShredder.exe。请使用该工具尝试修复,并注意将系统打上补丁,上线时开启反病毒实时监控

6.trojandroper.pasorot

trojan.liveup.b.enc

trojan.psw.lmir.pu

backdoor.livup.d

Trojan Psn Lmir

Win32.Troj.LMir.no.41472

trojandropper.multijoiner.13.e

查杀方法:WINDOWS下的传奇木马程序。请以瑞星杀毒软件最新版在安全模式下扫描全盘并杀毒即可解决。注意将系统打上补丁,上线时开启反病毒实时监控并拒绝使用非法外挂。如无法杀除又要求解压缩之类的提示,请记录下其文件名、位置后,
http://community.rising.com.cn/U ... g20043182253148.gifhttp://community.rising.com.cn/U ... mg2004318226017.gif,在安全模式下强制删除
7.上网时,出现对话框LSASS.EXE出错,出乎意料地终止,状态码-1073741819
然后出现对话框60秒自动关机,怎么办?

查杀方法:震荡波病毒。先下载补丁KB835732,MS04-011(KB835732)补丁(Windows
2000 简体中文版)。
http://download.microsoft.com/do ... B835732-x86-CHS.EXE
MS04-011(KB835732)补丁 (Windows XP 简体中文版)。
http://download.microsoft.com/do ... B835732-x86-CHS.EXE。断开网络,重启到安全模式下使用http://download.rising.com.cn/zsgj/RavSasser.exe杀毒。最后安装补丁,上线时开启反病毒实时监控

注:并非所有自动关机现象都是此病毒造成的.比如冲击波,高波等病毒也会造成此现象.

8.boot.wyx显示清除但每次开机都有,unknown
bootvirus无法清除.

查杀方法:WYX,引导型病毒。建议用干净的引导盘启动至DOS下查杀

9.W32.Pinfiz

查杀方法:Win32.Pinfi是一种具有多个变种的病毒,它感染本地及共享网络上的Windows可执行文件(EXE、SCR等)。

建议用干净的引导盘启动至DOS下查杀。PS:无此专杀
10.w32/xtc@mm

WIN32.PARITE.A

win32.funlove

win32.Parite.a


查杀方法:Win32.Parite是一个可以感染Windows下的EXE文件的病毒,

建议您在DOS模式下以瑞星杀毒软件最新版扫描全盘并杀毒.

盗号者:各位,我是一名盗号者,并不是我成心和大家过不去,只因有前辈将我的号给盗了,无奈!我只能盗别人的号补偿我自己了(找借口给盗号行为作托词,也不能博取同情)。

我的常用方法有:

1. 当你输入ID密码时,我正悄悄地站在你后面偷看,并暗自记下。这可是最普通且有效的盗号方法了(这种形式,谁不会盗呀!)。

2. 在网吧内,为每一台电脑安装上后台程序(如冰河、键盘幽灵等)。在服务器端控制冰河客户端的计算机,使用暴力关闭形式,强行关掉你当前使用的程序,游戏也好,QQ也好!你一定会抱怨网吧的电脑系统问题,并重新打开程序,输入ID,哈哈……这就中计了!这时候冰河的键盘记录功能开始生效了。你输入的账号以及密码都会自动传给我了。如果使用“键盘幽灵”更方便,可以完全记录使用者的键盘操作过程,等你用完了计算机,我再调出键盘记录,研究里面的日志文件,你的ID准能被我找到。

3. 听说还有一种方法更绝!在使用完电脑10分钟左右,输入过的账号和密码会驻留与内存中,如果懂得使用Debug命令,并对汇编语言有一定了解的人,马上可以把你刚才输入过的账号和密码从内存中调出来。

技术性防止盗号

1. 删除含密码信息的存档文件,这些文件是一些记录文件,删除后不会影响系统的其他程序。以QQ为例,在使用后会在QQ的目录里留下以QQ号码为名称的文件夹,里面就包含用户的密码。再以游戏“传奇”为例,在游戏目录的DATA文件夹里,有登录者的相关信息,包括密码。在使用完计算机以后,删除相应的遗留文件,就可以很好地保护ID,但对程序不够了解的人不建议这么做,以免会误删其他的文件。

2. 安装使用工具软件,病毒防火墙,杀毒软件是必不可少的。除此之外,网络上还有很多专用于防止盗号的软件,如:网吧密码防盗专家、眼睛专杀工具等等。它们主要是针对一些专用于盗取ID的木马程序制作,即使计算机已经感染木马,它也可以以伪装的形式,防止木马窃取ID。

最后给大家提个醒,如果是使用公共计算机(这里的公共计算机主要指:网吧计算机、图书馆计算机等由多人使用的计算机)一定要格外小心。使用自己的计算机上网的朋友也应该注意,木马无处不在,来自网上的东西应该小心处理。

手把手教你删木马

如果您是一位程序高手,一位软件专家,一位系统工程师,甚至是一位黑客,那么您看到这里大可不必再看下去,徒浪费您宝贵的时间。这不是什么专业技术性文章,完全是通俗的最简单的应付方法。

先说预防:防范于未然是很重要的

1、尽量不要去浏览那些非官方性的外挂综合网站,特别是那些在城里用喊话大肆传播的网站,千万不要访问,试一试也不行。

2、安装放火墙。在浏览那些非官方性网页的时候防火墙显的很重要。当然你会说,开着防火墙玩游戏会影响游戏数据的流动速度。那么其实你可以在计算机启动的时候不要自动启动防火墙,而是在你要去浏览网页时再手动启动便可以了。而平时玩游戏就不用启动了,如果你不知道怎么做到
http://assistant.3721.com/?fb=client选择电脑启动加速一项,对启动要自动运行的程序做修改。

3、不要相信陌生人,或者不是很熟的人送的外挂,用QQ发送的也不行,也不要随便受了人妖MM的骗让你到哪里看“她”的照片或者接受“她”发给你的照片。当然我这样说肯定有重情谊的人要站出来反对了,“不相信人怎么叫朋友,怎么泡MM”云云。。。所以,我也不再多加解释,您自己去判断谁该信谁不该信吧。笔者爱说一句话“害人之心不可有,防人之心亦不可无”。

那么,如果中了木马。或者您怀疑您的计算机中了木马,该怎么办呢?如果您对计算机不是那么能应付,那么就让我来教你最简单的方法吧。
木马,通俗点讲就是潜伏在你的计算机里,伺机盗取你的帐号和密码等有关程序的黑客软件。这个相信凡是玩传奇的玩家都明白。木马不属于破坏性病毒,它不会干扰你正常的操作的操作系统,不会让你无法运行计算机,所以要杀它,即使你没有一点计算机知识也能办到。

第一步,首先进入
http://www.duba.net/antiscan/scan.htm这个是金山公司的在线查毒系统(或者直接在地址栏输入“在线查毒”也可以找到这个网站),然后点取“C:”一般的木马都潜伏在系统盘,如果你不放心,也可以把其他盘一起点上做个全面查毒。然后点“开始查毒”就可以开始检查了,等个几分钟,就有结果了。如果你还不放心就再进入online.rising.com.cn/ravonline/online.htm 这是瑞星在线查毒系统,注册会员后就可以使用了。

第二步,如果很不幸的,出现了这样的信息:“发现病毒文件

c:windowsprofilesXXXlocal settingsTemporary Internet FilesContent.IE5Kujzcdk9c[1]Text.htm”这样的字样(这里只是举个比较常见的例子,实际上不一定所有的病毒都在这个位置),那么恭喜!您的电脑中木马了!你点文件会看见介绍,“病毒类型:特洛伊木马,此程序会假装成一个很有用的文件。。。。。。”等等字样。然后系统会等待你的处理命令,有“隔离”“清除”“删除文件”“跳过”等选项。然而实际上,你选择“清楚”和“删除文件”都没有用,会跳出类似“因为压缩包不能打开,待打开后再作处理”的提示。如果你不是很能应付电脑,可能就被难住了,那么就跟着我进入第三步吧。


第三步,让跳过病毒文件让查毒系统继续查毒。而你就去找个纸和笔,然后把查到的所有木马的地址抄下来,不要嫌麻烦,这已经是很简单的步骤了。


第四步,查毒完毕,并且你将查到的木马的地址全部抄下来之后,你就可以重新启动计算机,然后进入“安全模式”,切记一定要是安全模式。然后,你再参照你抄下的地址,打开C盘,打开C盘下的WINDOWS目录,然后寻找那个叫profilesde的文件夹,接下来是local setting(这是以刚才我举的例子为准,实际要看你抄下的地址),最后一个打开的文件应该是Temporary Internet Files吧,以笔者的经验,木马都是藏在这个名字的文件夹里的。但是当你再点开这个文件夹的时候竟然没有几个文件,也找不到那个叫Content.IE5的文件夹了。这里也可能会把您难住了。那么就进入第五步吧。

第五步,这里找不到Content.IE5文件夹是因为狡猾的木马把它隐藏起来了,而且即使你更改文件夹设置,变成“显示所有文件”也不行。那么怎么办呢?有个很简单的方法,退回到Temporary Internet Files,再单击它,然后点鼠标右键选择“重命名”(或者按F2),然后删掉最后一个字母“s"(当然删别的字母也行只是删最后一个好记),然后确定。会弹出一个提示栏说“Temporary Internet Files是系统文件夹更改名字可能会使系统不能正常运行”等等,不用理它点“确定”,更改名字成功。这时你再双击改名后的Temporary Internet File文件夹,进去后就可以看见亲爱的Content.IE5文件夹了,然后再找到Kujzcdk9文件夹(以上全是以第二步中的例子为参照,实际操作要以你抄下来的病毒文件地址为准)。然后这个文件夹下的所有文件全部删掉(如果你不进入安全模式就不能删掉啦)。如果还有其他病毒文件再照这个方法去做,删掉就可以了。最后,退出Temporary Internet File再将它最尾的那个“s"加回去就行了。


第六步,到
http://www.duba.net/download/3/8.shtml上去下载注册表修复工具,对你的注册表进行修复。到这里所有的杀毒就完成了,你再去网上查毒就查不到病毒文件了。

手工彻底清除 PWSteal.Lemir.Gen木马的方法

手工彻底清除 PWSteal.Lemir.Gen(SysModule32.DLL,SysModule64.DLL) 木马的方法

* 说明:PWSteal.Lemir.Gen 是对一类窃号木马的统称,这个方法只适用于木马主本文件为 Expl0rer.exe 的 PWSteal.Lemir.Gen 木马,在使用此方法前请先确保自己遇到的是这个木马才可以。 同样的,文章中所提到的方法及其中所提到的有关费尔托斯特安全可以清除此木马/病毒的内容是特指这一个木马/病毒的当前这一版本, 并不保证对此木马/病毒的以前旧版本和以后所有可能产生出的新版本都同样有效。

有许多用户反应一些杀毒软件在发现 PWSteal.Lemir.Gen(SysModule32.DLL,SysModule64.DLL) 木马后遇到无法隔离、删除或是清除后反复出现的问题。下面就告诉大家一个清除此木马简单有效的方法:

因为此木马会将自己注册为系统 Explorer 组件,即使删除后也会自动生成,所以一般的杀毒软件较难直接清除掉它,但费尔托斯特安全可以完全彻底清除掉此木马,并且删除后不会再次出现,所以如果手上有费尔托斯特安全的正式版可以使用它删除(建议先升级到最新版的病毒库)。如果没有也可以用下面的方法手工清除它(注意以下方法测试于Windows2000/XP/2003/NT,9x/me下可能有些略有不同,这时建议使用费尔托斯特安全清除):

一、请先去把系统设置为“显示隐藏文件”,因为病毒以隐藏属性伪装,不做此设置将无法看到它,设置的方法如下(如果系统已经做了此设置可以跳过这一步):

打开“我的电脑”;
依次打开菜单“工具/文件夹选项”;
然后在弹出的“文件夹选项”对话框中切换到“查看”页;
去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态;
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项;
去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态;
最后点击“确定”。

二、按“Ctrl+Alt+Del”键弹出任务管理器,找到EXPL0RER.EXE进程(注意第5个字母是数字0不是字母O),找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步,只所以要迅速是因为如果动作慢的话,木马可能会自动恢复而再次运行起来,这样就无法删除掉其他木马文件了(如果EXPL0RER.EXE进程再次运行起来需要重做这一步);

三、打开资源管理器进入到 “系统目录WinntSystem32”下(如果您的win2000/nt/xp安装在C盘则就是 C:WinntSystem32)。找到EXPL0RER.EXE文件(注意第5个字母是数字0不是字母O)、SysModule32.dll文件,然后直接删除它们。如果这时报告“文件正在使用无法删除”的类似提示则说明木马已经再次恢复了,需要从第二步开始重复做,并且从第二步到第三步一定要迅速,这里建议可以先打开资源管理器选中这几个待删除的文件,在做第二步即刚结束掉EXPL0RER.EXE进程后马上转过来删除这2个文件,这样一般就可以成功了;

四、同样在 “系统目录WinntSystem32”目录下找到 SysModule64.dll 文件,尝试删除它,不过如果这时报告“此文件正在使用中无法删除”等类似提示也没有关系,稍后在第七步将介绍如何删除此文件;

五、打开资源管理器进入到 “系统目录Winnt”下,找到一个 MFCD3O.DLL 文件,手工删除它;

六、打开“开始/运行”,输入“regedit”后“确定”以打开注册表编辑器,找到“HKEY_CLASSES_ROOTCLSID{081FE200-A103-11D7-A46D-C770E4459F2F}”键,把整个“{081FE200-A103-11D7-A46D-C770E4459F2F}”键全部删除。

七、注销当前用户或重新登录或重启电脑。之后再按第四步的方法删除掉 SysModule64.dll 文件,如果一切正常此时应该可以删除掉它了。

至此,如果一切顺利 PWSteal.Lemir.Gen 木马就应该完全从您系统中清除干净了。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10294527/viewspace-125266/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2007-08-29

  • 博文量
    3488
  • 访问量
    2603220