清理方法:
首先选用两个查杀工具:一是Unlocker解套软件(点击下载);二是IceSword冰刃专杀软件(点击下载)(主要用于清理注册表)。
1、安装并运行Unlocker解套软件。这个软件是右键扩充工具,安装后,它便能整合于鼠标右键的操作当中,当使用者发现有某个文件或目录无法删除时,只要按下鼠标右键中的“Unlocker”,那么程序马上就会显示出是哪一些程序占用了该目录或文件,接着只要按下弹出的窗口中的Unlock”就能够为你的文件解套。(因为病毒文件是寄生在其他系统文件里的,所以要把病毒解套出来才能看到它的真实面目,才便于杀掉它). Unlocker 不同于其它解锁软件的部分在于它并非强制关闭那些占用文件的程序,而是以解除文件与程序关连性的方式来解锁,因此不会像其它解锁程序一样因为强制关闭程序而造成使用者可能的数据遗失。安装运行Unlocker后,在 C:\WINDOWS\system32 下找到病毒文件(是一个DLL文件,由字母和数字组成的,卡巴斯基能查到这个病毒但删不了,可以用卡巴斯基找到这个病毒文件名),找到带病毒的文件后,右击这个文件,在下拉菜单中选择unlocker进行解锁(安装完软件后会在右键菜单上生成一个unlocker的菜单项)。解锁后可用手动删除.也可用卡巴斯基删除.
删除system32里带病毒的dll文件后,再进入C:\WINDOWS\system32\drivers 里找到×.sys文件(×跟之前那个dll文件同名,只是扩展名不一样)用同样的方法先解锁后用手动删除。删除后记到清空回收站。然后再运行regedit打开注册表编辑器,分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset003(或002)\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册项)至此,可恨的Trojan-Downloader.Win32.QQHelper.mo被杀掉了,重启计算机,卡巴斯基就不再报警尖叫了.
但是该病毒还没彻底删除干净,还有抓子(钩子)与外界相连,一但时机成熟又从病毒网站下载该病毒运行。所以要把抓子一起干掉,这个抓子在注册表:
HKEY-LOCA-MACHINE/sysTEM/controlset001/Enum/Root/LEGACY_NUTFPV20 里(也许你机子里的病毒文件名不是这个nutfpv20,但都在Root项下),这个抓子在常规下是删除不了的,必须要借助于以下工具。
2、运行IceSword冰刃专杀软件(此软件是免安装的)。打开后点“注册表”,按照地址HKEY-LOCA-MACHINE/sysTEM/controlset001/Enum/Root/LEGACY_NUTFPV20找到NUTFPV20(NUTFPV20是病毒文件名,也许你的不是这个文件名,但性质是一样的),删除右边栏里NUTFPV20的所有键值。
至此大功告成!你的心情和爱机顿感亮丽愉悦!以后遇到无法删除的顽固病毒也可以用类似的方法解决哦~
(附世界九大病毒介绍)
一. “尼姆达”(Nimda)病毒简介
“尼姆达” 病毒2001年9月18日在全球蔓延,是一个传播性非常强的黑客病毒。它以邮件传播、主动攻击服务器、即时通讯工具传播、FTP协议传播、网页浏览传播为 主要的传播手段。它能够通过多种传播渠道进行传染,传染性极强。对于个人用户的PC机,“尼姆达”可以通过邮件、网上即时通讯工具和“FTP程序”同时进 行传染;对于服务器,“尼姆达”则采用和“红色代码”病毒相似的途径,即攻击微软服务器程序的漏洞进行传播。由于该病毒在自身传染的过程中占用大量的网络 带宽和计算机的内部资源,因此许多企业的网络现在受到很大的影响,有的甚至已经瘫痪,就个人使用的PC机来说,速度也会有明显的下降。
二. 尼姆达”(Nimda)新变种病毒简介
“尼姆达”新变种命名为Worm.Concept.118784。其特点是在病毒源代码中有一段说明:Concept Virus(CV)V.6,Copyright(C)2001,(This's CV,No Nimda.)。(意思是:这是概念病毒,不是尼姆达病毒。)它在尼姆达病(Worm.Concept.57344)上做的改动有:
l 附件名从Readme.exe改为Sample.exe;
l 感染IIS系统时生成的文件从Admin.dll改为Httpodbc.dll;
l 在NT/2000及相关系统,病毒拷贝自己到Windows的system目录下,不再叫mmc.exe,而用Csrss.exe的名字。
三.“求职信”(Wantjob)病毒简介
该病毒不仅具有尼姆达病毒自动发信、自动执行、感染局域网等破坏功能,而且在感染计算机后还不停地查询内存中的进程,检查是否有一些杀毒软件的存 在(如AVP/NAV/NOD/Macfee等)。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次,以至于这些杀毒软件无法运行。
该病毒如果感染的是Windows NT/2000系统的计算机,即把自己注册为系统服务进程,一般方法很难杀灭。它还不停地向外发送邮件,把自己伪装成“Htm、Doc、Jpg、Bmp、 Xls、Cpp、Html、Mpg、Mpeg”类型文件中的一种,文件名也是随机产生的,很具隐蔽性。
四.Codeblue(蓝色代码)病毒简介
“蓝色代码”是一个蠕虫病毒,能够感染Windows NT及Windows 2000系统服务器,由于其攻击微软inetifo.exe程序的漏洞,并植入名为SvcHost.EXE的黑客程序运行,该蠕虫病毒将在服务器内存中不 断地生成新的线程,最终导致系统运行缓慢,甚至瘫痪。
“蓝色代码”的特点是攻击服务器后可以对服务器直接破坏,造成服务器的瘫痪,它的设置是通过被感染的服务器对绿盟网站发起攻击,但是因为病毒程序上的bug没有执行。绿盟网站是一个著名的反黑客网站。
五.VBS.happytime病毒简介
VBS.happytime是一个感染 VBS、html 和脚本文件的脚本类病毒。该病毒采用 VBScript 语言编写,它既可在电子邮件的形式通过互联网进行传播,也可以在本地通过文件进行感染。 当用浏览器打开一个被感染的 html 文件时,病毒会设置网页的时间中断事件,每 10 秒运行执行 Help.vbs 一次,该文件存放在 C:\ 盘下第一个子目录下。如果通过 hta文件激活病毒,病毒还会在 C:\ 盘下第一个子目录下生成 Help.hta 文件并执行。
VBS.happytime病毒危害程度很大,可以破坏 html、htm、htt、vbs 和 asp 文件的内容(被修改成病毒代码);大量散发病毒邮件, 破坏 Windows 资源管理器中缺省的 Web 视图等。
六.VBS.HomePage病毒简介
VBS.HomePage是一个由VBS病毒编写工具制造并加密的网络蠕虫病毒。该病毒从邮件附件被执行后,会查找所有的Outlook地址薄, 枚集出全部的联系人地址,然后发送邮件,邮件信息如下:邮件主题:Homepage ,邮件正文:Hi! You've got to see this page! It's really cool ;0)邮件附件:homepage.HTML.vbs(伪装为主页的病毒代码,大小为2,436 字节).
该病毒可以影响网络正常运行,修改注册表。
七.Win32.HLLW.Matcher.28672病毒简介
Win32.HLLW.Matcher.28672是一种新型的特洛伊电脑病毒,它正在迅速扩散。当一个收件者打开了附件.EXE文件后,这个病 毒发送自身到用户Outlook邮箱的所有地址。病毒文件的标题为"Matcher",邮件附件文件为MATCHER.EXE。其信息为:Want to find your love mates!!!/Try this its cool…/Looks and Attitude matching to opposite sex。
该病毒向Windows系统目录发送自身复制品,并修改注册表和AUTOEXEC.BAT文件,使得机器每次启动后自动运行病毒程序,最严重的情况下,发作的病毒每分钟就复制一遍,致使电脑服务器瘫痪。
八.VBS.LoveLetter(我爱你)病毒简介
“我爱你”病毒是通过Microsoft Outook电子邮件系统传播的,邮件的主题为“ILOVEYOU”,并包含一个附件。一旦在Microsoft Outlook里打开这个邮件,系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。 “我爱你”病毒是一种蠕虫病毒,可以改写本地及网络硬盘上面的某些文件。
九.CIH病毒简介
CIH是一个纯粹的WINDOWS 95/98病毒。通过软件之间的相互拷贝、盗版光盘的使用有Internet网的传播而大面积传染。CIH病毒发作时将用杂乱数据覆盖硬盘前1024K字 节,破坏主板Bios Flash芯片,机器无法启动。允许写Flash内存时才有可能,通常用DIP开关写Flash内存时无效,然而现代主板大多数不能由DIP开关进行 Flash内存写保护,因此该病毒发作时会破坏大多数可升级主板Flash Bios。它具备彻底摧毁计算机系统的能力。该病毒可以覆盖硬盘主引导区的Boot区,改写硬盘数据。
http://zhidao.baidu.com/question/25866723.html