病毒Conficker(kido)的手动查杀方法
///////////////////////////////////////////////////////////////////////////////////////////////文章名称:病毒Conficker(kido)的手动查杀方法
文章类型:手动查杀
编写作者:Coderui
编写日期:2009年04月01日
作者博客:http://hi.baidu.com/coderui
///////////////////////////////////////////////////////////////////////////////////////////////
手动查杀方法:
注意:操作前请先备份,以免误操作,给您带来不必要的损失。
一、杀死运行着的病毒活体:
1、使用进程查看器“Sysinternals Process Explorer”(如无法启动,则需要修改其文件名称,病毒可能会自动关闭该工具),找到带“-k netsvcs”参数的进程“svchost.exe”的PID,并记录下。
2、使用“Wsyscheck”工具找到带“-k netsvcs”参数的进程“svchost.exe”,这里需要根据第一步的PID来确认对应的正确进程。然后右键选择[查看线程信息]功能,把两个(如果病毒运行过多次,可能会存在两个以上)模块名称为“?”的线程都结束掉。这样,病毒运行着的活体就被完全杀死了。
二、删除病毒在磁盘中的组件文件:
1、使用进程查看器“Sysinternals Process Explorer”,找到带“-k netsvcs”参数的进程“svchost.exe”,然后在这个进程中关闭掉病毒DLL组件文件(特征:“%SystemRoot%\system32\*.dll”,DLL文件名随机。进程“svchost.exe”一般不会打开系统盘下的DLL文件,如打开,一般都是可疑的。)的句柄。在关闭前先记录下病毒组件组件的名称,关闭后,需要去系统“%SystemRoot%\system32\”目录下将其手动删除。
三、删除病毒在系统中的启动项:
1、查看注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs”键的内容,找到“数值数据”列表中的最后一个值(是一个字符串形式的名称,如该值出现过多次,全部删除),将其删除。同时,记录下这个值。
2、在注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\”项下,找到上面记录的键值,将其连同子项全部删除。删除前需要先手动修改该项的操作权限,因为病毒将当前用户的操作权限给删除了,用户无法直接去编辑(读、写)改项。
四、在不重新启动计算机的情况下,病毒完全清除完毕。 http://www.kaspersky.com.cn/Kido/index.htm
这是卡巴关于conficker的介绍~ 微软:http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.E
页:
[1]