總結整理了10個相關惡性病毒的清除方法,希望能給讀者提供方便,若有遺漏或錯誤,請賜教,同時也歡迎大家來稿,共同分享。
手工刪除Back Orifice 2000的方法
首先用最新DOS版的殺毒軟件開機殺毒,然後將郵箱中的帶毒郵件一一刪除,否則又會重復感染,該病毒傳播能力極強,必須加強防范,為了預防該病毒在浏覽該帶毒信箋可以自動執行的特點,必須下載微軟的補丁程序。
惡性蠕蟲病毒“I-Worm.Aliz”
用最新的殺毒軟件清除病毒,然後下載補丁:
如果用戶使用升級的因特網outlook版本6.0,就不需要修補outlook。
1. outlook
2.outlook 2000
3.outlook 2002 (office XP)
又出現Nimda.e病毒,再次更新詳細解毒方案
一、winX系統的清除方法:
1.使用干淨DOS軟盤啟動機器。
2.執行vrvdos, 查殺所有硬盤。
3.在SYSTEM.INI文件中將LOAD.EXE的文件改掉,如沒有變,就不用改。正常的[boot]下的應該是shell=explorer.exe.必須修改該文件中的shell項目,否則清除病毒後,系統啟動會提示有關load.exe的錯誤信息。
4.開啟vrv實時監測病毒防火牆。
5.為了預防該病毒在浏覽該帶毒信箋可以自動執行的特點,必須下載微軟的補丁程序。 地址是:這樣可以預防此類病毒的破壞。
6.WINDOWS 2000如果不需要可執行的CGI,可以刪除可執行虛擬目錄,例如/scripts等等。
7.如果確實需要可執行的虛擬目錄,建議可執行虛擬目錄單獨在一個分區。
8.對WINDOWS NT/2000系統,微軟已經發布了一個安全補丁,可以從下列地址下載:
9.病毒被清除後, 在windows的system目錄下的文件riched20.dll將被刪除,請從WINDOWS的安裝盤上或再無毒機中拷貝一份干淨的無病毒的該文件,否則的話,寫字板和OFFICE, WORD等程序將不能正常運行。在WINDOWS98系統下的該文件大小是:431376字節。或重裝office。
二、WINDOWS NT/2000系統的清除方法:
WINDOWS NT/2000系統的NTFS硬盤分區感染此毒時,處理比較煩瑣。因用DOS軟盤引導後不認硬盤分區,所以無法殺毒。在患毒的WINDOWS NT/2000系統下又殺不干淨病毒。不管是服務器還是單機的硬盤染此毒了,要想殺干淨病毒,可按如下方法殺毒:
1.找一台沒有感染病毒的、並裝有WINDOWS NT/2000(NTFS)系統的計算機,將vrv2001 server安裝到硬盤中,對硬盤進行查殺。
2.如果有殺不掉的,用dos盤引導起動,再執行NTFSpro(在vrv網站可以下載)中的ntfspro.exe 即可,看到NTFS格式下的所有文件,將其刪除,再回到正常模式下查殺。
3.如果有多台機器,也可以將患毒的硬盤掛接在沒有感染病毒的計算機上做為副盤。
Nimda病毒解決方案
請大家盡快到微軟網站下載更新程序,修補這些漏洞,以免中毒。收到可疑的信件,例如:Nimda病毒病毒附件為readme.exe,不要隨意打開以免中毒,
IE 5.x 的使用者請到下載修復程序,避免浏覽中毒網頁就被感染。
IIS 的使用者請到、下載修復程序,以修正Unicode漏洞。
另外:Win9x用戶記得去掉共享,修改System.ini中shell=explorer.exe load.exe -dontrunold為shell=Explorer.exe ,Win2000則查看一下administrators組中是否加進了“guest”用戶,如果是,請將guest用戶從administrators組中刪除,然後用最新版的殺毒軟件掃描你的機器,查殺病毒。
自己動手對付CodeRed(紅色代碼)
CodeRed(紅色代碼)是利用Windows NT/2000本身的漏洞來執行駭客行為,微軟網站提供更新檔下載,使用IIS 4.0以上版本用戶,請盡快至微軟網站更新修正。
手工清除Sircam蠕蟲病毒
1、清空回收站,因為病毒將自身隱藏在回收站;
2、刪除Autoexec.bat文件中的"@win ecycledsirc32.exe"
3、恢復注冊表
(1) 將regedit.exe改名為regedit.com因為該病毒關聯exe文件
(2) 打開注冊表編輯器,查找主鍵:HKEY_CLASSES_ROOT/exefile/shell/open/command將其鍵值改為"%1" %*
(3) 刪除主鍵HKEY_LOCAL_MACHINE/Software/SirCam
(4) 刪除鍵值HKEY_LOCAL_MACHINE/Software/Microsoft/Windows Current Version/Run Services/Driver32
(5) 將regedit.com改回為regedit.exe
手工清除“快樂時光”病毒
1.檢查 C:Help.htm、C: 盤第一個子目錄下的 Help.vbs 和 Help.hta、 Windows錄下 Help.htm 或者與原牆紙文件名的 html 格式文件,若其中 含有“Rem I am sorry! happy time”字符串,則刪除該文件
2.檢查 C: 盤上所有 vbs、html 或者 asp 文件,若含有“Rem I am sorry! happy time”字符串,則刪除該文件
3.檢查 WindowsWeb 目錄下所有 vbs、html、htt 和 asp 文件,若含有“Rem I am sorry! happy time”字符串,則刪除該文件;
4.刪除 HKEY_CURRENT_USERSoftware 下 Help 項;
5.刪除收件箱中所有帶有 Untitled.htm 附件的不明郵件。
手動清除聖誕節病毒的方法
1.開始——>程序——>MS-DOS模式
2.將DOS指令regedit.exe重新命名為 regedit.com
3.回到Windows運行Regedit。
4.開始——>運行
5.輸入“regedit”。按一下“確定”。
6.在左邊窗口,按一下含有 " " 記號的方塊以展開節點來尋找下列登錄
HKEY_CLASSES_ROOT exefile shell open command
7.在右邊窗口,以展開節點來尋找含有下列登錄的記錄值並點選
(Default) = "% windir%SYSTEMWINSVRC.EXE"%1""%*" where %windir%
8.當編輯窗口出現,將所有整個部分刪除,只留下 "%1"%*"。
9.同步驟 3-5,輸入“regedit”。按一下“確定”,進入以下注冊機值。
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
10.點選Win32BaseServiceMOD = %windir%SYSTEMWINSVRC.EXE ,並按“刪除”
11.開始——>程序——>MS-DOS模式
12.將 regedit.com重新命名為 regedit.exe。摘自瑞星網站
Win32/MTX.A.Worm 病毒的清除方法
1、對於蠕蟲病毒生成的文件如:MTX_.exe,Ie_pack.exe和Win32.dll,需要徹底刪除,它們的病毒報警為Win32/MTX.Attachment.Worm 或Win32/MTX.A.Downloader.Worm。
2、 開始---運行(regedit)修改注冊表,將注冊表中的關鍵字值刪除,關鍵字值為: Hkey_Local_MachineSoftwareMicrosoftWindowsCurrentVersionRunSystembackup =MTX_.EXE
3、開始---運行(regedit)---編輯---查找(Win32.dll),將查找到的鍵值刪除掉,用同樣的方法 查找Ie_pack.exe和mtx,將查找到的鍵值也刪除;
4、重新啟動計算機。
手動清除特洛伊木馬TROJ_QAZ.A病毒
1、單擊“開始│運行” 鍵入:Regedit,按Enter鍵
2、找到注冊鍵: HKEY_LOCAL_MACHIN/Software/Microsoft/Windows/CurrentVersion/Run
3、在右邊的窗口中,找出任何包含下列數據的注冊鍵值: startIE=XXXXNotepad.exe
4、在右邊的窗口中,選中該鍵值,按刪除鍵後再選是,刪除該值。 退出注冊表修改。 單擊 “開始│關閉系統”,選擇“重啟動”後單擊“是”。
5、重命名Note.com為Notepad.exe。
病毒冰河的手工解決辦法
1、在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices中找 到冰河(默認是C:WINDOWSSYSTEMKernel32.exe),將其刪除。
2、在注冊表中找到HKEY_CLASSES_ROOTtxtfile,可以在其次鍵中發覺 Shellopencommand中運行的程序,默認的是C:WINDOWSSYSTEMSysexplr.exe %1, 將它刪掉就行。其他形式的偽裝也照刪不誤。
3、重新啟動,在純Dos模式中刪除冰河以及它的關聯程序(默認是 C:WINDOWSSYSTEMKernel32.exe和sysexplr.exe)。
VBS_STAGES.A蠕蟲的解決方案
運行注冊表 進入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices注冊目錄,查找含有以下鍵值的鍵:"C:WINDOWSWSCRIPT.EXE,,C:WINDOWSSYSTEMSCANREG.VBS" 將含有這些鍵值的鍵刪除。 進入以下注冊表目錄: HKEY_USERS/.DEFAULT/Software/Mirabilis/ICQ/Agent/Apps/ICQ 查找以下鍵值 Parameters=“C:RECYCLEDDBINDEX.VBS”, Path="C:WINDOWSWSCRIPT.EXE" Startup="C:WINDOWS"。進入以下注冊表目錄: HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/DefaultIcon 查找以下鍵值:"C:RECYCLEDRECYCLED.VXD,1" 將其修改為:C:WINDOWSregedit.exe,1 to this input box,進入以下注冊表目錄: HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/shell/open/command 查找以下鍵值:"C:RECYCLEDRECYCLED.VXD,1" 將其修改為:C:WINDOWSregedit.exe,1 to this input box.,退出注冊表 。重啟後掃描整個系統,將感染了此病毒的文件刪除。 從另一干淨的機器上拷貝一個REGEDIT.EXE 程序到本機。
如何自行將MSIE.HTA(網路害蟲)清除
1.先將WIN.INI中的RUN= C:WINDOWSSYSTEMMSIE.HTA修改成RUN=
2.將Windowssystem目錄下MSBOOT.BAT、MSIE.LST、MSIE.INI、MSIE.HTA四個文件刪除。
3.將Windowssystemsystem目錄刪除。
4.將windowsStart MenuPrograms啟動 中的Microsoft Internet Explorer.hta文檔刪掉。