監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 甲方項(xiàng)目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉

網(wǎng)絡(luò)安全管理經(jīng)驗(yàn):常見病毒手工清除方法

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

手工清除“惡郵差”(Supnot)蠕蟲病毒

1.使用資源管理器查看進(jìn)程,注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均為病毒(或由病毒生成的后門軟件),甚至其它的一切不常見的進(jìn)程都有可能是,如果不能確定,找一臺(tái)服務(wù)器上的進(jìn)程來(lái)觀察(服務(wù)器應(yīng)該不會(huì)被感染)。
2.將病毒程序(后門)的進(jìn)程結(jié)束掉,對(duì)于不能結(jié)束的,可以使用附件中的pskill.exe結(jié)束掉(命令格式“pskill 進(jìn)程名”)。
3. 打開“服務(wù)”,在服務(wù)列表中將沒有“描述”服務(wù)進(jìn)行篩選,查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服務(wù),依次刪掉注冊(cè)表中的
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBRWWTELK]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesprom0n.exe]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows Management Extension]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindow Remote Service]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun(RunServices]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun(RunServices]
……的相關(guān)的健值(還有WinVNC的進(jìn)程,沒有記住是什么健值)
4.刪掉
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdll_reg]
[HKEY_CLASSES_ROOTApplicationswinrpc.exe]的健值,
5. 并修改[HKEY_CLASSES_ROOTtxtfileshellopencommand]的右側(cè)的默認(rèn)健值為” %SystemRoot%system32NOTEPAD.EXE %1”,此時(shí),.txt的文件無(wú)法正常打開,可以點(diǎn)擊文本文件的右鍵選擇其它方式,選擇使用Notepad即可。
6.刪掉系統(tǒng)system32目錄下的以下程序(大部分可執(zhí)行程序的大小都為78,848字節(jié)): winrpcsrv.exe 、 winrpc.exe 、 wingate.exe 、 syshelp.exe 、rpcsrv.exe 、 iexplore.exe 、 prom0n.exe(注意中間的是數(shù)字0) 、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、 winvnc.exe
7. 清空“C:Documents and SettingsDefault User(或Default Uesr..WINNT)Local SettingsTemporary Internet FilesContent.IE5”目錄下除了“desktop.ini”的所有文件,該路徑下,發(fā)現(xiàn)有一些后門軟件。
8.關(guān)閉所有目錄的完全共享!――這是關(guān)閉了該程序還可以通過(guò)網(wǎng)絡(luò)感染的途徑。
9. 重新啟動(dòng)計(jì)算機(jī),觀察是否還有類似進(jìn)程出現(xiàn),尤其是irftpd.exe,這個(gè)程序是由上述第3步的“服務(wù)”程序自動(dòng)生成的。由于該蠕蟲先后出現(xiàn)多個(gè)變種,建議使用專殺工具來(lái)查殺。
 

新歡樂時(shí)光VBS/Redolf的清除辦法

1、刪除
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunKernel3
2 鍵值;
參照其他系統(tǒng),恢復(fù) HKEY_CLASSES_ROOTdllFile 下鍵值;
參照其他系統(tǒng),恢復(fù) HKEY_CURRENT_USERIdentities" & UserID & "SoftwareMicrosoftOutlook Express" & OEVersion & "Mail 下相關(guān)鍵值;
參照其他系統(tǒng),恢復(fù) HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsMail 下相關(guān)鍵值;
參照其他系統(tǒng),恢復(fù) HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0OutlookOptionsMail 下相關(guān)鍵值;
3、刪除文件
參照其他系統(tǒng),恢復(fù) %Windows%web 目錄下 folder.htt 文件;
刪除 Kernel32.dll 或者 Kernel.dll 文件;刪除 kjwall.gif;
查找所有存在 KJ_start 字符串的文件,刪除文件尾部的病毒代碼。
由于該病毒利用 Windows 資源管理器的視圖模板進(jìn)行感染,所以必須對(duì)計(jì)算機(jī)所有磁盤進(jìn)行檢查,不能遺漏,否則很快又會(huì)再次感染。在查殺過(guò)程中一定不能打開資源管理器,否則也不能查殺干凈。

 

 推薦閱讀】

上網(wǎng)行為運(yùn)維管理專區(qū)

怎樣才算是一個(gè)合格的上網(wǎng)行為運(yùn)維工程師

上網(wǎng)行為運(yùn)維工作師需要什么樣的技能及素質(zhì)

網(wǎng)站上網(wǎng)行為運(yùn)維管理經(jīng)驗(yàn)探討和心得分享

網(wǎng)管軟件專區(qū)

本文來(lái)自互聯(lián)網(wǎng),僅供參考
發(fā)布:2007-04-15 10:03    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:
相關(guān)軟件
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢