最近给人修电脑,老是遇到这样那样的电脑问题。杀毒软件不好使,木马查杀软件也不尽人意,因为这类程序属于恶意程序,所以只有手动或者专杀工具之类的清理了。现把这段时间的恶意程序处理总结一下,欢迎大家分享。
引用
恶意程序:VIPTray.exe
表现特征:
• 系统进程里面出现viptray.exe
• 在windows安装目录的system32下面含有VIPTray.exe、WinDefendor.dll、friendly.exe等3个文件
传播途径:互联网、U盘、MP3、移动硬盘、数码相机
专杀软件:VIPTray Killer
手动清除:开机按F8进入安全模式,进到windows安装目录的system32下面,直接删除VIPTray.exe、WinDefendor.dll、friendly.exe等3个文件即可。
表现特征:
• 系统进程里面出现viptray.exe
• 在windows安装目录的system32下面含有VIPTray.exe、WinDefendor.dll、friendly.exe等3个文件
传播途径:互联网、U盘、MP3、移动硬盘、数码相机
专杀软件:VIPTray Killer
手动清除:开机按F8进入安全模式,进到windows安装目录的system32下面,直接删除VIPTray.exe、WinDefendor.dll、friendly.exe等3个文件即可。
引用
恶意程序:rose.exe
表现特征:
• 双击盘符无法打开,只能通过右键打开
• 几天之后删除系统NTDETECT.COM文件,导致系统无法启动
• 打开文件夹选项->查看->"隐藏受保护的操作系统文件(推荐)"前的勾去掉,并在此项下面选择“显示所有文件和文件夹”。然后使用右键打开任一盘符,如果发现有“rose.exe”和“AUTORUN.INF”文件,则已中毒
• 系统进程里面出现若干rose进程,消耗CPU资源,使系统越来越慢
传播途径:互联网、U盘、MP3、移动硬盘、数码相机
专杀软件:rose Killer(执行kill_rose.bat即可)
手动清除:无
表现特征:
• 双击盘符无法打开,只能通过右键打开
• 几天之后删除系统NTDETECT.COM文件,导致系统无法启动
• 打开文件夹选项->查看->"隐藏受保护的操作系统文件(推荐)"前的勾去掉,并在此项下面选择“显示所有文件和文件夹”。然后使用右键打开任一盘符,如果发现有“rose.exe”和“AUTORUN.INF”文件,则已中毒
• 系统进程里面出现若干rose进程,消耗CPU资源,使系统越来越慢
传播途径:互联网、U盘、MP3、移动硬盘、数码相机
专杀软件:rose Killer(执行kill_rose.bat即可)
手动清除:无
引用
恶意程序:WINLOGON.exe
表现特征:
• 系统进程里面有WINLOGON.exe(注意是大写的,小写的winlogon.exe是正常的)
• 系统进程里面有类似Explorer.exe 1之类的(可能还会是Explorer.exe 1.com等等,很多变种)
• 所有的exe可执行文件均不能打开(提示无法找到)
• 打开程序时,提示你选择打开方式,或者叫你选择用什么来打开
• D盘藏有2个隐藏文件autorun.inf和pagefile的DOS指向文件
• C盘windows目录下面有诸如1.com iexplore.com finder.com ExeRoute.exe(都是隐藏的)
• 注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run这里会出现一个“Torjan pragramme”项目
• 你的传奇被盗号,如果你玩的话
传播途径:互联网
专杀软件:落雪专杀(杀毒完毕以后记住重新启动机器)
手动清除:这个有点复杂,就不提供手动清除了。用专杀工具就能搞定。
表现特征:
• 系统进程里面有WINLOGON.exe(注意是大写的,小写的winlogon.exe是正常的)
• 系统进程里面有类似Explorer.exe 1之类的(可能还会是Explorer.exe 1.com等等,很多变种)
• 所有的exe可执行文件均不能打开(提示无法找到)
• 打开程序时,提示你选择打开方式,或者叫你选择用什么来打开
• D盘藏有2个隐藏文件autorun.inf和pagefile的DOS指向文件
• C盘windows目录下面有诸如1.com iexplore.com finder.com ExeRoute.exe(都是隐藏的)
• 注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run这里会出现一个“Torjan pragramme”项目
• 你的传奇被盗号,如果你玩的话
传播途径:互联网
专杀软件:落雪专杀(杀毒完毕以后记住重新启动机器)
手动清除:这个有点复杂,就不提供手动清除了。用专杀工具就能搞定。
引用
恶意程序:csrss.exe
表现特征:
• 系统进程里面有这样的c:\windows\system32\inetsrv\csrss.exe路径映象
• 在windows目录下面的system32目录下面有COMboHEvent.dll文件
• 当你把inetsrv\csrss.exe进程结束了,又把inetsrv目录删除了,但是启动以后又来了,这是因为它是由COMboHEvent.dll这个文件衍生出来的。但是COMboHEvent.dll你是删除不掉的,因为它又是和svchost.exe这个正常的系统进程连在一起的。
传播途径:互联网
专杀软件:暂时没有
手动清除:开机按F8进入安全模式,进到windows安装目录的system32下面,直接删除inetsrv这个目录,以及COMboHEvent.dll这个文件即可(注意此文件可能是隐藏属性)
表现特征:
• 系统进程里面有这样的c:\windows\system32\inetsrv\csrss.exe路径映象
• 在windows目录下面的system32目录下面有COMboHEvent.dll文件
• 当你把inetsrv\csrss.exe进程结束了,又把inetsrv目录删除了,但是启动以后又来了,这是因为它是由COMboHEvent.dll这个文件衍生出来的。但是COMboHEvent.dll你是删除不掉的,因为它又是和svchost.exe这个正常的系统进程连在一起的。
传播途径:互联网
专杀软件:暂时没有
手动清除:开机按F8进入安全模式,进到windows安装目录的system32下面,直接删除inetsrv这个目录,以及COMboHEvent.dll这个文件即可(注意此文件可能是隐藏属性)
引用
恶意程序:toy.exe
表现特征:
• 进程里面出现winlog0n.exe程序(注意是“零 0”,而不是“欧 o” ,弄得和系统文件winlogon.exe及其相似)
• 在“开始”->“程序”->“启动”项里面出现windows.exe(有时可能为隐藏文件)
• 只要一插上移动设备,在移动设备的根目录即出现2个隐藏文件:toy.exe 和 autorun.inf
传播途径:U盘 数码相机 移动硬盘
专杀软件:Toy Killer
手动清除:
• 结束进程:winlog0n.exe(注意别把系统进程winlogon.exe给结束了)
• 打开文件夹选项->查看->"隐藏受保护的操作系统文件(推荐)"前的勾去掉,并在此项下面选择“显示所有文件和文件夹”。
• 把“开始”->“程序”->“启动”项里面出现的windows.exe(有时可能为隐藏文件)给删除掉
• 进入WINDOWS安装目录下面的system32目录,删除隐藏文件winlog0n.exe
• 右键选择“打开”打开U盘后(千万不要双击打开,否则又将中招),将会看见1个隐藏文件autorun.inf以及一个隐藏目录RECYCLER,直接删除即可!
表现特征:
• 进程里面出现winlog0n.exe程序(注意是“零 0”,而不是“欧 o” ,弄得和系统文件winlogon.exe及其相似)
• 在“开始”->“程序”->“启动”项里面出现windows.exe(有时可能为隐藏文件)
• 只要一插上移动设备,在移动设备的根目录即出现2个隐藏文件:toy.exe 和 autorun.inf
传播途径:U盘 数码相机 移动硬盘
专杀软件:Toy Killer
手动清除:
• 结束进程:winlog0n.exe(注意别把系统进程winlogon.exe给结束了)
• 打开文件夹选项->查看->"隐藏受保护的操作系统文件(推荐)"前的勾去掉,并在此项下面选择“显示所有文件和文件夹”。
• 把“开始”->“程序”->“启动”项里面出现的windows.exe(有时可能为隐藏文件)给删除掉
• 进入WINDOWS安装目录下面的system32目录,删除隐藏文件winlog0n.exe
• 右键选择“打开”打开U盘后(千万不要双击打开,否则又将中招),将会看见1个隐藏文件autorun.inf以及一个隐藏目录RECYCLER,直接删除即可!
引用
恶意程序:wincfgs.exe
表现特征:
• 进程里面出现wincfgs.exe程序
• 开机会弹出一个空白的记事本
• 只要一插上带写保护的移动设备,就会提示“因软盘为写保护而无法写入软盘。请将卷的写保护从驱动器中删除。”
传播途径:U盘 数码相机 移动硬盘
专杀软件:暂时没有
手动清除:
• 结束进程:wincfgs.exe
• 打开文件夹选项->查看->"隐藏受保护的操作系统文件(推荐)"前的勾去掉,并在此项下面选择“显示所有文件和文件夹”。
• 进入WINDOWS安装目录下面的system32目录,删除隐藏文件wincfgs.exe。
• 把“开始”->“运行”->输入msconfig,把启动项里面的wincfgs.exe旁边的小钩去掉。
表现特征:
• 进程里面出现wincfgs.exe程序
• 开机会弹出一个空白的记事本
• 只要一插上带写保护的移动设备,就会提示“因软盘为写保护而无法写入软盘。请将卷的写保护从驱动器中删除。”
传播途径:U盘 数码相机 移动硬盘
专杀软件:暂时没有
手动清除:
• 结束进程:wincfgs.exe
• 打开文件夹选项->查看->"隐藏受保护的操作系统文件(推荐)"前的勾去掉,并在此项下面选择“显示所有文件和文件夹”。
• 进入WINDOWS安装目录下面的system32目录,删除隐藏文件wincfgs.exe。
• 把“开始”->“运行”->输入msconfig,把启动项里面的wincfgs.exe旁边的小钩去掉。
---
转载请注明本文标题和链接:《恶意程序清理终极方法》
下载地址:http://www.mmsk.cn/index.htm