手工清除頑固木馬、蠕蟲病毒簡(jiǎn)易手冊(cè)
手工清除頑固木馬、蠕蟲病毒簡(jiǎn)易手冊(cè)
撥號(hào)上網(wǎng)后,F(xiàn)TP屢次報(bào)與聯(lián)通失敗。經(jīng)檢查,電腦中安裝的Norton個(gè)人版防病毒軟件以及Norton防火墻已被停用。下面是學(xué)習(xí)啦小編跟大家分享的是手工清除頑固木馬、蠕蟲病毒簡(jiǎn)易手冊(cè),歡迎大家來(lái)閱讀學(xué)習(xí)。
手工清除頑固木馬、蠕蟲病毒簡(jiǎn)易手冊(cè)
具體情況是這樣的:撥號(hào)上網(wǎng)后,F(xiàn)TP屢次報(bào)與聯(lián)通失敗。經(jīng)檢查,電腦中安裝的Norton個(gè)人版防病毒軟件以及Norton防火墻已被停用,嘗試啟用時(shí)報(bào)錯(cuò),不能正常啟用;打開任務(wù)管理器,發(fā)現(xiàn)非法進(jìn)程5個(gè),嘗試停止,報(bào)“拒絕訪問”;重啟到安全模式后再嘗試停止非法進(jìn)程,報(bào)錯(cuò)依舊,不能停止;于是進(jìn)入計(jì)算機(jī)本地服務(wù)列表,發(fā)現(xiàn)2個(gè)不明自動(dòng)啟動(dòng)服務(wù),嘗試停止,報(bào)“停止服務(wù)失敗”,無(wú)奈之下,修改該服務(wù)屬性為“禁用”,再次重啟到安全模式,不明服務(wù)終于沒有自動(dòng)啟動(dòng)。于是依據(jù)之前發(fā)現(xiàn)的非法進(jìn)程名搜索系統(tǒng)盤C盤,發(fā)現(xiàn)其在Winnt目錄以及Winnt/system32/目錄,手工刪除之。然后進(jìn)入Winnt/system32/目錄,發(fā)現(xiàn)大量的不明程序文件,其共同的特點(diǎn)為:文件屬性為隱藏,文件名為類似“diALoGUe”的隨機(jī)名稱,圖標(biāo)為類似DOS程序圖標(biāo),查屬性無(wú)公司、版本等信息;由于我排毒時(shí)的習(xí)慣為首先設(shè)置【文件夾選項(xiàng)】使顯示所有文件和顯示所有受保護(hù)系統(tǒng)文件以便于查找文件,于是輕松發(fā)現(xiàn)此批大量不明可運(yùn)行程序文件,抽查屬性確認(rèn)后全體收入回收站。然后檢查,刪除run類不明自啟動(dòng)鍵值。最后運(yùn)行升級(jí)SP5,10余分鐘后所有補(bǔ)丁打完,重啟到正常模式下,win2000顯示正常,啟動(dòng)Norton病毒、網(wǎng)絡(luò)防火墻成功,撥號(hào)上網(wǎng)FTP成功。
由以上經(jīng)歷以及耳聞目染,風(fēng)聞其勢(shì),得出此類病毒感染以及發(fā)作之可能經(jīng)過:用戶由于系統(tǒng)漏洞沒有及時(shí)安裝補(bǔ)丁,或者使用超級(jí)用戶權(quán)限帳號(hào)瀏覽過惡意網(wǎng)站、運(yùn)行了不明程序或文件,導(dǎo)致感染了病毒。此病毒常駐系統(tǒng)后自我復(fù)制并自動(dòng)連接上線肉雞然后下載多種木馬種植于此新肉雞,并瘋狂使用此肉雞用弱口令試圖登陸其他網(wǎng)絡(luò)計(jì)算機(jī),使感染更多機(jī)器;感染到其他機(jī)器后,瘋狂發(fā)送各類其他木馬、蠕蟲病毒以供受感染機(jī)器感染更多病毒,成就更多肉雞。此舉勢(shì)必占用大量網(wǎng)絡(luò)帶寬,與DDOS洪水攻擊有異曲同工之妙,將迫使網(wǎng)絡(luò)交換、路由設(shè)備不堪重負(fù)而癱瘓。此極有可能就是網(wǎng)絡(luò)變緩,但重啟交換機(jī)或路由器后網(wǎng)速又能得到改善的根本原因。并且由于病毒占用過多進(jìn)程,導(dǎo)致系統(tǒng)資源滿負(fù)荷運(yùn)行,中毒機(jī)器運(yùn)行將明顯變緩。
此類病毒的危害在于:
1、借助內(nèi)部網(wǎng)絡(luò)高速帶寬,感染大量網(wǎng)內(nèi)其他存在漏洞的電腦,往往使病毒一中一大片。
2、占用大量網(wǎng)絡(luò)帶寬,使網(wǎng)速變緩。
3、有一定智能,變種極多,防毒軟件遵循總是遲于病毒出現(xiàn)時(shí)間有效的原則,可能受制于新變種病毒。
4、借助類似DDOS手段,讀取其他網(wǎng)絡(luò)計(jì)算機(jī)SAM帳號(hào),強(qiáng)行并發(fā)式使用弱口令試圖登陸其他計(jì)算機(jī),導(dǎo)致未感染病毒的其他計(jì)算機(jī)帳號(hào)登錄次數(shù)超過限制,帳號(hào)被鎖,影響正常使用。
總結(jié)手工殺毒步驟如下:
1、手工下載并收藏所有SP5單個(gè)小文件(就win2k而言,合共已有近100M)
2、斷開網(wǎng)絡(luò)
3、重啟到安全模式
4、檢查并清除【HLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run*】各不明啟動(dòng)項(xiàng)鍵值
5、檢查并清除【HCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Run*】各不明啟動(dòng)項(xiàng)鍵值
6、查不明服務(wù)并禁止之,如無(wú),繼續(xù)步驟7;如有,禁止后,回到步驟3。
7、重點(diǎn)查【%SystemRoot%/system32/】目錄下所有隱藏exe、com,檢查其屬性,不明來(lái)歷者刪無(wú)赦(可先放回收站,重啟沒事后再清除)。
8、在更新最新病毒庫(kù)后不妨用殺毒軟件掃描系統(tǒng)盤所有文件一次。
9、確認(rèn)SP4已安裝的基礎(chǔ)上打全所有SP5補(bǔ)丁
10、重啟到正常模式使用
注:由于判斷是否非法程序需要一定經(jīng)驗(yàn),特提供一簡(jiǎn)單辦法:點(diǎn)擊可疑程式查閱【屬性】,正常程式都在【版本】欄附帶有公司名、版本、版權(quán)等信息,就算是3721、敗毒等垃圾也帶有相應(yīng)的信息,而蠕蟲、木馬等程式則極大可能無(wú)任何信息可供查閱、參考,據(jù)此可判斷大多數(shù)非法程序。
保持“沒毒”的幾個(gè)小技巧:
1、使用Proxy或者NAT隔離局域網(wǎng)與外網(wǎng)的無(wú)縫隙聯(lián)通
2、在局域網(wǎng)所有機(jī)器杜絕超級(jí)用戶密碼為空、帳號(hào)與密碼相同、密碼超級(jí)簡(jiǎn)單等弱智行為。
3、權(quán)限分配嚴(yán)格遵循【夠用】原則,盡量防止不必要的超級(jí)用戶產(chǎn)生。
4、使用企業(yè)版殺毒軟件安裝防病毒中央,設(shè)置好使及時(shí)自動(dòng)檢查、下載更新病毒庫(kù)并自動(dòng)向客戶端分發(fā)最新病毒庫(kù)。
5、借助SUS等同類windows補(bǔ)丁自動(dòng)下載服務(wù)軟件,設(shè)置好使其能向所有客戶端自動(dòng)分發(fā)并安裝最新補(bǔ)丁。
6、及時(shí)提醒同事注意上網(wǎng)安全,不去不必要的網(wǎng)站,不執(zhí)行任何不明文件, 注意上網(wǎng)衛(wèi)生。
7、有空多檢查一下任務(wù)管理器是否有不明進(jìn)程,多登陸windows自動(dòng)升級(jí)中心檢查最新補(bǔ)丁升級(jí)。
手工清除頑固木馬、蠕蟲病毒簡(jiǎn)易手冊(cè)相關(guān)文章: