以下是引用迦冥の肥鱼在2005-11-22 1:14:50的发言:
前二天上时空,有很多网友都发现机子变得很慢很卡,内存占到了近100% 很明显的中了病毒。。有人在网页里下了病毒。偶在这里向大家提供几个解决的方法 (偶真怕怕放木马的人也在偶的贴子里放木马.555555) 一。下载杀毒软件,个人推荐用卡巴斯基,我现在用的卡巴版本是http://www.ecteach.com/Soft/tools/common/200504/190.html 这里下载的.还有更新到了5.0237版.,可以用到2006年11月。我用卡巴查毒后,发现了。爱情后门Lovgate.Worm,特洛伊Trojan,灰鸽子等病毒。先把毒杀出来,再针对性的杀掉. 在用杀毒软件的同时,我们平时就应该要注意保护自已的电脑,特别是电脑的端口。木马病毒常通过很多开放的端口对电脑进行攻击。常见的是445 135 等端口,关闭445端口的方法是,网络连接-属性-常规-网络的文件与打印机共享 在这一条把原来的勾去掉。因为这是提供共享你的计算机的地方。。
下面转贴二个方法:
1。封端口
默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口: 第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。 第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。 第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。 点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。 重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。 第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作:在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。 第五步、进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。 于是重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了你的电脑。
2 灰鸽子的
这个病毒的特点是:1、运行后,病毒进程插入所有当前正在运行的进程中;2、隐藏病毒自身进程;3、隐藏病毒文件;4、将自身注册为系统服务,实现启动加载。因此,染毒后很难在WINDOWS下将病毒杀净。
手工查杀灰鸽子2005的关键一步是找到病毒注册的系统服务名,将其从注册表HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中删除。然而,由于黑客配置灰鸽子2005服务端时命名的系统服务名五花八门,没有一定规律可循,因而使不少人中招后难以下手清除病毒。
其实,灰鸽子2005有一个弱点,可供手工杀毒时利用。这个弱点就是--用HijackThis1.99.1扫系统日志,O23项可以显示灰鸽子注册的系统服务名(例:WindowsPowerServer)和可执行文件名(例: D:\WINDOWS\spoolvs.exe)。(注:NT系统的HiajckThis日志中才有O23项;WIN98等非NT系统不可能有此项。)
因此,建议因感染灰鸽子2005的发帖求助的网友按以下步骤操作:
1、用HijackThis1.99.1(本帖附件中的一个小工具)扫系统日志,在O23项中寻找灰鸽子2005注册的系统服务名(例:WindowsPowerServer)。如果自己看不懂HijackThis日志,可以将日志贴在帖子中,请别人帮助辨认。
2、确认灰鸽子2005注册的系统服务名后,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支,删除左栏中的病毒服务名(例: WindowsPowerServer)。
3、重启系统,在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项,点击“确定”按钮。然后在%windows%下寻找病毒文件名(例: D:\WINDOWS\spoolvs.exe),找到后删除之。需要注意的是:灰鸽子2005生成的病毒文件为一组,3-4个。病毒文件命名有一定规律,即:X.exe、X.dll、X_hook.dll以及XKey.dll,其中“X”指病毒文件名的可变部分。例如,你的系统感染灰鸽子2005后,在HijackThis1.99.1日志中看到“O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe”这样的信息,那么,这个日志提示:这个灰鸽子2005服务端注册的系统服务名是“ RSVPS ”;生成的病毒文件是spoolvs.exe、spoolvs.dll、spoolvs_hook.dll,可能还有一个spoolvsKey.dll。这一组3-4个病毒文件位于D:\WINDOWS\文件夹中。
附:HijackThis日志中见到的灰鸽子2005注册的系统服务名与病毒文件名(供手工杀毒参考)
O23 - Service: WINL0G0N - Unknown - C:\WINDOWS\WINL0G0N.EXE O23 - Service: Windows_Helper - Unknown - C:\WINDOWS\3721.exe O23 - Service: ray-pigeon-sorver-unknwn-c:/windows/lerver.exe O23 - Service: Remotee - Unknown - C:\WINNT\explercr.exe O23 - Service: Gerver - Unknown - C:\WINDOWS\smcsc.exe O23 - Service: Intelnet - Unknown - C:\WINDOWS\system.exe O23 - Service: ssvn - Unknown - C:\WINNT\Servers.exe O23 - Service: Distributed Coordi - Unknown - C:\WINNT\cmmon32.com O23 - Service: Contact Information - Unknown - C:\WINDOWS\svchost.exe O23 - Service: DNS Pigeon Server - Unknown - C:\WINDOWS\Rver.exe O23 - Service: system Management Instrumenta - Unknown - C:\WINDOWS\comines.exe O23 - Service: Plug and Play . - Unknown - C:\WINDOWS\crsss.exe 023- Service: Pigeon_Server-Unknown-C:\WINDOWS\Server.exe O23 - Service: Windows Update Servers - Unknown - C:\WINDOWS\winupdate.exe O23 - Service: Windows Management Player - Unknown - C:\WINNT\system.exe O23 - Service: Application Performance Explor - Unknown - C:\WINDOWS\svchost.exe O23 - Service: Windows Management Drivers - Unknown - C:\WINNT\win32help.exe O23 - Service: WindowsPowerServer - Unknown - C:\WINNT\Server.exe O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe
PS:用HijackThis1.99.1 来扫描系统日志。这个是我感觉非常好的检查病毒的方法。大家可以下载来用。当你扫描完后。可以去http://bbs.crsky.com/read.php?tid=220210&fpage=1 这里粘贴你的日志进程,然后可以看到你的系统日志里,有那一些是危险的进程。就知道自已中招了没。 安装微软MS04-011、MS04-012、MS04-007漏洞补丁 补充一下,针对上瘾的毒药网友说的情况,大家可以明显的在你们的任务管理器那里看到会出现很多个svchost.exe 但是大家要注意分清哦。因为有的木马会改得名字很像。比如说:scvhost svch0st svchsot 用英文的一点差别。病毒名与它的差别仅仅是一个是字母O,一个是数字0,注意分辨一下.
。更新最新的卡巴斯基可以杀。如果没有卡巴,手动杀的话,需要从注册表下手哦。详细的话大家可以查下百度。
看了,magician的分析后,偶做下补充,现在有的木马可以时常的自动变名,包括注入进程.所以当发现机子只开网页都变得非常的慢.内存占100%时.大家先从任务管理器那里看那一个程序占用内存最大,其次看那个程序的名字,是不是正常的程序名.如果发现可 | 
注册 
