减小字体
增大字体- ·上一篇文章:瑞星升级ID
- ·下一篇文章:瑞星、江民、木马克星升级网址推荐
灰鸽子和武汉男生类木马病毒处理办法
因为此类木马采用注入系统进程的方式,一旦感染,普通杀毒很难处理干净,且病毒加载方式较为隐蔽。所以总结一些方法与大家分享。
根据用户反映现在主要集中两种情况:
1、 瑞星只能部分发现并杀掉病毒,但杀完后再杀,或每次重启后监控又会报病毒,(有时候也会出现杀毒失败情况,多是DLL文件),这种情况主要是由于查杀掉的并不是病毒母体文件,母体不断释放病毒体造成。如出现这种情况,可能根据用户情况让其下载听诊器诊断提取,如用户对电脑操作较熟练或很着急处理,可带其根据附件1中的说明,找到启动时加载了的病毒母体文件名,手工删除(删除方法见后)。
2、 瑞星能发现全部病毒体,有的可能清除,有的删除失败,删除失败的多是注入系统进程(如explorer.exe,winlogon.exe)的DLL动态链接库文件,可以在结束相应进程后,进行杀毒或手工删除文件解决。
手工删除方法:
建议先进入安全模式,对2000/XP系统,可以在任务管理器里结束explorer.exe 进程,从“文件”-“新建任务”启动瑞星主程序杀毒,然后重启explorer.exe进程,找到病毒文件删除。
对注入其他系统进程如winlogon.exe,或有些情况下(多发生在9X系统下)结束explorer.exe发生死机或重启,建议还是在DOS下或控制台模式(控制台安装使用请见附件2)下进行手工删除文件。
DOS下命令:
cd c:\windows\system32
attrib -r-s-h msapi.exe
attrib -r-s-h msapi.dll
del msapi.exe
del msapi.dll
把其中删除文件名换成相应病毒文件名即可。
删除完文件最好再删除一下注册表中相应的启动项,检查注册表中键值做一下修复,包括一些文件关联如.exe和.txt及IE默认设置。
附1系统启动加载病毒文件的方式
一、当前用户专有的启动文件夹
这是许多应用软件自动启动的常用位置,Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在:\Documents and Settings\<用户名字>\「开始」菜单\程序\启动,其中“<用户名字>”是当前登录的用户帐户名称。
二、对所有用户有效的启动文件夹
这是寻找自动启动程序的第二个重要位置,不管用户用什么身份登录系统,放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在:\Documents and Settings\All Users\「开始」菜单\程序\启动。
三、Load注册键
介绍该注册键的资料不多,实际上它也能够自动启动程序。位置:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load。
四、Userinit注册键
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit。这里也能够使系统启动时自动初始化程序。
五、Explorer\Run注册键
和load、Userinit不同,Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具体位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run。
六、RunServicesOnce注册键
RunServicesOnce注册键用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce。
七、RunServices注册键
RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行,但两者都在用户登录之前。RunServices的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices。
八、RunOnce\Setup注册键
RunOnce\Setup指定了用户登录之后运行的程序,它的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup。
九、RunOnce注册键
安装程序通常用RunOnce键自动运行程序,它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序,运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP,你还需要检查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx。
十、Run注册键
Run是自动运行程序最常用的注册键,位置在:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行,但两者都在处理“启动”文件夹之前。
(2)通过System.ini和Win.ini文件 加载
System.ini(位置C:\windows\)
[boot]项原始值配置:“shell=explorer.exe”,explorer.exe是Windows的核心文件之一,每次系统启动时,都会自动加载。
[boot]项修改后配置:“shell=explorer C:\windows\xxx.exe”(xxx.exe假设一木马程序)。
Win.ini(位置C:\windows\)
[windows]项原始值配置:“load=”;“run=”,一般情况下,等号后无启动加载项。
[windows]项修改后配置:“load=”和“run=”后跟非系统、应用启动文件,而是一些你不熟悉的文件名。
解决办法:
执行“运行→msconfig”命令,将System.ini文件和Win.ini文件中被修改的值改回原值,并将原木马程序删除。若不能进入系统,则在进入系统前按“Shift+F5”进入Command Prompt Only方式,分别键入命令edit system.ini和edit win.ini进行修改。
根据用户反映现在主要集中两种情况:
1、 瑞星只能部分发现并杀掉病毒,但杀完后再杀,或每次重启后监控又会报病毒,(有时候也会出现杀毒失败情况,多是DLL文件),这种情况主要是由于查杀掉的并不是病毒母体文件,母体不断释放病毒体造成。如出现这种情况,可能根据用户情况让其下载听诊器诊断提取,如用户对电脑操作较熟练或很着急处理,可带其根据附件1中的说明,找到启动时加载了的病毒母体文件名,手工删除(删除方法见后)。
2、 瑞星能发现全部病毒体,有的可能清除,有的删除失败,删除失败的多是注入系统进程(如explorer.exe,winlogon.exe)的DLL动态链接库文件,可以在结束相应进程后,进行杀毒或手工删除文件解决。
手工删除方法:
建议先进入安全模式,对2000/XP系统,可以在任务管理器里结束explorer.exe 进程,从“文件”-“新建任务”启动瑞星主程序杀毒,然后重启explorer.exe进程,找到病毒文件删除。
对注入其他系统进程如winlogon.exe,或有些情况下(多发生在9X系统下)结束explorer.exe发生死机或重启,建议还是在DOS下或控制台模式(控制台安装使用请见附件2)下进行手工删除文件。
DOS下命令:
cd c:\windows\system32
attrib -r-s-h msapi.exe
attrib -r-s-h msapi.dll
del msapi.exe
del msapi.dll
把其中删除文件名换成相应病毒文件名即可。
删除完文件最好再删除一下注册表中相应的启动项,检查注册表中键值做一下修复,包括一些文件关联如.exe和.txt及IE默认设置。
附1系统启动加载病毒文件的方式
一、当前用户专有的启动文件夹
这是许多应用软件自动启动的常用位置,Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在:\Documents and Settings\<用户名字>\「开始」菜单\程序\启动,其中“<用户名字>”是当前登录的用户帐户名称。
二、对所有用户有效的启动文件夹
这是寻找自动启动程序的第二个重要位置,不管用户用什么身份登录系统,放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在:\Documents and Settings\All Users\「开始」菜单\程序\启动。
三、Load注册键
介绍该注册键的资料不多,实际上它也能够自动启动程序。位置:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load。
四、Userinit注册键
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit。这里也能够使系统启动时自动初始化程序。
五、Explorer\Run注册键
和load、Userinit不同,Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具体位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run。
六、RunServicesOnce注册键
RunServicesOnce注册键用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce。
七、RunServices注册键
RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行,但两者都在用户登录之前。RunServices的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices。
八、RunOnce\Setup注册键
RunOnce\Setup指定了用户登录之后运行的程序,它的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup。
九、RunOnce注册键
安装程序通常用RunOnce键自动运行程序,它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序,运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP,你还需要检查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx。
十、Run注册键
Run是自动运行程序最常用的注册键,位置在:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行,但两者都在处理“启动”文件夹之前。
(2)通过System.ini和Win.ini文件 加载
System.ini(位置C:\windows\)
[boot]项原始值配置:“shell=explorer.exe”,explorer.exe是Windows的核心文件之一,每次系统启动时,都会自动加载。
[boot]项修改后配置:“shell=explorer C:\windows\xxx.exe”(xxx.exe假设一木马程序)。
Win.ini(位置C:\windows\)
[windows]项原始值配置:“load=”;“run=”,一般情况下,等号后无启动加载项。
[windows]项修改后配置:“load=”和“run=”后跟非系统、应用启动文件,而是一些你不熟悉的文件名。
解决办法:
执行“运行→msconfig”命令,将System.ini文件和Win.ini文件中被修改的值改回原值,并将原木马程序删除。若不能进入系统,则在进入系统前按“Shift+F5”进入Command Prompt Only方式,分别键入命令edit system.ini和edit win.ini进行修改。
