盆盆罐罐

上海邦麦信息科技有限公司旗下子网站;POS系统、计算机技术资料搜集

web7b恶意程序的手工清除方法

注:以下文字主要参照此篇文章的操作步骤,然后根据自己的语言习惯和实际操作重新组织和整理,并且添加了很多步骤,那篇文章说的步骤不全,会导致病毒删除不干净,也没有说明导致整个病毒的原因。

我的一位客户使用的服务器系统为Windows 2003,新安装的系统就中招了。用360安全卫士扫描木马,发现有“web7b恶意程序”,还有opsa.exe、opsb.exe、osintexe.exe、net1.exe、csx.exe、hao123.exe、amd.exe、explore.exe(注意分辨这个是explore,不是explorer哦)等。

用360安全卫士和360杀毒查杀,开机后又出现了。重启电脑进入安全模式再查杀,还是无法彻底清除。

到网上查了一下,web7b是一个刷网络广告流量的流氓软件,还能传播其他木马和病毒。在C盘如果能搜索到文件web7b.ini,则肯定是中招了

手工清除方法:

第一步,用360的流量防火墙禁止opsa.exe、opsb.exe、net1.exe、explore.exe等木马程序访问网络

第二步,启动任务管理器,在任务管理器中结束所有这些木马进程。(注意是所有,比如explore.exe就同时有好几个进程在运行)

第三步,删除病毒程序文件(注意:病毒文件一定要删除干净,否则会再次出现)

  1. 打开目录C:\windows\addins\,里面有三个net.exe、net1.exe、web7b.ini或类似三个文件,全部删除。
  2. 打开目录C:\windows\java\,有类似net.exe的几个文件,全部删除。
  3. 打开目录C:\windows\system32\,里面的csx.exe文件也删除。
  4. 打开目录C:\windows\system32\wbem\,里面的文件很多,有系统文件,不要乱删,删除opsa.exe、ostintexe.exe、explore.exe等几个相关的可执行文件,以及还有一个.bat结尾的文件。还有,看到有r.hta、s.hta也要删除。
  5. 20120902更新:

第四步,在“开始”——“运行”中输入“regedit”命令,启动注册表管理器。

第五步,利用查找功能查找“opsa”或“opsb”等木马程序的名称,找不到的话就搜索其他相关的名称(我这里是搜索net1然后才找到),基本都是在一起的,找到一个就全找到了。将找到的注册信息删除。(如果提示无法删除的话,打开注册表管理器“编辑”——“权限”,将权限设为“完全控制”,就可以删除这些恶意程序的注册信息。这个是因为木马程序将自身的注册信息设为只读了)

上面的步骤我都做了,所有疑似病毒的文件和注册表文件都删除干净了,但是病毒还是会重新出现。根据网上的反应,可能的原因:

安装了SQL 2000,使用默认端口1433以及sa的口令为空。(不知道改默认端口和设置sa密码有没有用)

Update at 2012-09-0:修改了默认的端口,同时给sa用户加了一个复杂的密码后,用了两三天,没发现病毒再次出现。猜测可能是利用了SQL Server sa密码为空这个来攻击进入计算机系统,种植病毒和木马程序。

执行完上述步骤,再用360之类的查杀病毒程序检查一遍,一般不会再有这些恶意程序了。

另外:这个木马还会关闭Windows 2003的你懂的(“你懂的”就是那个可以防火的墙)的设置,使其不可用,配置的时候出现错误提示:由于不可识别问题,windows无法显示windows你懂的设置。出现此错误后的解决办法

参考资料http://blog.sina.com.cn/s/blog_55179b1d010117t9.html

分类:Windows

标签:,

对本文发表评论





9 + 8 = ?

注意:
1、请勿单纯发表顶啊、打酱油之类无任何意义的评论,否则将被视为spam!谢谢合作!
2、但欢迎你留下对本文的看法或技术上的任何疑问,我会及时回复你。