遇到过的IRC后门Backdoor.IRCBot 。比我我示意免杀技术时用到的Bandook就属于Backdoor一类的。病毒种植程序病毒这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。破坏性程序病毒破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。玩笑病毒玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。捆绑机病毒捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等DDOS攻击程序其前缀为:DoS,会针对某台主机或者服务器进行DoS攻击;溢出工具其前缀为:Exploit,会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;黑客工具其前缀为:HackTool,这一类是我们最为常见的,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。如啊D、明小子、HDSI、NBSI以及其他一些常用的黑客工具,有时其也会被标识为Application,不过因为黑客工具功能繁多,所以在主名称后会有附属名称,我们可以通过其来判断程序的功能。如:Inject为注入、Remote为远程连接等。当然还有很多病毒的类型,如下载病毒了啊、蠕虫病毒了啦什么的,不过太多也无法一一列举(汗一个,主要是我没那么些样本)接下来是病毒的主名称,其标识该病毒的名称或者家族名,我们可以通过它来判断我们中了什么病毒 。病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的,如果无法确定则可以用字符串”Agent”来代替主名称,小于10k大小的文件可以命名为“Samll”。 版本信息 版本信息只允许为数字,对于版本信息不明确的不加版本信息。 主名称变种号 如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位,并且都均为小写字母a—z,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。 附属名称 病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种: Client 说明:后门程序的控制端 KEY_HOOK 说明:用于挂接键盘的模块 API_HOOK 说明:用于挂接API的模块 Install 说明:用于安装病毒的模块 Dll 说明:文件为动态库,并且包含多种功能 空 说明:没有附属名称,这条记录是病毒主体记录 附属名称变种号 如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z,如果一位版本号不够用则最多可以扩展3位,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。 病毒长度 病毒长度字段只用于主行为类型为感染型(Virus)的病毒,字段的值为数字。字段值为0,表示病毒长度可变。由于病毒名称与后缀太多,而且变种的表示也比较繁杂,所以我们只需要将它们与前缀联系起来,大致知道这是一个什么病毒,然后查询一下解决方案。。当然如果有兴趣的童鞋可以自己做病毒分析来追踪一个病毒,也可以提交专业网站进行分析。如
http://www.virscan.org/
最后个大家一些记录,大家对照附录与文章开始病毒鉴别之旅吧(其实本文很没技术含量的说...)附录:Backdoor,危害级别:1, 说明: 中文名称—“后门”, 是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。 Worm,危害级别:2, 说明: 中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。 Mail,危害级别: 1说明:通过邮件传播 IM,危害级别: 2,说明:通过某个不明确的载体或多个明确的载体传播自己 MSN,危害级别:3,说明:通过MSN传播 QQ,危害级别:4,说明:通过OICQ传播 ICQ危害级别:5,说明:通过ICQ传播 P2P,危害级别:6,说明:通过P2P软件传播 IRC,危害级别:7,说明:通过ICR传播 其他,说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。 Trojan,危害级别:3,说明: 中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。 Spy,危害级别:1,说明:窃取用户信息(如文件等) PSW,危害级别:2,说明:具有窃取密码的行为 DL,危害级别:3,说明:下载病毒并运行,判定条款:没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行. 逻辑条件引发的事件: 事件1、.不能正常下载或下载的文件不能判定为病毒 ,操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL 事件2.下载的文件是病毒,操作准则: 下载的文件是病毒,确定为: Trojan.DL IMMSG,危害级别:4,说明:通过某个不明确的载体或多个明确的载体传播即时消息(这一行为与蠕虫的传播行为不同,蠕虫是传播病毒自己,木马仅仅是传播消息) MSNMSG,危害级别:5,说明:通过MSN传播即时消息 QQMSG,危害级别:6,说明:通过OICQ传播即时消息 ICQMSG,危害级别:7,说明:通过ICQ传播即时消息 UCMSG,危害级别:8,说明:通过UC传播即时消息 Proxy,危害级别:9,说明:将被感染的计算机作为代理服务器 Clicker,危害级别:10,说明:点击指定的网页 ,判定条款:没有可调出的任何界面,逻辑功能为:点击某网页。操作准则:该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定) Dialer,危害级别:12,说明:通过拨号来骗取Money的程序 ,注意:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述 AOL、Notifier ,按照原来病毒名命名保留。 Virus,危害级别:4,说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。 Harm,危害级别:5,说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。 Dropper,危害级别:6,说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。 判定条款:没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。 逻辑条件引发的事件: 事件1:.释放的文件不是病毒。 操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper 事件2:释放的文件是病毒。 操作准则: 释放的文件是病毒,确定该文件为:Droper Hack,危害级别:无 ,说明:中文名称—“黑客工具”,是指可以在本地计算机通过网络攻击其他计算机的工具。 Exploit,漏洞探测攻击工具 DDoser,拒绝服务攻击工具
Flooder,洪水攻击工具 ,注意:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述 Spam,垃圾邮件 Nuker、Sniffer、Spoofer、Anti,说明:免杀的黑客工具 Binder,危害级别:无 ,说明:捆绑病毒的工具 正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。 宿主文件 宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种。 JS 说明:JavaScript脚本文件 VBS 说明:VBScript脚本文件 HTML 说明:HTML文件 Java 说明:Java的Class文件 COM 说明:Dos下的Com文件 EXE 说明:Dos下的Exe文件 Boot 说明:硬盘或软盘引导区 Word 说明:MS公司的Word文件 Excel 说明:MS公司的Excel文件 PE 说明:PE文件 WinREG 说明:注册表文件 Ruby 说明:一种脚本 Python 说明:一种脚本 BAT 说明:BAT脚本文件 IRC 说明:IRC脚本
先到这里hhtp://an baidu.com)百度安全中心网上免费24小时杀毒, 按照提示操作。如果进不去,试试以下方法( 自己常用的方法比较麻烦胆有效)
1重启后一定不要取消杀毒,让杀毒软件在进入XP界面前先杀个毒,
2如果下载不了杀毒软件就在另外一台机子上下载360修复专家,和所有专杀工具拷到机子上,先扫描一下基础木马 ,在扫一下(av终结者) 如果不行再一项一项的杀,不要怕麻烦,除非你想重做系统。
(如果再打不开可以把360.exe改成360.scr 然后运行安装,安装好之后,把360的主程序的后缀名也要改成*.scr 这样在运行 。因为scr和exe的初始化不一样。。所以改后缀名即可。。然后在360里面安装一个专杀工具~!记得,要先断网哦~)!
3,运行安全360,修复IE ,清理一下,然后到安全模式下杀毒。这问题我也刚才遇到一般就可以解决。
4,菲尔多斯下个杀下等, 或者超级巡警 到安全模式下升级杀毒你试试吧 (下个超级兔子处理下)
然后给系统减负.
一,给零时文件夹挪个窝:工具---internet—常规----internet零食文件夹---设置-----移动文件夹—浏览---确定
二,开始—运行—regedit—找到:HKEY-CURRENT-USRE\software\microsoft\windows\currentversion\internet serrings\cache在右键值里找到 persistent的DWORD将其设置成“0”这样每次关机就可以自动清除零食文件夹了。(如果是遨游浏览器就可以直接 :工具—internet—myie—选项(myie)--退出是清除—确定就可玩意了)
三,搬走我的文档,右击我的文档—属性—选一个目标—确定。就是重装系统也没事了。
四.改变文件安装路径,开始---运行—regedit---依次展开:HKEY-LOCAL—MACHINE\software\microsoft\windows\current\ version在右侧窗口找到名为commonfillesdiy键值项双击该项----在打开的编辑字符串----数值数据—改为(d: commonfillesdiy)或者随意指定一个盘符—确定。然后打开任务管理利器,找到explorer exe 结束进程,让后在打开 任务管理器依次打开 文件---新建—(expolrer exe)----确定。
五,系统还原。
```终结者
是中了AV终结者,因为这个病毒会攻击杀毒软件,已经中毒的电脑杀毒软件没法正常启动,双击没反应,因而这时无法用杀毒软件来清除利用手动解决也相当困难,并且,AV终结者是一批病毒,不能简单的通过分析报告来人工删除。推荐的清除步骤如下:
1. 在能正常上网的电脑上下载AV终结者病毒专杀工具:金山提供的专杀工具下载地址:http://zhuansha.duba.net/259.shtml
2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件:
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上。
3. 执行AV终结者专杀工具,清除已知的病毒,修复被系统配置。
(注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。)
4. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描。以清除木马下载器下载的其它病毒。
手动清除办法
1.到网上下载IceSword工具,并将该工具改名,如改成abc.exe 名称,这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具,结束一个8位数字的EXE文件的进程,有时可能无该进程。
2.利用IceSword的文件管理功能,展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下,删除2个8位随机数字的文件,其扩展名分别为:dat 和dll 。再到%windir%\help\目录下,删除同名的.hlp或者同名的.chm文件,该文件为系统帮助文件图标。
3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件,注意,不要直接双击打开各个硬盘分区,而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件,这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。
4.利用IceSword的注册表管理功能,展开注册表项到:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],删除里面的IFEO劫持项。
当完成以上操作之后,就可以安装或打开杀毒软件了,然后升级杀毒软件到最新的病毒库,对电脑进行全盘杀毒。(手动清除办法由江民反病毒专家提供)
六,磁盘整理
载AV终结者专杀,注意,要先从另外没病毒的电脑上下载到U盘,当然要关闭U盘监视器.
http://shadu.baidu.com/zhuansha/index.jsp?page=1&classid=0&key=(AV终结者)
用AV终结者把木马删掉后,装上360安全卫士和瑞星杀毒软件,把捆绑软件和病毒杀掉,
1.再针对杀不掉的病毒下载专杀杀掉病毒,
2.要么在我的电脑里找到"最后一次正确配置"然后修复
3.系统重装.
这个最有效,别的也可以,但是不全面
回答者:joeyweb - 魔法师 四级 5-17 16:39
我的搞定它。wsyscheck里面有进程管理,找到这个进程选择结束并删除任务,如果还出现多删几次就行了。
下载地址:http://www.orsoon.com/Soft/6556.html
这个解决,安装后更新病毒库,把杀毒模式设为开机杀毒就一切OK了。推荐使用真正免费的杀软:Avast!4 Home Edition 杀毒软件。
http://www.avast.com/cns/avast_4_home.html
用邮箱免费注册,激活Avast后便可以免费升级使用14个月。
注意:必须下载家庭版,是免费的,自带防火墙。
相关常见病毒
Backdoor,危害级别:1,
说明: 中文名称—“后门”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制,而且用户无法通过正常的方法禁止其运行。“后门” 其实是木马的一种特例,它们之间的区别在于“后门”可以对被感染的系统进行远程控制(如:文件管理、进程控制等)。
Worm,危害级别:2,
说明: 中文名称—“蠕虫”,是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件(如:MSN、OICQ、IRC等)、可移动存储介质(如:U盘、软盘),这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。
Mail,危害级别:1说明:通过邮件传播
IM,危害级别:2,说明:通过某个不明确的载体或多个明确的载体传播自己
MSN,危害级别:3,说明:通过MSN传播
QQ,危害级别:4,说明:通过OICQ传播
ICQ危害级别:5,说明:通过ICQ传播
P2P,危害级别:6,说明:通过P2P软件传播
IRC,危害级别:7,说明:通过ICR传播
其他,说明:不依赖其他软件进行传播的传播方式,如:利用系统漏洞、共享目录、可移动存储介质。
Trojan,危害级别:3,说明: 中文名称—“木马”,是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的,它的利益目的也就是这种病毒的子行为。
Spy,危害级别:1,说明:窃取用户信息(如文件等)
PSW,危害级别:2,说明:具有窃取密码的行为
DL,危害级别:3,说明:下载病毒并运行,判定条款:没有可调出的任何界面,逻辑功能为:从某网站上下载文件加载或运行.
逻辑条件引发的事件:
事件1、.不能正常下载或下载的文件不能判定为病毒 ,操作准则:该文件不能符合正常软件功能组件标识条款的,确定为:Trojan.DL
事件2.下载的文件是病毒,操作准则: 下载的文件是病毒,确定为: Trojan.DL
IMMSG,危害级别:4,说明:通过某个不明确的载体或多个明确的载体传播即时消息(这一行为与蠕虫的传播行为不同,蠕虫是传播病毒自己,木马仅仅是传播消息)
MSNMSG,危害级别:5,说明:通过MSN传播即时消息
QQMSG,危害级别:6,说明:通过OICQ传播即时消息
ICQMSG,危害级别:7,说明:通过ICQ传播即时消息
UCMSG,危害级别:8,说明:通过UC传播即时消息
Proxy,危害级别:9,说明:将被感染的计算机作为代理服务器
Clicker,危害级别:10,说明:点击指定的网页 ,判定条款:没有可调出的任何界面,逻辑功能为:点击某网页。
操作准则:该文件不符合正常软件功能组件标识条款的,确定为:Trojan.Clicker。
(该文件符合正常软件功能组件标识条款,就参考流氓软件判定规则进行流氓软件判定)
Dialer,危害级别:12,说明:通过拨号来骗取Money的程序 ,注意:无法描述其利益目的但又符合木马病毒的基本特征,则不用具体的子行为进行描述
AOL、Notifier ,按照原来病毒名命名保留。
Virus,危害级别:4,说明:中文名称—“感染型病毒”,是指将病毒代码附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件)中,使病毒代码在被感染宿主文件运行时取得运行权的病毒。
Harm,危害级别:5,说明:中文名称—“破坏性程序”,是指那些不会传播也不感染,运行后直接破坏本地计算机(如:格式化硬盘、大量删除文件等)导致本地计算机无法正常使用的程序。
Dropper,危害级别:6,说明:中文名称—“释放病毒的程序”,是指不属于正常的安装或自解压程序,并且运行后释放病毒并将它们运行。
判定条款:没有可调出的任何界面,逻辑功能为:自释放文件加载或运行。
逻辑条件引发的事件:
事件1:.释放的文件不是病毒。 操作准则: 释放的文件和释放者本身没逻辑关系并该文件不符合正常软件功能组件标识条款的,确定为:Droper
事件2:释放的文件是病毒。 操作准则: 释放的文件是病毒,确定该文件为:Droper
Hack,危害级别:无 ,说明:中文名称—“黑客工具”,是指可以在本地计算机通过网络攻击其他计算机的工具。
Exploit,漏洞探测攻击工具
DDoser,拒绝服务攻击工具
Flooder,洪水攻击工具 ,注意:不能明确攻击方式并与黑客相关的软件,则不用具体的子行为进行描述
Spam,垃圾邮件
Nuker、Sniffer、Spoofer、Anti,说明:免杀的黑客工具
Binder,危害级别:无 ,说明:捆绑病毒的工具
正常软件功能组件标识条款:被检查的文件体内有以下信息能标识出该文件是正常软件的功能组件:文件版本信息,软件信息(注册表键值、安装目录)等。
宿主文件
宿主文件是指病毒所使用的文件类型,有是否显示的属性。目前的宿主文件有以下几种。
JS 说明:JavaScript脚本文件
VBS 说明:VBScript脚本文件
HTML 说明:HTML文件
Java 说明:Java的Class文件
COM 说明:Dos下的Com文件
EXE 说明:Dos下的Exe文件
Boot 说明:硬盘或软盘引导区
Word 说明:MS公司的Word文件
Excel 说明:MS公司的Excel文件
PE 说明:PE文件
WinREG 说明:注册表文件
Ruby 说明:一种脚本
Python 说明:一种脚本
BAT 说明:BAT脚本文件
IRC 说明:IRC脚本
主名称
病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的,如果无法确定则可以用字符串”Agent”来代替主名称,小于10k大小的文件可以命名为“Samll”。
版本信息
版本信息只允许为数字,对于版本信息不明确的不加版本信息。
主名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位,并且都均为小写字母a—z,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。
附属名称
病毒所使用的有辅助功能的可运行的文件,通常也作为病毒添加到病毒库中,这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种:
Client 说明:后门程序的控制端
KEY_HOOK 说明:用于挂接键盘的模块
API_HOOK 说明:用于挂接API的模块
Install 说明:用于安装病毒的模块
Dll 说明:文件为动态库,并且包含多种功能
(空) 说明:没有附属名称,这条记录是病毒主体记录
附属名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称变种号、附属名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z,如果一位版本号不够用则最多可以扩展3位,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。
病毒长度
病毒长度字段只用于主行为类型为感染型(Virus)的病毒,字段的值为数字。字段值为0,表示病毒长度可变。
