博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 6310|回复: 11

如何识别非法进程与手工杀毒

[复制链接]
发表于 2007-10-7 12:05:51 | 显示全部楼层 |阅读模式
简单地说,进程是程序在计算机上的一次执行活动。当你运行一个程序,你就启动了一个进程。进程又分为系统进程和用户进程。系统进程主要用于完成操作系统的功能,而QQ、Foxmail等应用程序的进程就是用户进程。

  进程的重要性体现在可以通过观察它,来判断系统中到底运行了哪些程序,以及判断系统中是否入驻了非法程序。正确地分析进程能够帮助我们在杀毒软件不起作用时,手动除掉病毒或木马。

  瞭望进程

  如何知道系统中目前有哪些进程?在Windows98/Me/2000/XP/2003中,按下“Ctrl+Alt+Delete”组合键就可以直接查看进程,或打开“Windows 任务管理器”的“进程”选项来查看进程。通常来说,系统常见的进程有winlogon.exe,services.exe,explorer.exe,svchost.exe等。要熟悉进程,首先就要熟悉最常见的系统进程,这样当发现其它奇怪的进程名(如HELLO,GETPASSWORD,WINDOWSSERVICE等等)时就方便判断了。
 
常规杀灭进程法

  1.有的进程在进程选项中无法删除,这时可以打开注册表编辑器(在“开始→运行”中键入regedit),找到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下面的键,将可疑的选项删除。

  2.另外,还可以通过系统的“管理工具”里面的“服务”查看目前的全部进程。这里重点要看服务中启动选项为“自动”的那部分进程,检查它们的名字、路径以及登录账户、服务属性的“恢复“里面有没有重启计算机的选项(有些机器不断属性的重新启动的秘密就在这里)。一旦发现可疑的名字需要马上禁止此进程的运行。

  而要彻底删除这些程序进程可以用下面的办法:

  打开注册表编辑器,展开分支“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”,在右侧窗格中显示的就是本机安装的服务项,如果要删除某项服务,只要删除注册表中相关键值即可。

  3.除了上面两种方法,我们还可以先查看这个进程文件所在的路径和名称。重启系统,按F8键进入安全模式,然后在安全模式下删除这个程序。

  这里,笔者编写了容易被大家认出来的非法进程服务(系统进程)举例说明:HELLO-WORLD SERVICE 1。我们可以轻松地在进程列表和“服务”中找到它。根据上面的方法,我们可以把这个进程杀掉或禁用。

  不少病毒和木马是以用户进程的形式出现的,所以大部分人认为“病毒是不可能获得‘SYSTEM’权限的”。其实,这是个错误的想法,很多病毒或木马也能获得SYSTEM权限,并伪装成系统进程出现在你面前。所以这类病毒就相当容易迷惑人,遇到这种情况,只有不断提高并关注系统安全方面的知识,才能准确判断该进程是否安全。
 楼主| 发表于 2007-10-7 12:06:23 | 显示全部楼层
上说:“进程为应用程序的运行实例,是应用程序的一次动态执行。”看似高深,我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。

  危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显示,如“宏病毒”),那么及时查看并准确杀掉非法进程对于“手工杀毒有起着关键性的作用。

  操作系统如何打开进程列表?

  要通过进程列表查看系统是否染毒,必须打开当前的执行程序进程列表,Microsoft的每种系统都有相应的打开方法,但能够显示的能力却因(系统)不同,有所差异:

  1. Windows 98 /Me系统

  打开系统进程的方式很简单,快捷键“Ctrl+Alt+Delete”(如图1),这个窗口大家应该比较熟悉,使用Windows系统的用户都知道用这个方法来关闭程序,不过它同样用于显示系统进程,只是Windows 98系统较初级,对进程的显示局限于名称,且里面所显示的还有打开的文件及目录名,查看时易混淆。Windows Me的进程打开方式和Windows 98相同。

  Windows 9x系统打开的进程列表混乱且不完全,显然不便于查看系统的具体进程状况,所以建议使用一些工具程序来为Windows 9x系统显示进程,如“Windows优化大师”,在“优化大师”的“系统安全优化”项内打开“进程管理”,在图2所示的“Windows 进程管理”窗口内,可以详细查看当前计算机所运行的所有进程,及具体程序所在的位置,这样更方便完成后面要介绍的如何利用进程进行查毒、杀毒。

  2. Windows 2000/ XP/2003系统

  Windows 2000、Windows XP、Windows 2003打开进程窗口的方式与Windows 9x系统相同,只是三键后打开的是“Windows 任务管理器”窗口,需要选择里面的“进程”项。Windows 2000系统只显示具体进程的全名,占用的内存量;Windows XP、Windows 2003系统相比Windows 2000会显示该进程归属于那个用户下,如操作系统所必须的基础程序,会在后面的“用户名”内显示为“SYSTEM”,由用户另外开启的程序则用户名为当前的系统登录用户名。

  通过进程发现、处理病毒

  在介绍具体的查毒和杀毒前,笔者先回答开篇提出的两个问题。为什么杀毒软件并不能全面的查找和杀掉病毒?首先,病毒防火墙是通过对程序进行反汇编,然后与自己的病毒库进行对比来查找病毒,如果病毒较新,而杀毒软件又未能及时升级便不能识别病毒。其次,杀毒软件在发现病毒后,如果是独立的可执行病毒程序,会选择直接删除的处理方式,而病毒如果被当作进程执行了,杀毒软件就无能为力了,因为它没有功能和权限先停止掉系统的这些进程,被当作进程执行的程序是不能被删除的(这也是大家在删除一个程序时,提示该程序正在被使用不能删除的原因)。所以在使用杀毒软件杀毒时,才会有杀毒完成后,又出现病毒提示的原因。

  回到原来话题上!通过进程如何发现和杀掉病毒呢?由前面的知识介绍可知,Windows 9X和Windows 2000系统只能显示进程的名称,这对判断该进程是否是病毒还不够,如果要准确的断定病毒,最好使用前面介绍的“Windows优化大师”来查看进程程序的源路径,如果是“C:\windows\system”下的一些未知的“EXE”那便极有病毒的可能性了。Windows XP和Windows 2003系统,进程后会有“用户名”的显示,病毒是不可能获得“SYSTEM”权限的,所以应注意“用户名”是当前登录用户的进程,一旦发现是病毒,可以立即“杀掉”。这里介绍两个技巧:

  1.发现可疑进程后,利用Windows的查找功能,查找该进程所在的具体路径,通过路径可以知道该进程是否合法,譬如由路径“C:\Program Files\3721\assistse.exe”知道该程序是3721的进程,是合法的。

  2.在对进程是否病毒拿不定主意时,可以复制该进程的全名,如:“xxx.exe”到googl.com或baidu.com这样的全球搜查引擎上进行搜查,如果是病毒会有相关的介绍网页。

  确定了该进程是病毒,首先应该杀掉该进程,对于Windows 9x系统,选中该进程后,点击下面的“结束任务”按钮,Windows 2000、Windows XP、Windows 2003系统则在进程上单击右键在弹出菜单上选择“结束任务”。“杀掉”进程后找到该进程的路径删除掉即可,完成后最好在进行一次杀毒,这样就万无一失了。

  一次利用进程杀毒的具体过程是这样的:“通过进程名及路径判断是否病毒——杀掉进程——删除病毒程序”,为了让读者更好的判断进程,在这里补充一些Windows的进程资料给大家:

  进程名??????描述

  smss.exe?????Session?Manager

  csrss.exe ????子系统服务器进程

  winlogon.exe???管理用户登录

  services.exe???包含很多系统服务

  lsass.exe ????管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。

  svchost.exe??? Windows 2000/XP 的文件保护系统

  SPOOLSV.EXE ???将文件加载到内存中以便迟后打印。

  explorer.exe???资源管理器

  internat.exe???托盘区的拼音图标

  mstask.exe????允许程序在指定时间运行。

  regsvc.exe????允许远程注册表操作。(系统服务)→remoteregister

  tftpd.exe ????实现 TFTP Internet 标准。该标准不要求用户名和密码。

  llssrv.exe????证书记录服务

  ntfrs.exe ????在多个服务器间维护文件目录内容的文件同步。

  RsSub.exe ????控制用来远程储存数据的媒体。

  locator.exe ???管理 RPC 名称服务数据库。

  clipsrv.exe ???支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。

  msdtc.exe ????并列事务,是分布于两个以上的数据库,消息队列,文件系统或其他事务保护资源管理器。

  grovel.exe????扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对 NTFS 文件系统有用)。

  snmp.exe?????包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。

  以上这些进程都是对计算机运行起至关重要的,千万不要随意“杀掉”,否则可能直接影响系统的正常运行。
 楼主| 发表于 2007-10-7 12:08:28 | 显示全部楼层
上网最恐怖的事莫过于新病毒出来的时候,尽管电脑上我们都装有各种强大的杀毒软件,也配置了定时自动更新病毒库,但病毒总是要先于病毒库的更新的,所以中招的每次都不会是少数,这里列举一些通用的杀毒方法,自己亲自动手来用系统自带的工具绞杀病毒:

一、自己动手前,切记有备无患——用TaskList备份系统进程

新型病毒都学会了用进程来隐藏自己,所以我们最好在系统正常的时候,备份一下电脑的进程列表,当然最好在刚进入Windows时不要运行任何程序的情况下备份,样以后感觉电脑异常的时候可以通过比较进程列表,找出可能是病毒的进程。

在命令提示符下输入:

TaskList /fo:csv>g:zc.csv

上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中,g:为你要保存到的盘,可以用Excel打开该文件.

二、自己动手时,必须火眼金睛——用FC比较进程列表文件

如果感觉电脑异常,或者知道最近有流行病毒,那么就有必要检查一下。

进入命令提示符下,输入下列命令:

TaskList /fo:csv>g:yc.csv

生成一个当前进程的yc.csv文件列表,然后输入:

FC g:\zccsv g:\yc.csy

回车后就可以看到前后列表文件的不同了,通过比较发现,电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。

三、进行判断时,切记证据确凿——用Netstat查看开放端口

对这样的可疑进程,如何判断它是否是病毒呢?根据大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒,可以查看一下端口占有情况。

在命令提示符下输入:

Netstat -a-n-o

参数含义如下:

a:显示所有与该主机建立连接的端口信息

n:显示打开端口进程PID代码

o:以数字格式显示地址和端口信息

回车后就可以看到所有开放端口和外部连接进程,这里一个PID为1756(以此为例)的进程最为可疑,它的状态是“ESTABLISHED”,通过任务管理器可以知道这个进程就是“Winion0n.exe”,通过查看本机运行网络程序,可以判断这是一个非法连接!

连接参数含义如下:

LISTENINC:表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接,只有TCP协议的服务端口才能处于LISTENINC状态。

ESTABLISHED的意思是建立连接。

表示两台机器正在通信。

TIME-WAIT意思是结束了这次连接。

说明端口曾经有过访问,但访问结束了,用于判断是否有外部电脑连接到本机。

四:下手杀毒时,一定要心狠手辣——用NTSD终止进程

虽然知道 “Winion0n.exe”是个非法进程,但是很多病毒的进程无法通过任务管理器终止,怎么办?

在命令提示符下输入下列命令:

ntsd –c q-p 1756

回车后可以顺利结束病毒进程。

提示:“1756”为进程PID值,如果不知道进程的ID,打开任务管理器,单击“查看→选择列→勾上PID(进程标识符)即可。

NTSD可以强行终止除Sytem,SMSS.EXE,CSRSS.EXE外的所有进程。

五、断定病毒后,定要斩草除根——搜出病毒原文件

对于已经判断是病毒文件的“Winion0n.exe”文件,通过搜索“本地所有分区”、“搜索系统文件夹和隐藏的文件和文件夹”,找到该文件的藏身之所,将它删除。

不过这样删除的只是病毒主文件,通过查看它的属性,依据它的文件创建曰期、大小再次进行搜索,找出它的同伙并删除。

如果你不确定还有那些文件是它的亲戚,通过网络搜索查找病毒信息获得帮助。

六、清除病毒后一定要打扫战场

手动修复注册表虽然把病毒文件删除了,但病毒都会在注册表留下垃圾键值,还需要把这些垃圾清除干净。

1、用reg export备份自启动。

由于自启动键值很多,发现病毒时手动查找很不方便。

这里用reg export+批处理命令来备份。

启动记事本输入下列命令:

reg export HKLM\software\Microsoft\Windows\

CurrentVersion\Run fo:\hklmrun.reg

reg export HKCU\Software\Microsoft\Windows\

CurrentVersion\Policies\Explorer\Run f:\hklcu.reg

reg export HKLM\SOFTWARE\Microsoft\Windows\

CurrentVersion\Policies\Explorer\Run hklml.reg

注:这里只列举几个常见键值的备份,其它键值请参照上述方法制作。

然后将它保存为ziqidong.bat在命令提示符下运行它,即可将所有自启动键值备份到相应的reg文件中,接着再输入:

copy f:\*.reg ziqidong.txt

命令的作用是将所有备份的reg文件输出到“ziqidong.txt”中,这样如果发现病毒新增自启动项,同上次导出自启动值,利用上面介绍的FC命令比较前后两个txt文件,即可快速找出新增自启动项目。

2、用reg delete删除新增自启动键值。

比如:通过上面的方法在[HKER_CURRENT_USER\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run],找到一个“Logon”自启动项,启动程序为“c:\windows\winlogon.exe”,现在输入下列命令即可删除病毒自启动键值:

reg delete HKLM\software\Microssoft\Windows\

CurrentVersion\Run /f

3、用reg import恢复注册表。

Reg de-lete删除是的是整个RUN键值,现在用备份好的reg文件恢复即可,输入下列命令即可迅速还原注册表:reg import f:\hklmrun.reg

上面介绍手动杀毒的几个系统命令,其实只要用好这些命令,我们基本可以KILL掉大部分的病毒,当然平时就一定要做好备份工作。

提示:上述操作也可以在注册表编辑器里手动操作,但是REG命令有个好处,那就是即使注册表编辑器被病毒设置为禁用,也可以通过上述命令导出/删除/导入操作,而且速度更快!

七、捆绑木马克星——FIND

上面介绍利用系统命令查杀一般病毒,下面再介绍一个检测捆绑木马的“FIND”命令。

相信很很多网虫都遭遇过捆绑木刀,这些“批着羊皮的狼”常常躲在图片、FLASH、甚至音乐文件后面。

当我们打开这些文件的时候,虽然在当前窗口显示的确实是一幅图片(或是播放的FLASH),但可恶的木马却已经在后台悄悄地运行了。

比如近曰我就收到一张好友从QQ传来的超女壁纸,但是当我打开图片时却发现:图片已经用“图片和传真查看器”打开了,硬盘的指示灯却一直在狂闪。

显然在我打开图片的同时,有不明的程序在后台运行。

现在用FIND命令检测图片是否捆绑木马,在命令提示符输入:

FIND /c /I〝This program〞g:\chaonv.jpe.exe其中:

g:\chaonv.jpe.exe表示需要检测的文件

FIND命令返回的提示是“___G:CHAONV.EXE: 2”,这表明“G:、CHAONV.EXE”确实捆绑了其它文件。

因为FIND命令的检测:如果是EXE文件,正常情况下返回值应该为“1”;如果是不可执行文件,正常情况下返回值应该为“0”,其它结果就要注意了。

提示:其实很多捆绑木马是利用Windows默认的“隐藏已知类型文件扩展名”来迷惑我们,比如本例的“chaonv.jpe.exe”,由于这个文件采用了JPG文件的图标,才导致上当。

打开“我的电脑”,单击“工具→文件夹选项”,“单击”“查看”,去除“隐藏已知类型文件扩展名”前的小勾,即可看清“狼”的真面目。

八、总结

最后我们再来总结一下手动毒的流程:

用TSKLIST备份好进程列表→通过FC比较文件找出病毒→用NETSTAT判断进程→用FIND终止进程→搜索找出病毒并删除→用REG命令修复注册表。

这样从发现病毒、删除病毒、修复注册表,这完成整个手动查毒、杀毒过程。
 楼主| 发表于 2007-10-7 12:08:48 | 显示全部楼层
手工清除隐藏的病毒文件五招
2007-06-28 16:38:01 / 个人分类:安全知识

    当你选择“显示隐藏文件”这一选项后,发现U盘有个文件闪出来一下就马上又消失了,而再打开文件夹选项时,发现仍就是“不显示隐藏文件”这一选项。而且刚发现点击C、D等盘符图标时会另外打开一个窗口!

    病情描述

    1、无法显示隐藏文件;

    2、点击C、D等盘符图标时会另外打开一个窗口;

    3、用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个文件;

    4、任务管理器中的应用进程一栏里有个莫明其妙的kill;

    5、开机启动项中有莫明其妙的SocksA.exe.

    解决办法:以下整个过程中不要双击硬盘分区,需要打开时用鼠标右键—>打开。

    一、关闭病毒进程

    在任务管理器应用程序里面查找类似kill等你不认识的进程,右键—>转到进程,找到类似SVOHOST.exe(也可能就是某个svchost.exe)的进程,右键—>结束进程树。

    二、显示出被隐藏的系统文件

    开始运行输入regedit找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\

    Advanced\Folder\Hidden\SHOWALL删除CheckedValue键值,单击右键新建—>Dword值—>命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

    三、删除病毒

    在分区盘上单击鼠标右键—>打开,看到每个盘跟目录下有autorun.inf和tel\.xls\.exe两个文件,将其删除,U盘同样。

    四、删除病毒的自动运行项

    开始—>运行—>msconfig—>启动—>删除类似sacksa.exe、SocksA.exe之类项,或者打开注册表运行regedit

    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft> Windows>CurrentVersion>Run

    删除类似C:\ WINDOWS\system32\SVOHOST.exe的项。

    五、删除遗留文件

    C:\ WINDOWS\跟C:\ WINDOWS\system32\目录下删除SVOHOST.exe(注意系统有一个类似文件,图标怪异的那个类似excel的图标的是病毒)session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件,每个文件夹两个,自己注意不要误删。重启电脑后,基本可以了。
 楼主| 发表于 2007-10-7 12:09:18 | 显示全部楼层
最新手工清除威金的办法

--------------------------------------------------------------------------------


删了一堆的EXE文件,啥狗屁的专杀,木马查杀,防毒都是狗屁
还是用手工加偏方抑制住了。
写病毒的人真他妈的可恶

结合网络上的一些教程,自己动手丰衣足食。


1.中毒之后断网马上重启电脑,重启之后如果电脑有先进的杀毒软件,到处都有Mcafee下载(http://www.xdowns.com/tag/Mcafee.html ),不麻烦,只要注意不要下载到病毒就OK了)则使用杀毒(记住此期间不要联网,不然病毒会自动下载木马的),如果电脑里面没有先进的杀毒软件,就联网之后快快下载一个Mcafee(建议顺带下载一个安全卫士,一个威金瑞星专杀)然后升级再断网,一定要快!威金复制得特别快,你的速越快,越容易复制

2.杀毒软件准备好之后就开始杀毒,你会发现电脑有很多病毒和木马,而且一次Mcafee根本消灭不了,但是威金病毒有一点很厉害!你的Mcafee只能使用一次,第二次威金就会克制你的Mcafee使它不能打开了(所以这次一定要把查到的全部杀了) ,如果在第一步中准备了安全卫士和专杀工具的在Mcafee杀完之后将电脑转换到安全模式(开机时按F8就可以进入了),在用上面两个工具杀杀(这两个不是太有用,不过多少也能消灭一点)。

3.上面步骤完成以后初期工作就基本完成,接下来进入手动杀毒:病毒是在windows目录下生成dll.dll,logo1_.exe,rundl132.exe这三个文件。而dll.dll注入explorer.exe是由logo1_.exe来完成。病毒会在开机自动执行中加入rundl132.exe 首先打开我的电脑!选工具——文件夹选项——查看(快捷键按ALT+T再按O)中的"隐藏受保护的操作系统文件(推荐)"的勾取消,把"显示所有文件和文件夹"选中!

【1】.按CTRL+ALT+DEL在任务管理器中把rundl132.exe,logo1_.exe结束掉(没有的话,不用操作),删除C盘内的logo1_.exel和rundl132.exe(不知道在哪里的,可以打开我的电脑按CTRL+F然后搜索rundl132.exe,logo1_.exe,kill.exe,*sy.exe的系列文件,RichDll.dll等等,都在windows目录下,隐藏属性的,看起来时间很可疑的都删掉)

【2】.因为DLL.dll模块被写入到explorer中,所以删除不掉.不过能有办法删除,打开任务管理把进程中的explorer.exe结束掉,接着桌面变消失了,不怕!选中任务管理器的“文件(F)”——“新任务(运行。。)(N)”然后运行explorer.exe桌面就又出来了!接着把在C:盘下的DLL.dll删除掉(按CTRL+F查找它,然后删除)

【3】.在运行中输入regedit查找注册表键值:

[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]将其删除,然后按CTRL+F查找注册表键值rundl132.exe及在这项中的所有键值将其删除

【4】.打开我的电脑按CTRL+F然后搜索_desktop.ini,把找到的所有_desktop.ini删除(删除后图标还显示在那里,别管它,关掉后在查一次看看是否还有)

4.将上面的步骤统统完成之后,病毒就已经不能再复制了,接下来就是删掉原有的卡巴,然后再重新将卡巴装一次,重启,杀毒(这时就只需将剩下的木马给消灭掉就可以了),杀完毒之后再重启,在我的电脑里搜索看有没有_desktop.ini的文件,如果没有的话就恭喜你病毒全部消灭,如果还有的话就重复以上步骤直至病毒全部消灭。

5.防止再次感染 运行 gpedit.msc 打开组策略
依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件 。

还有一个威金exe修复的文件,
到网上搜索看看,能找到,我机器上的exe都删光了,
基本上小于20M的exe都会被感染,如果你指望用ghost镜像,那最好用光盘的ghost.exe
因为硬盘上的ghost.exe肯定被感染过,然后反复ghost,反复发作
 楼主| 发表于 2007-10-7 12:09:35 | 显示全部楼层
灰鸽子"木马完整猎杀方案 教你如何手工杀毒


--------------------------------------------------------------------------------

作者: 京华时报
CNETNews.com.cn
2007-03-14 10:48:58


   怎么预防“灰鸽子”

  灰鸽子自身并不具备传播性,一般通过网页、邮件、IM聊天工具、非法软件四种途径进行传播。

  网页传播是指病毒制作者将灰鸽子病毒植入网页中,用户浏览即感染;邮件传播是指灰鸽子被捆绑在邮件附件中进行传播;IM聊天工具传播是指通过即时聊天工具传播携带灰鸽子的网页链接或文件;非法软件传播是指病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。

  灰鸽子病毒泛滥已经数年,变种数万,因为病毒具备很好的隐形特性,让人防不胜防。日前记者采访了金山、瑞星、江民等杀毒厂商,他们建议网友在使用电脑时应注意以下几点:

  1.注意安装IE浏览器的补丁程序,很多灰鸽子是攻击者故意把病毒放在带漏洞攻击程序的网站上,有漏洞的机器访问这些网站就会中毒。

  2.及时升级杀毒软件,使用盗版杀毒软件(或者一个正版ID用在多台计算机上)是不能正常升级的,特别需要检查。

  3.对朋友或陌生人发送来的可疑程序不要运行,别被对方的谎言蒙骗。

  4.关闭所有磁盘的自动播放功能,避免插入带毒U盘、移动硬盘、数码存储卡中毒。


  如何猎杀“灰鸽子”

  由于灰鸽子本身的隐蔽性很强,用Windows系统自带的工具,很难发现灰鸽子入侵。那我们如何去发现电脑中已经被植入的灰鸽子病毒呢?一般而言大家可采用杀毒软件将 “灰鸽子”病毒查杀掉,但是由于“灰鸽子”不断变种,因此大家需要经常更新,而且即使更新也难以跟上“灰鸽子”的变种速度。所以,电脑用户还可以去下载一些专杀工具,如果即使下载专杀工具仍无法完全清除“灰鸽子”的话,建议电脑用户可采用手工杀毒的办法来清除“灰鸽子”木马程序。

  手工杀毒办法

  手工杀毒需要借助工具软件:冰刃。无法根据进程列表看出哪个是病毒时,可以启动冰刃,同时打开任务管理器比较一下,冰刃里多出的进程可能就是灰鸽子病毒。进程名如果是假冒word、记事本的图标,需要重点关注。

  选中G_server2007进程,单击右键,结束进程,然后直接根据提示点左边的文件,浏览到上面程序名称提示的文件夹,找到g_server2007.exe和g_server2007.DLL(中毒后的文件名由攻击者定制,各不相同,应尽可能根据冰刃提示的路径去查找。有的版本带有_hook.dll,可以查看文件日期,应该是同时生成的。)点击右键,彻底删除即可。

  ■链接

  “灰鸽子”身世

  2004年、2005年、2006年,“灰鸽子”木马因为连续三年被国内各大杀毒厂商评选为年度十大病毒而声名大噪,逐步成为媒体以及网民关注的焦点。自2001年出现至今,灰鸽子主要经历了模仿期、飞速发展期以及全民黑客时代三大阶段。

  “灰鸽子”最初主要模仿“冰河”木马,早期并未以成品方式发布,更多的是以技术研究的姿态,采用源码共享的方式出现在互联网。由于名气不及“冰河”,当时只出现了少量的感染,但其开放源码的方式也使其传播量逐渐增大。

  因为源码开放,“灰鸽子”的版本越来越多。当时,大部分安全厂商将对用户上报和监测到的“灰鸽子”服务端都认定为“黑客程序”,并坚决查杀,在一定程度上遏制了灰鸽子的发展速度。

  2004年至2005年,大量的商业动作实现了互联网化,电子商务成为普通网民进行消费的选择之一,网络游戏在中国大地全面开花。在这样的情况下,大量通过IM(即时通讯软件)传播的木马和病毒不择手段地从用户系统中盗取网银账号、网游账号及密码,给中国互联网提出了新的挑战。灰鸽子也逐步进入成熟期,大量变种在互联网中衍生。
 楼主| 发表于 2007-10-7 12:10:20 | 显示全部楼层
史上最强手动杀毒大全----104种木马的手工清除方法(转)(一)2007/06/23 12:07有很多新手对安全问题了解比较不多,计算机中了特洛伊木马不知道怎么样来清除。虽然现在有很多的清除特洛伊木马的软件,可以自动清除木马。但你不知道木马是怎样在计算机中运行的,如果你看了这篇文章之后,你就会明白一些木马的原理。
虽然收集了很多木马的资料,但我也不能保证全部正确。如果大家发现错误请及时于本人联系:QQ:378972374

冰河v1.1 v2.2
这是国产最好的木马 作者:黄鑫
清除木马v1.1
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
查找以下的两个路径,并删除
" C:\windows\system\ kernel32.exe"
" C:\windows\system\ sysexplr.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序
重新启动。OK
清除木马v2.2
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows。OK
Acid Battery v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer ="C:\WINDOWS\expiorer.exe"
关闭Regedit
重新启动到MSDOS方式
删除c:\windows\expiorer.exe木马程序
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
重新启动。OK
Acid Shiver v1.0 + 1.0Mod + lmacid
清除木马的步骤:
重新启动到MSDOS方式
删除C:\windows\MSGSVR16.EXE
然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的Explorer = "C:\WINDOWS\MSGSVR16.EXE"
关闭Regedit
重新启动。OK
重新启动到MSDOS方式
删除C:\windows\wintour.exe然后回到Windows系统
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的Wintour = "C:\WINDOWS\WINTOUR.EXE"
关闭Regedit
重新启动。OK

Ambush
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的zka = "zcn32.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\Windows\ zcn32.exe
重新启动。OK
AOL Trojan
清除木马的步骤:
启动到MSDOS方式
删除C:\ command.exe(删除前取消文件的隐含属性)
注意:不要删除真的command.com文件。
删除C:\ americ~1.0\buddyl~1.exe(删除前取消文件的隐含属性)
删除C:\ windows\system\norton~1\regist~1.exe(删除前取消文件的隐含属性)
打开WIN.INI文件
在[WINDOWS]下面“run=”和“load=”都加载者特洛伊木马程序的路径,必须清除它们:
run=
load=
保存WIN.INI
还要改正注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的WinProfile = c:\command.exe
关闭Regedit,重新启动Windows。OK
Asylum v0.1, 0.1.1, 0.1.2, 0.1.3 + Mini 1.0, 1.1
清除木马的步骤:
注意:木马程序默认文件名是wincmp32.exe,然而程序可以随意改变文件名。
我们可以根据木马修改的system.ini和win.ini两个文件来清除木马。
打开system.ini文件
在[BOOT]下面有个”shell=文件名”。正确的文件名是explorer.exe
如果不是”explorer.exe”,那么那个文件就是木马程序,把它查找出来,删除。
保存退出system.ini
打开win.ini文件
在[WINDOWS]下面有个run=
如果你看到=后面有路径文件名,必须把它删除。
正确的应该是run=后面什么也没有。
=后面的路径文件名就是木马,把它查找出来,删除。
保存退出win.ini。
OK
AttackFTP
清除木马的步骤:
打开win.ini文件
在[WINDOWS]下面有load=wscan.exe
删除wscan.exe ,正确是load=
保存退出win.ini。
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Reminder="wscan.exe /s"
关闭Regedit,重新启动到MSDOS系统中
删除C:\windows\system\ wscan.exe
OK
Back Construction 1.0 - 2.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的"C:\WINDOWS\Cmctl32.exe"
关闭Regedit,重新启动到MSDOS系统中
删除C:\WINDOWS\Cmctl32.exe
OK
BackDoor v2.00 - v2.03
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的'c:\windows\notpa.exe /o=yes'
关闭Regedit,重新启动到MSDOS系统中
删除c:\windows\notpa.exe
注意:不要删除真正的notepad.exe笔记本程序
OK
BF Evolution v5.3.12
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的(Default)=" "
关闭Regedit,再次重新启动计算机。
将C:\windows\system\ .exe(空格exe文件)
OK
BioNet v0.84 - 0.92 + 2.21
0.8X版本是运行在Win95/98
0.9X以上版本有运行在Win95/98 和WinNT上两个软件
客户-服务器协议是一样的,因而NT客户能黑95/98被感染的机器,和Win95/98客户能黑NT被感染的系统完全一样。
清除木马的步骤:
首先准备一张98的启动盘,用它启动后,进入c:\windows目录下,用attrib libupd~1.exe -h
命令让木马程序可见,然后删除它。
抽出软盘后重新启动,进入98下,在注册表里找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
的子键WinLibUpdate = "c:\windows\libupdate.exe -hide"
将此子键删除。

Bla v1.0 - 5.03
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Systemdoor = "C:\WINDOWS\System\mprdll.exe"
关闭Regedit,重新启动计算机。
查找到C:\WINDOWS\System\mprdll.exe和
C:\WINDOWS\system\rundll.exe
注意:不要删除C:\WINDOWS\RUNDLL.EXE正确文件。
并删除两个文件。
OK
BladeRunner
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
可以找到System-Tray = "c:\something\something.exe"右边的路径可能是任何东西,这时你不需要删除它,因为木马会立即自动加上,你需要的是记下木马的名字与目录,然后退回到MS-DOS下,找到此木马文件并删除掉。
重新启动计算机,然后重复第一步,在注册表中找到木马文件并删除此键。
Bobo v1.0 - 2.0
清除木马v1.0
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的DirrectLibrarySupport ="C:\WINDOWS\SYSTEM\Dllclient.exe"
关闭Regedit,重新启动计算机。
DEL C:\Windows\System\Dllclient.exe
OK
清除木马v2.0
打开注册表Regedit
点击目录至:
HKEY_USER/.Default/Software/Mirabilis/ICQ/Agent/Apps/ICQ Accel/
ICQ Accel是一个“假象“的主键,选中ICQ Accel主键并把它删除。
重新启动计算机。OK
BrainSpy vBeta
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
右边有 ??? = "C:\WINDOWS\system\BRAINSPY .exe"
???标签选是随意改变的。
关闭Regedit,重新启动计算机
查找删除C:\WINDOWS\system\BRAINSPY .exe
OK
Cain and Abel v1.50 - 1.51
这是一个口令木马
进入MS-DOS方式
查找到C:\windows\msabel32.exe
并删除它。OK
Canasson
清除木马的步骤:
打开WIN.INI文件
查找c:\msie5.exe,删除全部主键
保存win.ini
重新启动计算机
删除c:\msie5.exe木马文件
OK
Chupachbra
清除木马的步骤:
打开WIN.INI文件
[Windows]的下面有两个行
run=winprot.exe
load=winprot.exe
删除winprot.exe
run=
load=
保存Win.ini,再打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的'System Protect' = winprot.exe
重新启动Windows
查找到C:\windows\system\ winprot.exe,并删除。
OK
Coma v1.09
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的'RunTime' = C:\windows\msgsrv36.exe
重新启动Windows
查找到C:\windows\ msgsrv36.exe,并删除。
OK
Control
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的Load MSchv Drv = C:\windows\system\MSchv.exe
保存Regedit,重新启动Windows
查找到C:\windows\system\MSchv.exe,并删除。
OK
Dark Shadow
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\RunServices
删除右边的winfunctions="winfunctions.exe"
保存Regedit,重新启动Windows
查找到C:\windows\system\ winfunctions.exe,并删除。
OK
DeepThroat v1.0 - 3.1 + Mod (Foreplay)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
版本1.0
删除右边的项目'System32'=c:\windows\system32.exe
版本2.0-3.1
删除右边的项目'SystemTray' = 'Systray.exe'
保存Regedit,重新启动Windows
版本1.0删除c:\windows\system32.exe
版本2.0-3.1
删除c:\windows\system\systray.exe
OK
Delta Source v0.5 - 0.7
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的项目:DS admin tool = C:\TEMPSERVER.exe
保存Regedit,重新启动Windows
查找到C:\TEMPSERVER.exe,并删除它。
OK
Der Spaeher v3
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
删除右边的项目:explore = "c:\windows\system\dkbdll.exe "
保存Regedit,重新启动Windows
删除c:\windows\system\dkbdll.exe木马文件。
OK
Doly v1.1 - v1.7 (SE)
清除木马V1.1-V1.5版本:
这几个木马版本的木马程序放在三处,增加二个注册项目,还增加到Win.ini项目。
首先,进入MS-DOS方式,删除三个木马程序,但V1.35版本多一个木马文件mdm.exe。
把下列各项全部删除:
C:\WINDOWS\SYSTEM\tesk.sys
C:\WINDOWS\Start Menu\Programs\Startup\mstesk.exe
c:\Program Files\MStesk.exe
c:\Program Files\Mdm.exe
重新启动Windows。
接着,打开win.ini文件
找到[WINDOWS]下面load=c:\windows\system\tesk.exe项目,删除路径,改变为load=
保存win.ini文件。
最后,修改注册表Regedit
找到以下两个项目并删除它们
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = "C:\Program Files\MStesk.exe"

HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run
Ms tesk = "C:\Program Files\MStesk.exe"
再寻找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ss
这个组是木马的全部参数选择和设置的服务器,删除这个ss组的全部项目。
关闭保存Regedit。
还有打开C:\AUTOEXEC.BAT文件,删除
@echo off copy c:\sys.lon c:\windows\StartMenu\Startup Items\
del c:\win.reg
关闭保存autoexec.bat。
OK
清除木马V1.6版本:
该木马运行时,将不能通过98的正常操作关闭,只能RESET键。彻底清除步骤如下:
1.打开控制面板——添加删除程序——删除memory manager 3.0,这就是木马程序,但是它并不会把木马的EXE文件删除掉。
2.用98或DOS启动盘启动(用RESET键)后,转入C:\,编辑AUTOEXEC。BAT,把如下内容删除:
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
保存AUTOEXEC。BAT文件并返回DOS后,在C:\根目录下删除木马文件:
del sys.lon
del windows\startm~1\programs\startup\mdm.exe
del progra~1\mdm.exe
3.抽出软盘重新启动,进入98后,把c:\program files\目录下的memory manager 目录删除。
清除木马V1.7版本:
首先,打开C:\AUTOEXEC.BAT文件,删除
@echo off copy c:\sys.lon c:\windows\startm~1\programs\startup\mdm.exe
del c:\win.reg
关闭保存autoexec.bat
然后打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run
找到c:\windows\system\mdm.exe路径并删除这个项目
点击目录至:
HKEY_USER/.Default/Software/Marabilis/ICQ/Agent/Apps/
找到"C:\windows\system\kernal32.exe"路径并删除这个项目
关闭保存Regedit。重新启动Windows。
最后,删除以下木马程序:
c:\sys.lon
c:\iecookie.exe
c:\windows\start menu\programs\startup\mdm.exe
c:\program files\mdm.exe
c:\windows\system\mdm.exe
c:\windows\system\kernal32.exe
注意:kernal32是A
OK
Donald Dick v1.52 - 1.55
清除木马V1.52-1.53版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\VxD\VMLDIR\
删除右边的项目:StaticVxD = "vmldir.vxd"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\System\vmldir.vxd
OK
清除木马V1.54-1.55版本:
这两个版本跟上面的版本只是默认文件名不同,其它都一样,
把vmldir.vxd改为intld.vdx即可。
Drat v1.0 - 3.0b
清除木马的步骤:
打开注册表Regedit
点击目录至:hkey_classes_root\exefile\shell\open\command
找到@=SHELL32 \"%1\" %*把它更改为@="%1" %*
关闭保存Regedit,重新启动Windows。
查找c:\windows\下shell32.*文件,并删除它。
OK
Eclipse 2000
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:bybt = "c:\windows\system\eclipse2000.exe"
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\
删除右边的项目:cksys = "c:\windows\system\ could be anything .exe"
关闭保存Regedit,重新启动Windows
查找到eclipse2000.exe木马文件,并删除。
OK
Eclypse v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Rnaapp ="C:\WINDOWS\SYSTEM\rmaapp.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\SYSTEM\rmaapp.exe
注意:不要删除Rnaapp.exe
OK
Executer v1
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
在右边的项目查找到"C:\windows\sexec.exe",并删除。
关闭保存Regedit,重新启动Windows
相应删除木马程序文件。
OK
FakeFTP beta
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Rundll32 = rundll3.tww /h
关闭保存Regedit,重新启动Windows
找到C:\windows\文件夹下的三个文件并删除它们
rundll3.bat - 9x.reg - nt.reg
OK
Forced Entry
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:MicrosoftRegistration32 = "C:\somepath \trojanhrs.exe"
关闭保存Regedit,重新启动Windows
由于路径容易改变,只要查找到trojanhrs.exe,并删除它。
GateCrasher v1.0 - 1.2
清除木马v1.0:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Explore='c:\windows\explore.exe'
关闭保存Regedit,重新启动Windows
然后,删除相应的木马程序。
OK
清除木马v1.1:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Inet='EXPLORE.EXE'
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
清除木马v1.2:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Command = 'c:\windows\system.exe'
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
Girlfriend v1.3x (Including Patch 1 and 2)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Windll.exe ="C:\windows\windll.exe"
Regedit里也保存着服务器的数据
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\General
删除General项目标题
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
Golden Retreiver v1.1b
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Task Manager="c:\mstask.exe"
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
Hack`a`Tack 1.0 – 2000
清除木马v1.0-1.2:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Explorer32 ="C:\windows\Expl32.exe"
关闭保存Regedit,重新启动Windows
然后,找到相应的木马程序,并删除。
OK
清除木马v2000:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Configuration Wizard = c:\windows\cfgwiz32.exe
关闭保存Regedit,重新启动Windows
删除c:\windows\cfgwiz32.exe
OK
Hack99 KeyLogger
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:HKeyLog = "C:\Windows\System\HKeyLog.exe"
关闭保存Regedit,重新启动Windows
删除C:\Windows\System\HKeyLog.exe
OK
HostControl v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:RegClean = "c:\windows\inf\regcle32.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\inf\regcle32.exe
OK
Hvl Rat v5.30
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Explorer = "C:\WINDOWS\system\MSGSVR16.EXE"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\system\MSGSVR16.EXE
OK
ik97 v1.2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:ik = 'c:\progra~1\ik\ik.exe'
关闭保存Regedit,重新启动Windows
删除C:\Program Files\ik\ik.exe
OK
InCommand v1.0 - 1.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
找到右边的项目:AdvancedSettings = *
注意:*表示就是木马的存放路径与文件名,记下后删除此键。
关闭保存Regedit,重新启动Windows
按照刚才记下的木马路径与文件名删除木马程序。
IndocTrination v0.1 - v0.11
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce\
每项标题都包括Msgsrv16 ="Msgsrv16"项目
删除每个项目
关闭保存Regedit,重新启动Windows
删除C:\windows\system\msgserv16.exe
OK
inet v2.0 - 2.0n
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Explorer = "C:\WINDOWS\system\inet.exe"
关闭保存Regedit,重新启动Windows
删除"C:\WINDOWS\system\inet.exe"
删除"C:\WINDOWS\system\inet.dll"
OK
Infector v1.0 - 1.42
清除木马的步骤:
打开system.ini文件
找到shell=explorer.exe c:\path\to\trojan.exe项目
改为:shell=explorer.exe
保存关闭system.ini文件,重新启动Windows
删除c:\path\to\trojan.exe
OK
iniKiller v1.2 - 3.2 Pro
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Explore="C:\windows\bad.exe "
关闭保存Regedit,重新启动Windows
删除C:\windows\bad.exe
OK
Intruder
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:PPModule1 = 'ppmod1.sys'
关闭保存Regedit,重新启动Windows
删除C:\windows\system\ ppmod1.sys
删除C:\windows\system\ ppmod2.sys
OK
IRC3
清除木马的步骤:
打开win.ini文件
找到load=closew项目,更改为:load=
保存关闭win.ini,重新启动Windows
查找这两个文件'rundlls.exe' 、'closew.bat'
并删除它们。
OK
Kaos v1.1 - 1.3
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Sys="c:\windows\shell32.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\shell32.exe
OK
Khe Sanh v2.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:TBoot0001="c:\windows\system\trjp.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\system\trjp.exe
OK
Kuang logger
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:K2logas.task ="C:\WINDOWS\SYSTEM\K2logas.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\SYSTEM\K2logas.exe
OK
Kuang Original - 0.34
清除木马v Original版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Temp$1.task = "c:\windows\system\temp$1.exe"
清除木马v 0.20-0.21版本:
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:K2PS.task = "c:\windows\system\k2ps.exe"
清除木马v 0.30-0.34版本:
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:K2PS_full.task = "c:\windows\system\k2ps_full.exe"
关闭保存Regedit,重新启动Windows
查找相对应的木马程序,并删除。
OK
Logger
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:??? = "C:\windows\system\logged.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\SYSTEM\ logged.exe
OK
Magic Horse
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SpoolerService="c:\windows\spoolsrv.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\spoolsrv.exe
OK
Malicious
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Policies\
删除右边的五个项目:DisableRegistryTools NoRun NoFind NoDesktop NoClose
关闭保存Regedit,重新启动Windows
OK
Masters Paradise
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SYSEDIT = c:\windows\ sysedit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除右边的项目:Explorer = c:\......\agent.exe
关闭保存Regedit,重新启动Windows
查找到木马程序,并删除它们。
注意:c:\windows\system\下面的sysedit.exe文件是不是19KB,如果不是说明以被木马感染,删除它。
OK
Matrix v1.0 - 2.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:??? ="C:\WINDOWS\Wincfg.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\Wincfg.exe
OK
MBK
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
查找并删除右边的项目:Explorer =" "后面是"mbt.exe"
关闭保存Regedit,重新启动Windows
查找mbt.exe并删除
OK
Millenium v1.0 - 2.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Millenium = "C:\windows\system\reg66.exe "
关闭保存Regedit,重新启动Windows
删除C:\windows\system\reg66.exe
OK
Mine
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目: Windows = 'c:\msdos98.exe'
关闭保存Regedit,重新启动Windows
删除c:\msdos98.exe
打开win.ini文件
查找到run=c:\windows\uninstallms.exe
更改为:run=
关闭保存win.ini,重新启动Windows
del c:\msdos98.exe
del c:\windows\uninst~1.exe
del c:\windows\system\mine.exe
OK
MoSucker
清除木马的步骤:
打开system.ini文件
查找到shell=Explorer.exe unin0686.exe
更改为:shell= Explorer.exe
关闭保存system.ini,重新启动Windows
删除C:\windows\unin0686.exe
OK
Naebi v2.12 - 2.40
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\ICQ
v2.12删除右边的项目:path= "C:\windows\msramgr.exe "
v2.15删除右边的项目:path= "C:\windows\ msdll32.exe "
v2.19删除右边的项目:path= "C:\windows\ naebi219.exe "
v2.xx删除右边的项目:path= "C:\windows\ naebi219.exe "文件名可能还是naebi.exe , ns220.exe, ns227, ns231, ns234
关闭保存Regedit
v2.34和上面相同,但它在win.ini增加了启动
打开win.ini文件
把run=后面的路径删除
关闭保存win.ini,重新启动Windows
查找相应的木马程序,并删除
OK
NetController v1.08
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:System = 'c:\windows\system.exe'
关闭保存Regedit,重新启动Windows
删除c:\windows\system.exe
OK
NetRaider v0.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Rsrcnrs = 'C:\windows\rsrcnrs.exe'
关闭保存Regedit,重新启动Windows
删除C:\windows\rsrcnrs.exe
OK
NetSphere v1.0 - 1.31337
清除木马v1.0-1.30:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:NSSX ="C:\WINDOWS\system\nssx.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\****\Software\Microsoft\Windows\CurrentVersion\Run
删除项目同上。
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\system\nssx.exe
OK
清除木马v1.30-1.31337:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:ExecPowerProfile ="C:\WINDOWS\system\epp32.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\system\epp32.exe
OK
 楼主| 发表于 2007-10-7 12:10:34 | 显示全部楼层
史上最强手动杀毒大全----104种木马的手工清除方法(转)(二)2007/06/23 12:09NetSpy v1.0 - 2.0
清除木马v1.0:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SysProtect = "c:\windows\system\system.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\system\system.exe
OK
清除木马v2.0:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Netspy = "netspy.exe"
关闭保存Regedit,重新启动Windows
查找到netspy.exe,并删除
OK
NetTrojan v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:*** = "C:\WINDOWS\System\glide16.exe"
关闭保存Regedit
打开win.ini文件
查找到run=c:\windows\fxp.exe
把run=后面的路径删除
关闭保存win.ini,重新启动Windows
查找相应的木马程序,并删除
OK
Nirvana / VisualKiller v1.94 - 1.95
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:TheDoor = 'c:\windows\fonts\ariel.exe'
关闭保存Regedit,重新启动Windows
删除c:\windows\fonts\ariel.exe
OK
Phaze Zero v1.0b + 1.1
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:MsgServ = "msgsvr32.exe"
关闭保存Regedit,重新启动Windows
查找相应的木马程序,并删除
OK
Prayer v1.2 - 1.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SysFiles = "C:\WINDOWS\System\dlls32.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SysFiles = "C:\WINDOWS\System\dlls32.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\System\dlls32.exe
OK
PRIORITY (Beta)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
\
删除右边的项目:"PServer"= C:\Windows\System\PServer.exe
关闭保存Regedit,重新启动Windows
删除C:\Windows\System\PServer.exe
OK
Progenic Password Thief / Keylogger v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:pwt ="C:\WINDOWS\SYSTEM\pwt.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\SYSTEM\pwt.exe
OK
Progenic v1.0 -3.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Scandisk = "C:\WINDOWS\scandiskvr.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\scandiskvr.exe
OK
Prosiak beta - 0.70 b5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:Microsoft DLL Loader = "windll32.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\ windll32.exe
OK
Retrieve v1.3
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Microsoft Access ="C:\WINDOWS\access.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\access.exe
OK
Revenger v1.0 - 1.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:AppName ="C:\...\server.exe"
关闭保存Regedit,重新启动Windows
在c:\windows查找相应的木马程序server.exe,并删除
OK
Ripper
清除木马的步骤:
打开system.ini文件
将shell=explorer.exe sysrunt.exe
改为shell= explorer.exe
关闭保存system.ini,重新启动Windows
在c:\windows查找相应的木马程序sysrunt.exe,并删除
OK
Satans Back Door v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:sysprot protection ="C:\windows\sysprot.exe"
关闭保存Regedit,重新启动Windows
删除C:\windows\sysprot.exe
OK
Schwindler v1.82
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:User.exe = "C:\WINDOWS\User.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\User.exe
OK
Setup Trojan (Sshare) +Mod Small Share
这个共享隐藏C盘的木马
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\
选择右边有'C$'的项目,并全部删除
关闭保存Regedit,重新启动Windows
OK
ShadowPhyre v2.12.38 - 2.X
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:WinZipp = "C:\WINDOWS\SYSTEM\WinZipp.exe /nomsg"
或者WinZip = "C:\WINDOWS\SYSTEM\WinZip.exe /nomsg"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\ WinZipp.exe或者C:\WINDOWS\ WinZip.exe
OK
Share All
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\
这里你将看到所有被木马共享出来的你的硬盘符号,把它们一个个删除掉。
ShitHeap
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:recycle-bin = "c:\windows\system\recycle-bin.exe"
或者recycle-bin = "c:\windows\system.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\system\recycle-bin.exe或者c:\windows\system.exe
OK
Snid v1 – 2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:System-tray = 'c:\windows\temp$01.exe'
关闭保存Regedit,重新启动Windows
删除c:\windows\temp$01.exe
OK
S
oftwarst
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:NetApp = C:\windows\system\winserv.exe
关闭保存Regedit,重新启动Windows
删除C:\windows\system\winserv.exe
OK

Spirit 2000 Beta - v1.2 (fixed)
清除木马v Beta版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:internet = "c:\windows\netip.exe "
关闭保存Regedit
打开win.ini文件
查找到run=c:\windows\netip.exe
更改为:run=
关闭保存win.ini,重新启动Windows
删除c:\windows\netip.exe和c:\windows\netip.exe
OK
清除木马v 1.2版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SystemTray = "c:\windows\windown.exe "
关闭保存Regedit,重新启动Windows
删除c:\windows\windown.exe
OK
清除木马v 1.2(fixed)版本:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Server 1.2.exe = "c:\windows\server 1.2.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\server 1.2.exe
OK
Stealth v2.0 - 2.16
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Winprotect System = "C:\WINDOWS\winprotecte.exe
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\winprotecte.exe
OK
SubSeven – Introduction
清除木马v1.0 - 1.1:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SystemTrayIcon = "C:\WINDOWS\SysTrayIcon.Exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\SysTrayIcon.Exe
OK
清除木马v1.3 - 1.4 - 1.5:
打开win.ini文件
查找到run=nodll
更改为run=
关闭保存win.ini,重新启动Windows
删除c:\windows\nodll.exe
OK
清除木马v1.6:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SystemTray = "SysTray.Exe"
关闭保存Regedit,重新启动Windows
删除C:\windows\systray.exe
OK
清除木马v1.7:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
\
查找到右边的项目:C:\windows\kernel16.dl,并删除
关闭保存Regedit,重新启动Windows
删除C:\windows\kernel16.dl
OK
清除木马v1.8:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
\
查找到右边的项目:c:\windows\system.ini.,并删除
关闭保存Regedit。
打开win.ini文件
查找到run= kernel16.dl
更改为run=
关闭保存win.ini。
打开system.ini文件
查找到shell=explorer.exe kernel32.dl
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除C:\windows\kernel16.dl
OK
清除木马v1.9 - 1.9b:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
\
删除右边的项目:RegistryScan = "rundll16.exe"
关闭保存Regedit,重新启动Windows
删除C:\windows\rundll16.exe
OK
清除木马v2.0:
打开system.ini文件
查找到shell=explorer.exe trojanname.exe
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除c:\windows\rundll16.exe
OK

清除木马v2.1 - 2.1 Gold + SubStealth- 2.1.3 Mod + 2.1.3 MUIE + 2.1 Bonus:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
\
删除右边的项目:WinLoader = MSREXE.EXE
hkey_classes_root\exefile\shell\open\command
将右边的项目更改为:@="\"%1\" %*"
关闭保存Regedit。
打开win.ini文件
查找到run=msrexe.exe和
load=msrexe.exe
更改为run=
load=
关闭保存win.ini。
打开system.ini文件
查找到shell=explore.exe msrexe.exe
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除C:\windows\ msrexe.exe
C:\windows\system\systray.dll
OK
清除木马v2.2b1:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
删除右边的项目:加载器 = "c:\windows\system\***"
注:加载器和文件名是随意改变的
关闭保存Regedit。
打开win.ini文件
更改为run=
关闭保存win.ini。
打开system.ini文件
更改为shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除相对应的木马程序
OK

Telecommando 1.54
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SystemApp="ODBC.EXE"
关闭保存Regedit,重新启动Windows
删除C:\windows\system\ ODBC.EXE
OK

The Unexplained
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:InetB00st = "C:\WINDOWS\TEMPINETB00ST.EXE"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\TEMPINETB00ST.EXE
OK

Thing v1.00 - 1.60
清除木马v1.00-1.12:
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:(Default) = "C:\some\path\here\thing.exe"
也有一些是在:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\SessionManager\Known16DLLs\
删除右边的项目:wsasrv.exe = "wsasrv.exe"
关闭保存Regedit,重新启动Windows
删除C:\some\path\here\thing.exe
OK
清除木马v 1.20版本:
进入MS_DOS方式:
del winspc13.exe
del ms097.exe
打开system.ini文件
查找到shell=explorer.exe ms097.exe
更改为:shell=explorer.exe
关闭保存system.ini,重新启动Windows
OK
清除木马v1.50版本:
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
这个项目的路径和文件名是随机改变的,察看有可疑的文件路径,将它删除。
关闭保存Regedit。
打开system.ini文件
查找到shell=explorer.exe后面是木马文件
更改为:shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除相应的木马文件
OK
清除木马v1.50版本:
进入MS_DOS方式:
del winspc13.exe
del ms097.exe
打开system.ini文件
查找到shell=explorer.exe后面是木马文件
更改为:shell=explorer.exe
关闭保存system.ini,重新启动Windows
删除相应的木马文件
OK

Transmission Scount v1.1 - 1.2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Kernel16" = C:\WINDOWS\Kernel16.exe
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\Kernel16.exe
OK

Trinoo
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目: System Services = service.exe
关闭保存Regedit,重新启动Windows
删除C:\windows\system\service.exe
OK

Trojan Cow v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SysWindow = "C:\WINDOWS\Syswindow.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\Syswindow.exe
OK

TryIt
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Rc5Dec = C:\Program Files\Internet Explorer\_.exe -guistart
关闭保存Regedit,重新启动Windows
删除C:\Program Files\Internet Explorer\_.exe
OK

Vampire v1.0 - 1.2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Sockets ="c:\windows\system\Sockets.exe"
关闭保存Regedit,重新启动Windows
删除c:\windows\system\Sockets.exe
OK

WarTrojan v1.0 - 2.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:Kernel32 = "C:\somepath\server.exe"
关闭保存Regedit,重新启动Windows
删除C:\somepath\server.exe
OK

wCrat v1.2b
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:MS Windows System Explorer ="C:\WINDOWS\sysexplor.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\sysexplor.exe
OK

WebEx (v1.2, 1.3, and 1.4)
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:RunDl32 = "C:\windows\system\task_bar"
关闭保存Regedit,重新启动Windows
删除C:\windows\system\task_bar.exe和c:\windows\system\msinet.ocx
OK

WinCrash v2
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:WinManager = "c:\windows\server.exe"
关闭保存Regedit
打开win.ini文件
查找到run=c:\windows\server.exe
更改为:run=
保存关闭win.ini,重新启动Windows
删除c:\windows\server.exe
OK

WinCrash
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:MsManager ="SERVER.EXE"
关闭保存Regedit,重新启动Windows
删除C:\windows\system\ SERVER.EXE
OK

Xanadu v1.1
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:SETUP = "c:\somepath\setup.exe"
关闭保存Regedit,重新启动Windows
删除c:\somepath\setup.exe
OK

Xplorer v1.20
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:PCX = "C:\WINDOWS\system\PCX.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\system\PCX.exe
OK

Xtcp v2.0 - 2.1
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除右边的项目:msgsv32 = "C:\WINDOWS\system\winmsg32.exe"
关闭保存Regedit,重新启动Windows
删除C:\WINDOWS\system\winmsg32.exe
OK

YAT
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除右边的项目:Batterieanzeige = 'c:\pathnamehere\server.exe /nomsg'
关闭保存Regedit,重新启动Windows
删除c:\pathnamehere\server.exe
OK
 楼主| 发表于 2007-10-7 12:10:44 | 显示全部楼层
具体情况是这样的:拨号上网后,FTP屡次报与服务器联通失败。经检查,电脑中安装的Norton个人版防病毒软件以及Norton防火墙已被停用,尝试启用时报错,不能正常启用;打开任务管理器,发现非法进程5个,尝试停止,报“拒绝访问”;重启到安全模式后再尝试停止非法进程,报错依旧,不能停止;于是进入计算机本地服务列表,发现2个不明自动启动服务,尝试停止,报“停止服务失败”,无奈之下,修改该服务属性为“禁用”,再次重启到安全模式,不明服务终于没有自动启动。于是依据之前发现的非法进程名搜索系统盘C盘,发现其在Winnt目录以及Winnt\system32\目录,手工删除之。然后进入Winnt\system32\目录,发现大量的不明程序文件,其共同的特点为:文件属性为隐藏,文件名为类似“diALoGUe”的随机名称,图标为类似DOS程序图标,查属性无公司、版本等信息;由于我排毒时的习惯为首先设置【文件夹选项】使显示所有文件和显示所有受保护系统文件以便于查找文件,于是轻松发现此批大量不明可运行程序文件,抽查属性确认后全体收入回收站。然后检查注册表,删除run类不明自启动键值。最后运行升级SP5,10余分钟后所有补丁打完,重启到正常模式下,win2000显示正常,启动Norton病毒、网络防火墙成功,拨号上网FTP成功。

  由以上经历以及耳闻目染,风闻其势,得出此类病毒感染以及发作之可能经过:用户由于系统漏洞没有及时安装补丁,或者使用超级用户权限帐号浏览过恶意网站、运行了不明程序或文件,导致感染了病毒。此病毒常驻系统后自我复制并自动连接上线肉鸡然后下载多种木马种植于此新肉鸡,并疯狂使用此肉鸡用弱口令试图登陆其他网络计算机,使感染更多机器;感染到其他机器后,疯狂发送各类其他木马、蠕虫病毒以供受感染机器感染更多病毒,成就更多肉鸡。此举势必占用大量网络带宽,与DDOS洪水攻击有异曲同工之妙,将迫使网络交换、路由设备不堪重负而瘫痪。此极有可能就是网络变缓,但重启交换机或路由器后网速又能得到改善的根本原因。并且由于病毒占用过多进程,导致系统资源满负荷运行,中毒机器运行将明显变缓。

  此类病毒的危害在于:

  1、借助内部网络高速带宽,感染大量网内其他存在漏洞的电脑,往往使病毒一中一大片。

  2、占用大量网络带宽,使网速变缓。

  3、有一定智能,变种极多,防毒软件遵循总是迟于病毒出现时间有效的原则,可能受制于新变种病毒。

  4、借助类似DDOS手段,读取其他网络计算机SAM帐号,强行并发式使用弱口令试图登陆其他计算机,导致未感染病毒的其他计算机帐号登录次数超过限制,帐号被锁,影响正常使用。

  总结手工杀毒步骤如下:

  1、手工下载并收藏所有SP5单个小文件(就win2k而言,合共已有近100M)

  2、断开网络

  3、重启到安全模式

  4、检查并清除【HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*】各不明启动项键值

  5、检查并清除【HCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*】各不明启动项键值

  6、查不明服务并禁止之,如无,继续步骤7;如有,禁止后,回到步骤3。

  7、重点查【%SystemRoot%\system32\】目录下所有隐藏exe、com,检查其属性,不明来历者删无赦(可先放回收站,重启没事后再清除)。

  8、在更新最新病毒库后不妨用杀毒软件扫描系统盘所有文件一次。

  9、确认SP4已安装的基础上打全所有SP5补丁

  10、重启到正常模式使用

  注:由于判断是否非法程序需要一定经验,特提供一简单办法:点击可疑程式查阅【属性】,正常程式都在【版本】栏附带有公司名、版本、版权等信息,就算是3721、败毒等垃圾也带有相应的信息,而蠕虫、木马等程式则极大可能无任何信息可供查阅、参考,据此可判断大多数非法程序。

  保持“没毒”的几个小技巧:

  1、使用Proxy或者NAT隔离局域网与外网的无缝隙联通

  2、在局域网所有机器杜绝超级用户密码为空、帐号与密码相同、密码超级简单等弱智行为。

  3、权限分配严格遵循【够用】原则,尽量防止不必要的超级用户产生。

  4、使用企业版杀毒软件安装防病毒中央服务器,设置好使及时自动检查、下载更新病毒库并自动向客户端分发最新病毒库。

  5、借助SUS等同类windows补丁自动下载服务软件,设置好使其能向所有客户端自动分发并安装最新补丁。

  6、及时提醒同事注意上网安全,不去不必要的网站,不执行任何不明文件, 注意上网卫生。

  7、有空多检查一下任务管理器是否有不明进程,多登陆windows自动升级中心检查最新补丁升级。
 楼主| 发表于 2007-10-7 12:15:30 | 显示全部楼层
常见恶意插件清除大全!!


如今,恶意软件及插件已经成为一种新的网络问题,恶意插件及软件的整体表现为清除困难,强制安装,甚至干拢安全软件的运行。下面的文章中笔者就给大家讲一部份恶意插件的手工清除方法,恶意插件实在太多,笔者无法做到一一讲解,希望下面的这些方法能为中了恶意插件的网友提供一定的帮助。
恶意插件Safobj相关介绍:
捆绑安装,系统速度变慢,没有卸载项/无法卸载,强制安装,干扰其它软件正常运行,
清除方法:
重新注册IE项,修复IE注册。从开始->运行
输入命令 regsvr32 actxprxy.dll 确定
输入命令 regsvr32 shdocvw.dll 确定
重新启动,下载反间谍专家查有没有ADWARE,spyware,木马等并用其IE修复功能修复IE和注册表,用流氓软件杀手或微软恶意软件清除工具清除一些难卸载的网站插件。
到down.45it.com下载KillBox.exe。在C:\Program Files\Internet Explorer\目录下,把LIB目录或Supdate.log删除。
跳窗网页可能保留在HOSTS,一经上网就先触发该网址为默认,就会自动打开,检查HOSTS:
用记事本在C:\WINDOWS\system32\drivers\etc\目录下打开HOSTS
在里面检查有没有网址,有则删除。
或在前面加
127.0.0.1
保存后屏蔽掉。
如果是弹出的信使:
从开始->运行,输入命令:
net stop msg
net stop alert
即终止信使服务。
恶意插件MMSAssist相关介绍:
这其实是一款非常简便易用的彩信发送工具,但它却属于流氓软件!并采用了类似于木马的Hook(钩子)技术,常规的方法也很难删除它,而且很占用系统的资源。
清除方法:
方法一:它安装目录里第一个文件夹有个.ini文件,它自动从http://update.borlander.cn/updmms/mmsass.cab下载插件包,包里有albus.dll文件,UPX 0.80 - 1.24的壳,脱掉用16位进制软件打开发现这个垃圾插件利用HOOK技术插入到explorer和iexplore中,开机就在后台自动运行。
安全模式下,右键点击我的电脑-管理-服务-禁用jmediaservice服务,删除C:\windows\system32下的Albus.DAT,删除C:\WINDOWS\SYSTEM32\DRIVERS下的Albus.SYS,删除彩信通的安装文件夹,开始-运行-regedit-查找所有MMSAssist并删除,如果怕注册表还有彩信通的垃圾存在,下载个超级兔子扫描下注册表再一一删除,你也可以试试超级兔子的超级卸载功能。
要阻止它再次安装,也很简单。彻底删除它之后,你在它原来的位置新建一个与它同名的文件夹,然后将这个文件夹的权限设置为连系统管理员都是“只读”,取消“写入”和“运行”的权限。这样它就再也装不进我们的系统了。
方法二:用冰刃IceSword v1.18显示这些文件:c:\program files\mmsassist文件夹、windows\system32\albus.dat、windows\system32\drivers\Albus.SYS,把mmsassist文件夹及其子文件夹中的文件一一删除,把albus.dat、albus.sys删除。再到c:\program files下面看一下,mmsassist里又回来的两个文件,不过不要紧张,删除mmsassist文件夹,刷新,文件夹已经不见了。如果还不放心,可以进入regedit,搜索mmsassist,把带有mmsassist相关字样的键值一一清除!
好了,上面的方法大家可以试试,祝愿中招的兄弟姐妹们早日恢复迅捷流畅的操作!
恶意插件popnts.dll 相关介绍:
求助SREng日志整理出来的,主要表现是弹出广告,在收到邮件后,发现这个东东跟前段时间整理的流氓软件0848\baisoa几乎一致,看来也只是一个毫无新意的升级版
病毒文件及文件夹
%windir%\winamps.exe
%windir%\realupdate.exe
%windir%\POPNTS.DLL
%windir%\ScNotify.dll
%system%\{pchome}\.setupf\
添加注册表启动项
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
updatereal %windir%\realupdate.exe other
winsamps %windir%\winamps.exe
冒充微软信息的启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
ScCardLogn %windir%\ScNotify.dll
添加一个BHO
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]
[HKEY_CLASSES_ROOT\CLSID]
{DE7C3CF0-4B15-11D1-ABED-709549C10000} %windir%\POPNTS.DLL
清除方法:
1、停止winamps.exe、realupdate.exe viruspe.com的进程
2、删除添加的所有注册表信息
3、重启后删除、或者使用Unlocker删除所有的病毒文件
PS:
1、由于病毒变种,可能实际情况与本文描述不同,但清除方法是一定的 本内容来源于电脑硬件
2、由于其具备download马特征,除此之外,可能伴随着其他病毒或流氓软件。
恶意插件WBForm相关介绍:
这个程序其实是一个IE的恶意插件,应该属于Spyware/Adware之类的软件,会随着IE一起启动,而且有时会弹出广告窗口。
清除方法:
为了彻底删除它,重新启动电脑后不要运行IE,直接删除Windows目录下的adstate.dat和WindowsSystem32目录下的mewin.dll文件(如果无法删除请重新启动进入安全模式再删)。然后,运行注册表编辑器(Regedit),搜索并删除包含如下关键字的所有键值即可:3D898C55-74CC-4B7C-B5F1-45913F368388。
恶意插件ACTIVEX 清除方法:
1、打开IE,进入"工具-internet选项"窗口,在"常规"选项上单击"设置"按钮弹出"设置"对话框,单击"查看对象"可查看目前机器上已经安装的一些ACTIVEX控件。
2、可以在"查看对象"窗口中直接删除控件,不过这样删除只能暂时清除骚扰,要想彻底屏蔽还需要了解它的SLSID值,找到恶意ACTIVEX插件,查看属性,在常规选项卡上ID后面的就是SLSID了。
3、新建一个REG脚本,内容如下:
[hkey_local_machine\software\microsoft\internet explorer\activex compatibility\{x}](x就是在得到的SLSID)
"compatibility flags"=dword:00000400
保存后导入注册表。
“天下搜索”
相关介绍:
一开始从添加删除里面想删除这个插件,一下子就死机了,baidu上搜索如何卸载,例子有很多,总结了下,不外乎二种:手工卸载、工具卸载。
清除方法:
一、手工卸载
1,关闭IE浏览器,以免删除时程序占用而失败。
2,打开C:\WINDOWS\Downloaded Program Files\,你可以看到有个“天下搜索.ocx”控件,右键属性,选择“相关内容”选项卡,列出了其他相关文件的路径和文件名,我这里显示以下几个文件:
BARHELP22.0.DLL
IEBAR22.0.DLL
TOLLBAR.BMP
HDTBAR.XML
IEBAR.INF
以上文件所在目录都是C:\WINDOWS\Downloaded Program Files\
但直接打开这个目录却又看不到上述文件:!
3,开始-程序-附件-命令提示符
弹出dos窗口,输入以下命令:
cd.. 回车
cd.. 回车(退到C盘根目录)
cd winnt 回车
cd Downloaded Program Files 回车
你可以看到我们所要删除的几个文件
然后用del命令删除相关文件
最后回到文件夹C:\WINDOWS\Downloaded Program Files\ 将“天下搜索.ocx”删除。
4,打开regedit,删除HEKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer下的两个关于IE toolbar 下的天下搜索键值(因为个人不喜欢用任何的搜索条,把两个关于toolbar文件夹都删掉了,记不起这两个文件夹的名字了,自己慢慢在Internet Explorer 下面找)
5,至此卸载完毕,你可以打开IE浏览器,发现已经没有“天下搜索”了!
伪lsass.exe 相关介绍:
这是个木马病毒,生成程序不在C盘里。即使你重装了系统也还是会存在。
清除方法:
把系统盘放在光驱里,在调为用硬盘启动。重起机子,查找你的桌面上那个图标花了,也就是和以前的不一样了,明显的不一样的(或者是你中毒的那一天)。查看属性,生成日期是什么,记下来。然后就是比较麻烦的了,把你的电脑里除了C盘的所有盘只要是那个日期的全删了。我的是12.8号的,我就把是12.8号创建的都删了(即使你记得你的有些文件不是那天创建的,只要是那个日期就删,因为它已经被感染了。)再者,还是删系统文件C盘除外。
把你的网线拔了,重起机子。记得是从硬盘启动!把你机子上原有的杀毒软件删了,装前面你下载的那个。扫描一遍你的电脑,有可疑的全删。不能删的用冰刀强行删除。还要再删一遍系统文件还是出盘以外的。观察你的10分钟c:WINDOWS\system32\com里面还有没有lsass.exe和smss.exe?这时候我的机子没有了,真的没有了呢 呵呵高兴!
重起,调为正常启动(不用从硬盘启动)可以了,我的杀毒过程就是这样,中间可能有些步骤是不必要的。但我也说不好 所以就把解决的过程写下来了,希望对大家有用。
记得机子搞好后 用瑞星扫描下有没有漏洞,有的话就赶快修复。还有360也会查找你的系统有没有漏洞。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-27 00:44 , Processed in 0.125722 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表