一.查杀病毒的技巧
首先用软盘制作KV3000解密盘和启动盘(保证绝对无毒),然后用启动盘启动系统,用KV3000杀毒,最后安装KV3000杀毒王,进行全盘杀毒,查到病毒是就到病毒所在目录删除文件(因为现在病毒太厉害,修复染毒文件不保险)。
二.最新流行病毒VBS/KJ(folder.htt病毒)手工清除方法
最近在学校流行一种名字叫VBS/KJ的病毒,它主要通过软盘传播,感染病毒后机器每打开一个文件夹,病毒会向该文件夹写入folder.htt和desktop.ini两个文件。
手工清除病毒的方法是:
1、点开始菜单,选择运行,输入regedit。
2、找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在窗口的右边找所有含kernel32.dll的键值,删除该项。
3、查找folder.htt和desktop.ini两个文件,将大小为15K的folder.htt、1K的desktop.ini,全部删除;
4、找到一台没有被感染病毒的机器,在它的系统目录下的WEB目录中拷贝folder.htt到本机的相同目录(可以省略)。
三.“尼姆达”病毒简介及手工清除方法
金山公司刚刚率先发现的新蠕虫--------“概念”病毒(Worm.Concept.57344),又是一种会通过email电子邮件进行传播的恶意蠕虫。当用户邮件的正文为空时,似乎没有附件,实际上邮件中嵌入了病毒的执行代码。只要用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收取邮件,在预览邮件时,病毒的执行代码就已经在不知不觉中执行了。执行时会将自身复制到临时目录下,再运行在临时目录中的副本。
该病毒还会在windows的system目录中生成load.exe文件,同时修改system.ini中的shell,把shell=explorer.exe改为explorer.exe load.exe –dontrunold,从而使病毒在下次系统启动时仍能被激活。另外,在system目录下,该病毒还会生成一个副本:riched20.dll。riched20.dll目录在windows系统中就存在,它就会把它覆盖掉了。
病毒复制到临时目录下的副本(有两个文件,文件名为???????.tmp.exe),在系统下次启动时,病毒会将他们删除(修改wininit.ini文件)。
为了通过邮件将自己传播出去,该病毒使用了MAPI函数读取用户的email并从中读取SMTP地址和email地址。病毒还在windows的临时目录下生成一个eml格式的临时文件,大小为79225字节,该文件已经用BASE64编码将病毒包含进去。然后,病毒就用取得的地址将带毒邮件发送出去。
病毒的第二种传播途径就是用与CodeBlue极其相似的方法,使用了IIS的UNICODE漏洞。
该病毒的第三种传播途径则是通过局域网的共享,传播到其它windows系统下。
另外,病毒运行时会利用ShellExcute执行系统中的一些命令如:NET.EXE、USER.EXE、SHARE.EXE等等,将Guest用户添加到Guests、Administrators组(针对NT/2000/XP),并激活Guest用户。还会将C盘根目录共享出来。
请用户按照如下方法一步一步进行手动清除:
1、打开进程管理器,查看进程列表;
2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中xxx为任意文件名);
3、切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;
4、切换到系统的System目录,寻找名称为Riched20.DLL的文件;
5、查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Concept病毒的副本大小为57344字节,如果有长度为57344字节的Riched20.DLL,删掉它;
6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件,删掉它;
7、在C:、D:、E:三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它;
8、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”;
9、如果是WinNT或者Win2000以及WinXP系统,则打开“控制面板│用户和密码”,将Administrator组中的guest帐号删除;
10、打开共享文件夹管理,将共享“C$”去除,该共享为本地C:的完全共享;
11、搜索整个机器,查找文件名为Readme.eml的文件,如果文件内容中包含
“<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML> ”
以及“Content-Type: audio/x-wav; name="readme.exe" Content-Transfer-Encoding: base64”,则删掉该文件。
四.邮件型病毒防治
类似于Homepage这种邮件型病毒让人防不胜防,实在让人有些头疼,由于Windows脚本宿主(Script Host)功能强大,VBScript和JScript脚本语言可以完成操作系统的大部分功能,于是他们也就成了病毒编写者的最爱,利用它来编制病毒程序不但容易,而且利用电子邮件来传递使得病毒的传播非常迅速,所以传统的杀毒软件对这种类型病毒的防治总会有一定的滞后性,所以我们必须自己采取一些有效措施来防治这类病毒,以保护的我们的数据和邮件免受侵害。
1、通用规则
(1)发现邮箱中出现不明来源的邮件应小心谨慎对待,尤其是带有可执行附件的邮件如.EXE、.VBS、.JS等
(2)如非必要,尽量关闭邮件“预览”特性。很多嵌入在HTML格式邮件中的病毒代码会在预览的时候执行,我们经常从媒体看到这样一种恐怖说法:“用户只要收到这些带病毒的邮件,即使不打开,病毒也能发作”,其实就是病毒代码在邮件预览的时候执行的。目前的邮件型病毒绝大多数由VBScript(JScript)编写或是在HTML格式邮件中嵌入Script,针对这些现状,提出以下几点解决办法:
2、防止病毒发作
Windows Script Host本来是被系统管理员用来配置桌面环境和系统服务,实现最小化管理的一个手段,但对于大部分一般用户而言,WSH并没有多大用处,所以最好禁止WSH,也就是禁止VBScript(JScript)文件的运行环境,如果在企业环境中,系统管理员禁止那些不需要VBScript(JScript)的客户机,甚至比一台台地安装防病毒软件更为简单有效。禁止了WSH后,可以防止大部分邮件型病毒的发作。
禁止VBScript(JScript)文件执行的几个办法:
(1)在“我的
电脑”—“工具”—“文件夹选项”对话框中,点击“文件类型”,删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射
(2)在Windows目录中,找到WScript.exe和JScript.exe,更改其名称或者干脆删除
(3)在Win9X和Windows NT 4.0上,可以通过控制面板中“添加/删除程序”项来
安全删除WSH
另外,为了防止可能包含在Outlook邮件中出现的宏病毒的发作,请在选择菜单“工具”—“宏”—“安全性”,然后将安全级别设置为“高安全性”。
3、防止病毒发作后“复制”
VBScript(JScript)中的磁盘文件和目录操作几乎都是通过FileSystemObject类来实现的,而对于绝大多数一般户来说,FileSystemObject也没有什么大的作用,所以可以从注册表中删除或更名FileSystemObject类,使得病毒代码无法创建对象,从而可以有效防止病毒复制自身。
运行regedit.exe,然后查找Scripting.FileSystemObject,找到后可以删除该键值(Key Value)或更改键名(Key Name),在做此项操作之前,请最好备份注册表并检查评估此操作对其它相关应用程序可能造成的影响。在企业环境中,系统管理员可以编制一个自动执行上述操作的VBScript(JScript)程序,来完成在所有客户机上快速配置(其它这才是Microsoft开发WSH的本意)。
4、防止病毒发作后“传播”
邮件型病毒几乎都是通过发送大量的携毒的电子邮件来实现的,所以如何防止病毒脚本取得“联系人”列表(通讯薄)并发送邮件,成为问题的关键。
病毒代码发邮件一般采取两种办法,一是利用Windows自带的CDO(Collaboration Data Object协作数据对象)或通过OOM (Outlook Object Model,Outlook对象模型)来发送,用CDO来发送邮件的时候,必须要有Microsoft SMTP
服务器,如果机器上没有安装Microsoft SMTP
服务器,病毒就不能发送邮件。
注意:Win9X系统上不能安装SMTP
服务器、Windows 2000 Professional默认不安装此服务,而Windows 2000 Server与Advanced Server默认情况下是安装此服务的。
(1)如果机器已安装了SMTP服务器,可以通过给SMTP服务器加入安全验证,以避免病毒代码利用CDO来匿名发送邮件,详细信息极相关配置可参见Windows 2000 SMTP Server文档。
(2)要阻止病毒利用Outlook来发送邮件,可以利用Outlook的“邮件传递推迟”特性,Outlook的这个特性可以让用户在撰写一个邮件并点击“发送”按纽后,邮件并不会马上提交给MTA (邮件传输
代理)来传输,而只是暂时保存在用户的“发件箱”文件夹中,待指定的时间过后,再进行真正的邮件发送。这个特性是通过Outlook的“规则”来实现的,成功地设置了这样的规则后,如果你不小心打开并执行了Homepage这样的病毒代码,在一阵硬盘狂响之后,你就会马上注意到你的“发件箱”文件夹中有大量待发邮件突然出现,这样你就可以确认你的机器已遭到病毒的骚扰,你应该立即删除“发件箱”中的这些邮件,并从“已删除邮件”文件夹中清空,这样就可以保证病毒不会再由你这儿传播到其它人的邮箱中。另外,有了这个邮件延迟的特性,可以让你在不小心发错邮件后有更正的机会。
邮件传递推迟特性是通过创建Outlook规则来实现,具体步骤如下
1)打开Outlook,点击“工具”—“规则向导”菜单(2)“新建”一个规则,选择“发送邮件后检查”,然后选择对那些邮件或所有邮件进行检查(3)选择“传递推迟若干分钟”,占击“若干”二字,输入推迟的分钟数
(4)保存并应用此规则
(5)如果在企业环境中,系统管理员可以将此规则导出成文件,然后在客户机上直接导入就行了
注意:上述设置是针对Outlook的,目前版本的Outlook Express尚不支持创建这样的规则。
5、防止病毒发作后搞“破坏”
病毒发作后的破坏行动是多种多样的,其中比较严重就是对硬盘数据和文件进行破坏,一般情况下只要禁用FileObjectSystem对象就可以了。通过以上的层层设防,您的系统就应该能防御绝大多数针对于Outlook的邮件型病毒了。另外,屡屡出现的电子邮件病毒总是把自己紧紧地跟Microsoft Outlook“绑”在一起,以致招来用户对Microsoft的众多责难,于是Microsoft痛定思痛,不断推出新的Outlook的安全补丁。在即将发布的Office XP的包含的Outlook 2002中不但全部禁用了HTML格式邮件中的脚本(Script)、ActiveX控件和Java Applet,而且对邮件的附件按类别分级处理,一级文件类型(如.bat、.exe、.vbs和.js等)是被Outlook所冻结的,用户无法查看或访问此类附件。另外,当用户发送具有一级文件类型扩展名的附件时,将看到一条警告信息。如果文件类型属于二级,则只能将附件保存到硬盘上后,再决定如何进行处理。并且Outlook在其它程序访问“通讯簿”的时候给予用户提示,要求确认,这样从几个方面严格限制了病毒发作与传播。
站长联系电话:13810154053
