主题：各类常见病毒木马及其解决方法

"灰鸽子"病毒     
病毒特性:
G_Server.exe(即灰鸽子病毒的服务器端)第一次运行时自己拷贝到Windows目录下（98/XP操作系统为系统盘windows目录，2K/NT为系统盘winnt目录），并将它注册为服务，然后从体内释放2个文件到Windows目录下：G_Server.dll，G_Server_Hook.dll（近期灰鸽子版本会释放3个文件，多了一个G_ServerKey.exe，主要用来记录键盘操作）。然后将G_Server.dll，G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后G_Server.exe退出，两个动态库继续运行。由于病毒运行的时候没有独立进程，病毒隐藏性很好。以后每次开机时，Windows目录下的G_Server.exe都会自动运行，激活动态库后退出，以免引起用户怀疑。注意，G_Server.exe这个名称并不固定，它是可以被使用者定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

灰鸽子的手工检测:
由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

此主题相关图片如下：

2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。

此主题相关图片如下：

3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。

此主题相关图片如下：

4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件

此主题相关图片如下：

经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。

灰鸽子的手工清除

     经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

    注意：为防止误操作，清除前一定要做好备份。

    一、清除灰鸽子的服务

    2000／XP系统：

    1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

    2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。

此主题相关图片如下：

3、删除整个Game_Server项。

    98／me系统：

     在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。

此主题相关图片如下：

二、删除灰鸽子程序文件

     删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

    小结

    本文给出了一个手工检测和清除灰鸽子的通用方法，适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法检测和清除。

冲击波（Worm.Blaster）病毒详细解决方案                出处:瑞星公司
警惕程度：★★★★
病毒名称：Worm.Blaster
发作时间：随机
病毒类型：蠕虫病毒
传播途径：网络/RPC漏洞
依赖系统：Microsoft Windows NT 4.0 / Microsoft Windows 2000 / Microsoft Windows XP /Microsoft Windows Server 2003 
病毒尺寸：6,176 字节
病毒发作现象：
冲击波（Worm.Blaster）病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的，只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞，具体涉及的操作系统是：Windows2000、XP、Server 2003。

该病毒感染系统后，会使计算机产生下列现象：系统资源被大量占用，有时会弹出RPC服务终止的对话框，并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页，复制粘贴等操作受到严重影响，DNS和IIS服务遭到非法拒绝等。下面是弹出RPC服务终止的对话框的现象：

此主题相关图片如下：

病毒详细说明：
1. 病毒运行时会将自身复制到window目录下，并命名为： msblast.exe。
2. 病毒运行时会在系统中建立一个名为：“BILLY”的互斥量，目的是病毒只保证在内存中有一份病毒体，为了避免用户发现。
3. 病毒运行时会在内存中建立一个名为：“msblast.exe”的进程，该进程就是活的病毒体。
4. 病毒会修改注册表，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值："windows auto update"="msblast.exe"，以便每次启动系统时，病毒都会运行。
5. 病毒体内隐藏有一段文本信息：
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
6. 病毒会以20秒为间隔，每20秒检测一次网络状态，当网络可用时，病毒会在本地的UDP/69端口上建立一个tftp服务器，并启动一个攻击传播线程，不断地随机生成攻击地址，进行攻击，另外该病毒攻击时，会首先搜索子网的IP地址，以便就近攻击。
7. 当病毒扫描到计算机后，就会向目标计算机的TCP/135端口发送攻击数据。
8. 当病毒攻击成功后，便会监听目标计算机的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标计算机上并运行。
9. 当病毒攻击失败时，可能会造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003，但是可以造成Windows Server2003系统的RPC服务崩溃，默认情况下是系统反复重启。
10. 病毒检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击，使微软网站的更新站点无法为用户提供服务。
手工清除方案： 

一、 DOS环境下清除该病毒：
1.当用户中招出现以上现象后，用DOS系统启动盘启动进入DOS环境下，进入C盘的操作系统目录.
操作命令集：
C:
CD C:\windows (或CD　c:\winnt)

2. 查找目录中的“msblast.exe”病毒文件。
命令操作集：
dir msblast.exe /s/p

3.找到后进入病毒所在的子目录，然后直接将该病毒文件删除。
Del msblast.exe

二、 在安全模式下清除病毒
如果用户手头没有DOS启动盘，还有一个方法，就是启动系统后进入安全模式，然后搜索C盘，查找msblast.exe文件，找到后直接将该文件删除，然后再次正常启动计算机即可。

给系统打补丁方案：

当用户手工清除了病毒体后，应上网下载相应的补丁程序，用户可以先进入微软网站，下载相应的系统补丁，给系统打上补丁。以下是补丁的具体下载地址：
· Windows 2000 ：
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en   (连接到第三方网站)

· Windows XP 32 位版本 ：
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en   (连接到第三方网站)

震荡波病毒:Worm.Sasser 　

一、病毒评估 
1．病毒中文名：震荡波 
2．病毒英文名：Worm.Sasser 
3．病毒大小：15,872字节 
4．病毒类型：蠕虫病毒 
5．病毒危险等级：★★★★★ 
6．病毒传播途径：网络 
7．病毒依赖系统：Windows NT/2000/XP 

二.病毒的破坏行为： 

1.首先拷贝自身到windows目录，名为%WINDOWS%\avserve.exe(15,872字节)，然后登记到自启动项。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avserve.exe = %WINDOWS%\avserve.exe 

2.开辟线程，在本地开辟后门。监听TCP 5554端口，做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。 

3. 病毒开辟128个扫描线程。以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。 

病毒占用大量的系统和网络资源。中毒的机器变得很慢。由于Windows NT以上操作系统中广泛存在此漏洞，该病毒在网络上传播迅速，造成网络瘫痪.中毒的系统运行缓慢，同时系统运行中极有可能出现如定时关机、非法操作等异常。 

三、解决方法: 

这是一个类似冲击波的病毒，利用微软操作系统的缓冲区溢出漏洞（MS04-011）远程执行代码。受感染的操作系统有： 

Microsoft Windows NT Workstation 4.0 Service Pack 6a 
Microsoft Windows NT Server 4.0 Service Pack 6a 
Microsoft Windows NT Server 4.0 终端服务器版 Service Pack 6 
Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, 和 Microsoft Windows 2000 Service Pack 4 
Microsoft Windows XP 和 Microsoft Windows XP Service Pack 1 
Microsoft Windows XP 64-Bit Edition Service Pack 1 
Microsoft Windows XP 64-Bit Edition Version 2003 
Microsoft Windows Server 2003 
Microsoft Windows Server 2003 64-Bit Edition 

官方补丁下载: 
http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx 

Word问题(不能复制粘贴，word文档变成exe文件):

现象：
不能复制粘贴，word文档变成exe文件

查杀方法：
   1、结束任务管理器中的EXPLORER.exe，
   2、搜索EXPLORER.exe，或者打开c:/winnt(windows)/sysytem32/
   3、找到word图标的EXPLORER.exe，删除掉
   4、搜索注册表：开始/运行：regedit
   查找：explorer,删除键值是C:\\WINNT\\system32\\EXPLORER.exe（在hkcu/soft
   ware/microsoft/windows/current version/run里面）
   5、检查一下word是不是可以粘贴和复制了

说明:1、运行第二步时可以打开文件夹选项，使系统显示隐藏文件和扩展名，
            注意不要删除错了！
       2、移动存储设备注意写保护

IE主页被修改的解决办法:
(图片看不清楚的话可以直接点击浏览)

方法①：
  清理一下COOKIES，因为这里面保存了网站的一些信息。方法是：
  选项（98下是工具）－－internet选项－－删除COOKIES
  如图：
  
此主题相关图片如下：

方法②：

   用“上网助手”或者“黄山IE修复专家”等软件来修复IE;

方法③：
如果不幸你中毒较深，比如你的注册表被锁，你的控制面板被锁，.......
那向大家推荐一个工具：IE恶性代码杀手 终结者 2005 修正版
下载地址：http://www1.skycn.com/soft/11925.html

方法④：
如果上述的方法还是不能解决问题的话，我们来换种思路解决：
1. 首先，我们在机器里新建一个用户名为aaa（这里任意的用户名都可以）。

2. 注销Administrator用户。改用aaa用户进入系统。

3. 点击“开始”—“运行”。键入regedit。可以打开注册表编辑器。

4. 找到以下路径：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer。选中“Internet Explorer”。点击表单栏的“注册表”。导出注册表文件。
   如图：

此主题相关图片如下：

5. 这时就把aaa用户下的IE设置给导出来了。因为aaa用户是新加入的。所以他的IE设置并没有被更改过。

6. 现在我们切换回Administrator用户登录系统。

7. 点击“打开”—“运行”。键入regedit。依然进入注册表编辑器。

8. 点击表单栏的“注册表”，导入注册表。把刚才保存的那个注册表文件导入进去就可以了。

现在我们再打开IE。发现一切都已经恢复成系统默认的样子了。

方法⑤：如果还是不能解决,只有进入安全模式查杀病毒和木马了（记得把杀软升级到最新的版本） 

修复完了以后清除一下注册表里面的可疑项：找到带"RUN"等敏感字眼的键值；
比如：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
如图：

此主题相关图片如下：

最后建议使用遨游浏览器Maxthon
有80%的恶性网页在你点连接后还没打开就帮你过滤掉了。。。