web7b 恶意程序的手工清除方法

注:以下文字主要参照此篇文章的操作步骤,然后根据自己的语言习惯和实际操作重新组织和整理,并且添加了很多步骤,那篇文章说的步骤不全,会导致病毒删除不干净,也没有说明导致整个病毒的原因。

我的一位客户使用的服务器系统为 Windows 2003,新安装的系统就中招了。用 360 安全卫士扫描木马,发现有 “web7b 恶意程序”,还有 opsa.exe、opsb.exe、osintexe.exe、net1.exe、csx.exe、hao123.exe、amd.exe、explore.exe(注意分辨这个是 explore,不是 explorer 哦)等。

用 360 安全卫士和 360 杀毒查杀,开机后又出现了。重启电脑进入安全模式再查杀,还是无法彻底清除。

到网上查了一下,web7b 是一个刷网络广告流量的流氓软件,还能传播其他木马和病毒。在 C 盘如果能搜索到文件 web7b.ini,则肯定是中招了

手工清除方法:

第一步,用 360 的流量防火墙禁止 opsa.exe、opsb.exe、net1.exe、explore.exe 等木马程序访问网络

第二步,启动任务管理器,在任务管理器中结束所有这些木马进程。(注意是所有,比如 explore.exe 就同时有好几个进程在运行)

第三步,删除病毒程序文件(注意:病毒文件一定要删除干净,否则会再次出现)

  1. 打开目录 C:\windows\addins\,里面有三个 net.exe、net1.exe、web7b.ini 或类似三个文件,全部删除。
  2. 打开目录 C:\windows\java\,有类似 net.exe 的几个文件,全部删除。
  3. 打开目录 C:\windows\system32\,里面的 csx.exe 文件也删除。
  4. 打开目录 C:\windows\system32\wbem\,里面的文件很多,有系统文件,不要乱删,删除 opsa.exe、ostintexe.exe、explore.exe 等几个相关的可执行文件,以及还有一个.bat 结尾的文件。还有,看到有 r.hta、s.hta 也要删除。
  5. 20120902 更新:

第四步,在 “开始”——“运行” 中输入 “regedit” 命令,启动注册表管理器。

第五步,利用查找功能查找 “opsa” 或 “opsb” 等木马程序的名称,找不到的话就搜索其他相关的名称(我这里是搜索 net1 然后才找到),基本都是在一起的,找到一个就全找到了。将找到的注册信息删除。(如果提示无法删除的话,打开注册表管理器 “编辑”——“权限”,将权限设为 “完全控制”,就可以删除这些恶意程序的注册信息。这个是因为木马程序将自身的注册信息设为只读了)

上面的步骤我都做了,所有疑似病毒的文件和注册表文件都删除干净了,但是病毒还是会重新出现。根据网上的反应,可能的原因:

安装了 SQL 2000,使用默认端口 1433 以及 sa 的口令为空。(不知道改默认端口和设置 sa 密码有没有用)

Update at 2012-09-0:修改了默认的端口,同时给 sa 用户加了一个复杂的密码后,用了两三天,没发现病毒再次出现。猜测可能是利用了 SQL Server sa 密码为空这个来攻击进入计算机系统,种植病毒和木马程序。

执行完上述步骤,再用 360 之类的查杀病毒程序检查一遍,一般不会再有这些恶意程序了。

另外:这个木马还会关闭 Windows 2003 的你懂的(“你懂的” 就是那个可以防火的墙)的设置,使其不可用,配置的时候出现错误提示:由于不可识别问题,windows 无法显示 windows 你懂的设置。出现此错误后的解决办法

参考资料http://blog.sina.com.cn/s/blog_55179b1d010117t9.html

分类:Windows

标签:,

对本文发表评论





1 + 2 = ?

注意:
1、请勿单纯发表顶啊、打酱油之类无任何意义的评论,否则将被视为spam!谢谢合作!
2、但欢迎你留下对本文的看法或技术上的任何疑问,我会及时回复你。