博文
如何清除searchnet.exe病毒(2006-09-13 20:54:00)
摘要:如何清除searchnet.exe病毒 [绝对经典]
作者:拉灯
我的电脑一启动,杀毒软件就会检测到searchnet.exe病毒,查看过资料后,应该是一恶意软件所为。
请问:
1.如何删除该病毒程序
2.该病毒对系统有什么危害
<--Element not supported - Type: 8 Name: #comment-->
方法1
删除searchnet.exe病毒的步骤
serarchnet.exe是一个非常顽固的病毒,隐藏服务和进程,一般的软件很难发现并删除!officescan可以检查此病毒,但无法清除!经本人的摸索,现将清除此病毒的方法分享给大家,此方法百分百有效:
1、用启动光盘进入系统,到\windows\system32\drives;
2、将上述目录中的FAD.sys 和anfad.sys更名,(此文件不能直接被删除);
3、再将\program files\serachenet\目录下的主要文件更名(建议将此目录中的全部文件更名);
4、再删除serachnet目录即可
5、删除\windows\system32\drives更名后的文件;
重起电脑ok
方法二
是流氓软件。。。。
一些网友反映电脑有一个叫Searchnet.exe的文件被杀软报毒但是无法清除(Kaspersky定名为trojan-spy.agent.iw)。该程序位于C:\Program Files\Searchnet文件夹,里面有Searchnet.exe ServerHost.exe serveup.exe srvnet32.dll等文件(某些变种的Searchnet.exe是在C:\Program Files\下)。在C:\WINDOWS\System32还有servehost.exe文件,并添加自身到系统服务为Remote Log。会修改系统设置使用户无法显示文件夹所有文件等。使用KILLBOX无法删除这些文件。
<......
删除划词搜索zsearch(2006-09-13 20:51:00)
摘要:删除划词搜索
由于受到流氓软件的侵袭而强制安装了划词搜索,谁知道这玩意还挺难卸。查了n个资料后终于找到一个比较好的方法。它能对相对最新版的划词进行清理,拿来与大家分享。具体网址记不住了,内容如下:
完全清除划词搜索 显示摘要2006-03-27 类别:电脑应用今天安装代理猎手时,发现捆绑安装了中搜的划词搜索,一不小心中招了。开始以为没什么,卸载就是了,不料发现这划词搜索可真流氓,比网络行业协会公布的上网助手、青娱乐、网络猪等“十大流氓软件”还要流氓得多。“十大”还可通过超级兔子魔法设置、完美卸载、Windows优化大师、恶意软件清理助手等工具卸载或常规方法手工删除,这划词搜索可就要顽固得多了,根据我的试验,网上找得到的清除方法和工具,拿它一点办法也没有......
今天安装代理猎手时,发现捆绑安装了中搜的划词搜索,一不小心中招了。开始以为没什么,卸载就是了,不料发现这划词搜索可真流氓,比网络行业协会公布的上网助手、青娱乐、网络猪等“十大流氓软件”还要流氓得多。“十大”还可通过超级兔子魔法设置、完美卸载、Windows优化大师、恶意软件清理助手等工具卸载或常规方法手工删除,这划词搜索可就要顽固得多了,根据我的试验,网上找得到的清除方法和工具,拿它一点办法也没有。它的所有安装文件无法删除,注册表启动项里的键值也无法删除,安全模式下也不行。就算在DOS环境下强行删除其安装目录,还是有文件遗留在系统里,删了又会自身复制,无法彻底清除。而且大部分卸载软件和杀毒软件都无法检测得到这些遗留文件。
几经周折,终于找到了对付它的办法,终于让它从俺爱机里彻底滚出去了。
1、首先用划词搜索自带的卸载程序(或卸载工具)卸载。当然是不能卸载掉的,但可清除掉划词搜索在注册表的一些东东。
2、启动机器进入DOS环境,用Deltree命令直接删除划词搜索的安装目录HUACI。此时若启动系统,会发现在系统配置程序和注册表启动项里还遗留有东西。并且用瑞星、卡巴斯基、KV2005、金山毒霸、熊猫卫士等杀毒软件以及卸载工具都不能查出还遗留有其他文件。只有用Symantec AntiVirus企业版或Symantec Norton AntiVirus 才能发现在C:winntsystem32drivers(WINNT:XP为......
灰鸽子手动查杀(2006-08-13 12:45:00)
摘要:今天开机发现KV报在WINDOWS 下杀到 灰鸽子 郁闷啊 KV显示已经查杀成功 但是系统重起后再次生成。。后来发现被查杀到的是日子文件(log)和2个不痛不痒的东西 病毒在完成安装后 竟然释放出日子文件。。(天啊 太嚣张了,KV也只杀到了这3个文件,哎 现在的杀毒软件和现在的社会一样,只能抓小的 大的照样逍遥法外)
此病毒做了壳,使得杀毒软件对它的本体起不了作用。。。
还有现在的专杀工具真的是有愧“专杀”这两个字,不是杀不了,就是自己都带毒。
灰鸽子相关资料
灰鸽子木马分为两部分。客户端和服务端,当然这个也是其他许多木马的基本结构,其实木马也
是一种变相的C/S模式服务软件程序。客户端配置生成一个服务端程序,服务端文件的名称默认
为*.exe。然后通过各种渠道传播木马。
传播木马的手段很多,所以请大家务必留神。
木马栽培技术~:
其与一张图片绑定,然后通过各种诱人的手段用QQ把绑定木马的图片发送与对方,骗你运行。
还有就是建立起一个个人主页,诱骗你点击,在利用IE漏洞把木马下载到你的机子上并运行。
还有的将文件上传到某个软件下载网站,冒充成一个有趣的软件诱骗用户下载(现在的很多不正
规软件网站被着良心让访问着下木马。。听万博的兄弟也经常抱怨说到正规的网站下的软件竟然
也带有病毒,,,)
予以以上的栽培技术不难看出,木马都是经过诱骗手段进行种植的,所以警告那些意志不坚定的
同志格外小心,别当养虫专业户
当木马注入成功后,*.exe文件就开始发标了,它将自己拷贝到windows目录下(%SystemRoot%)
,然后从本体释放*.dll *_server *_hook.dll *key_dll四个文件相互配合组成了灰鸽子服务端
。
我所感染的灰鸽子病毒
病毒本体:
服务:windows_system_update
文件: c:/
windows/win_update_hook.dll
win_updatekey.dll //经过查找资料 发现这个文件是个用于键盘记忆的文件
win_update.dll
win_update.exe
此病毒将自己注册成服务,每次开机都能自动运行,运行后启动......
winlogon.exe病毒的查杀方法(2006-08-06 12:19:00)
摘要:winlogon.exe病毒的查杀方法这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程
正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。
而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。
进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。
这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。
那个WINDOWS下的WINLOGON.EXE确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开D盘,她就会重新被安装了,呵呵,这段时间很多人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马,至于会不会盗其他帐号如QQ,网银 就看她高兴了,呵呵,估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家最好尽快备份,然后关门杀毒
包括方新等修改过的51pywg传家宝,和他们破解的其他一切外挂,这次嫌疑最大的是51PYWG,至于其他合作网站估计也逃不了关系,特别是方新网站,已经被证实过多次在网站放木马,虽然他解释是被黑了,但是不能排除其他可能,特别小心那些启动后连接网站的外挂,不排除启动器本身就有毒,反正一句话,这种启动就连接某网站的破解软件最容易放毒,至于什么时候放,怎么方,比如一天放几个小时,都要看他怎么爽,用也尽量用那种完全本地破解验证版的,虽然挂盟现在好像还没发现被放马或者自己放,但是千万小心,,最近传奇世界传奇N多人被盗号,目标直指这些网站,以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法,注意这个假的WINLOGON.EXE是在WIN......
恶意网页病毒症状分析以及修复方法(2006-08-05 19:25:00)
摘要:恶意网页病毒症状分析以及修复方法
一、对IE浏览器产生破坏的网页病毒:
(一).默认主页被修改
1.破坏特性:默认主页被自动改为某网站的网址。
2.表现形式:浏览器的默认主页被自动设为如********.COM的网址。
3.清除方法:采用手动修改注册表法,开始菜单->运行->regedit->确定,打开注册表编辑工具,按顺序依次打开:HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main 分支,找到Default_Page_URL键值名(用来设置默认主页),在右窗口点击右键进行修改即可。按F5键刷新生效。
危害程度:一般
(二).默认首页被修改
1.破坏特性:默认首页被自动改为某网站的网址。
2.表现形式:浏览器的默认主页被自动设为如********.COM的网址。
3.清除方法:采用手动修改注册表法,开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支,找到StartPage键值名(用来设置默认首页),在右窗口点击右键进行修改即可。按F5键刷新生效。
危害程度:一般
(三).默认的微软主页被修改
1.破坏特性:默认微软主页被自动改为某网站的网址。
2.表现形式:默认微软主页被篡改。
3.清除方法:
(1)手动修改注册表法:开始菜单->运行->regedit->确定,打开注册表编辑工具,按如下顺序依次打开:HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main 分支,找到Default_Page_URL键值名(用来设置默认微软主页),在右窗口点击右键,将键值修改为 http://www.microso......
spoolsv or spoolsv.exe病毒隐身大师(2006-06-02 11:05:00)
摘要:进程文件: spoolsv or spoolsv.exe
进程名称: Microsoft Printer Spooler Service
描述:
spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是
Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全级
别是建议立即删除。
关于spoolsv.exe
xp下的正常程序大小是57k
而大小为44k的是 木马(隐身大盗)程序,一般藏于c:\windows\system32\spoolsv文件夹,另外该木
马为防被删还设置有备份程序tqppmtw.fyf藏于windows32文件夹
该木马手工清除办法:首先删除c:\windows\system32\spoolsv文件夹,而非单独删除
c:\windows\system32\spoolsv下的spoolsv.exe(44k)文件,然后打开任务管理器,将spoolsv进程优
先级调为最低;最后迅速删除其备份文件tqppmtw.fyf并关闭spoolsv进程即可。
介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
Spoolsv.exe→打印任务控制程序,一般会先加载以供列表机打印前的准备工作
Spoolsv.exe,如果常增高,有可能是病毒感染所致
目前常见的是:
Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒)
危害程度:中
受影响的系统: Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 3.x,
Macintosh, Unix, Linux
病毒危害:
1. 生成病毒文件
2. 插入正常系统文件中
3. 修改系统注册表
......
lsass.exe病毒木马手工清除方法病毒症状(2006-06-01 23:24:00)
摘要:lsass.exe病毒木马手工清除方法
病毒症状
进程里面有2个lsass.exe进程,一个是system的,一个是当前用户名的(该进程为病毒).双击D:盘打不开,只能通过右击选择打开来打开.用kaspersky扫描可以扫描出来,并且可以杀掉.但是重启后又有两个lsass.exe进程.该病毒是一个木马程序,中毒后会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.该病毒修改注册表启动RUN键值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile键值,并新建windowfile键值.将exe文件打开链接关联到其生成的病毒程序%SYSTEM\EXERT.exe上.
该病毒新建如下文件:
c:\program files\common files\INTEXPLORE.pif
c:\program files\internet explorer\INTEXPLORE.com
%SYSTEM\debug\debugprogram.exe
%SYSTEM\system32\Anskya0.exe
%SYSTEM\system32\dxdiag.com
%SYSTEM\system32\MSCONFIG.com
%SYSTEM\system32\regedit.com
%SYSTEM\system32\LSASS.exe
%SYSTEM\system32\EXERT.exe
解决方法
1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-》“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)",比如我的计算机上就输入"ntsd –c q -p 1064".
2.......
病毒库(2006-01-03 18:15:00)
摘要:简介
五毒虫是一个包括邮件蠕虫、漏洞蠕虫、后门、QQ尾巴等行为于一身的混合病毒
使用教程
1、 双击下载的文件,运行3721五毒虫病毒专杀工具;
2、 启动专杀工具后,点击主界面中的查杀按钮,即可进行查杀。
技术细节
以下为该病毒的行为:
A、病毒运行后会将自身复制到系统目录下:
%SystemRoot%\SYSTRA.EXE
%System%\hxdef.exe
%System%\IEXPLORE.EXE
%System%\RAVMOND.exe
%System%\realsched.exe
%System%\vptray.exe
%System%\kernel66.dll
B、在系统安装目录中生成
%System%\ODBC16.dll
%System%\msjdbc11.dll
%System%\MSSIGN30.DLL
%System%\LMMIB20.DLL
%System%\NetMeeting.exe
%Windir%\suchost.exe
%System%\spollsv.exe
在每个盘符下生成如下两个文件
AUTORUN.INF
COMMAND.EXE
使用户一双击盘符即会中毒
C、在注册表主键:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下键值:
"WinHelp"="%SYSTEM%"\realsched.exe"
"Hardware Profile" ="%SYSTEM%"\hxdef.exe"
"Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program In Windows"="%system%\IEXPLORE.EXE"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Protected Storage"="RUND......