首先大家必须明白什么是rootkit?

     Rootkit基本是由几个独立程序组成，一个典型rootkit包括： 以太网嗅探器程程序，用于获得网络上传输的用户名和密码等信息。 特洛伊木马程序，为攻击者提供后门。 隐藏攻击者目录和进程的程序。还包括一些日志清理工具，攻击者用其删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。 复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。还包括一些用来清理/var/log和/var/adm目录中其它文件的脚本。

     最近最让IT管理员头痛的是什么呢？--毫无疑问是rootkit。这种可恶的程序是一批工具集，黑客用它来掩饰对计算机网络的入侵并获得管理员访问权限。一旦黑客获得管理员访问权限，就会利用已知的漏洞或者破解密码来安装rootkit。然后rootkit会收集网络上的用户ID和密码，这样黑客就具有高级访问权限了。

     rootkit还有监控网络数据和按键的功能；为黑客在系统上开“后门”；修改日志文件；攻击网络上的其他计算机；修改系统上已有的工具防止被检测出来。 那么如何发现rootkit呢？看看三位Windows安全专家对用户的rootkit问题提供了什么解决方案吧。

     用户的问题：我是一家大型非营利机构的IT管理员。由于我们缺乏资金和人手，我们的许多用户需要用管理员访问权限来完成工作。最近，越来越多的用户抱怨他们的管理员应用程序崩溃了。他们的一些管理软件不再工作，例如，一些系统上的抗病毒软件神秘的失效了。有的在试图使用应用程序时蓝屏死机，有的计算机莫名其妙地重启或发送错误信息。用普通的间谍软件和特洛伊木马扫描工具没有发现任何问题。是什么在捣鬼？我们需要重装所有出现问题的计算机吗？

 

专家教你清除rootkit之诊断：

Kurt Dillard：缺少细节，但是，有一些关键的信息。以前一直很可靠的各种计算机系统频繁出现操作系统崩溃的问题意味着受到感染的计算机中的某些东西被改变了。另一个重要的线索是杀毒软件自动关闭自己。最后一个线索是，标准的安全工具不能发现任何恶意软件表明如果这些计算机中有新的软件，这种软件正在偷偷地运行。这种文件隐藏起来了看不到，但是，仍在运行。如果惟一奇怪的事情是数不清的系统崩溃，我会怀疑操作系统最新使用的补丁、设备驱动程序或者一个安全应用程序有问题。这些症候结合在一起暗示某些恶意的东西在起作用。然而，它也许不是一个rootkit。你必须要做额外的研究以便发现正在发生的是什么。

Lawrence Abrams：当你的计算机开始出现异常情况时，我想到的第一件事情就是你的计算机被间谍软件、病毒、特洛伊木马、蠕虫或者其它形式的恶意软件感染了。如果在你使用杀毒软件和/或者反间谍软件进行扫描之后继续存在这个问题，那么，这个时候就该使用某些工具进行深入的分析了。需要检查的是计算机的启动程序，看看是否存在当前杀毒软件定义中没有的新的恶意软件。某些检测故障的软件程序是:

-HijackThis：这是一种通用的主页劫持者检测和清除工具，能够连续不断地更新。

-WinPFind：这个工具软件可以扫描硬盘中的普通位置，查找与已知的恶意软件使用的方式相匹配的文件。

-Silent Runners：这个软件工具检查Windows是如何启动的并且创建一个文本文件以便进行研究或者作为一个基准储存起来。如果没有检测到任何东西，设法用安全模式运行这个程序和你的杀毒/反间谍软件。很多与蠕虫一起发布的普通的rootkit在安全模式不能够运行。因此，故障排查软件在安全模式下可以看到这些恶意软件。

     如果在安全模式下发现新的记录和文件，计算机很可能受到了在Windows正式模式下看不到的普通rootkit的感染。另一方面，如果你在安全模式下运行同一个工具软件之后仍没有发现任何可疑的现象，但是这个恶意软件的行为继续存在，你可以推测你正在应付一个更高级的rootkit。

Kevin Beaver：考虑到安装的应用程序的奇怪行为，你很可能正在对付某种类型的恶意软件，最有可能是rootkit或者以远程接入特洛伊木马。这些恶意软件能够让黑客从外部偷偷进入没有保护措施的计算机。了解这个事情的惟一方法是运行能够扫描或者监视异常行为和rootkit的存在的其它扫描软件。这种工具可以是Sana安全公司的“Primary Response”，或者Finjan软件公司的各种解决方案以及Sysinternals公司的“RootkitRevealer”。

     我还建议同时运行至少二种或者三种反间谍软件工具。也许还会有一些工具软件你没有用到。除了Spybot--Search & Destroy等常用的解决方案和Lavasoft Ad-Aware安全软件之外还有一些工具。我很幸运地使用了冠群国际的PestPatrol和微软的AntiSpyware等工具软件。监视老系统活动的另外两个工具是监视和封锁出站通讯的个人防火墙（不是Windows防火墙）以及能够监视可疑的系统进出的网络通信的网络分析器。当然，只有你的系统连接到网络的时候后一种选择才是可用的。

 

专家教你清除rootkit之立即行动：

Kurt Dillard：首先，将受影响的系统从网络断开是一个好主意。接下来，你需要决定你愿意投入多少时间。你愿意收集可能用来提出犯罪指控的证据吗？收集证据非常耗费时间，而且你必须要认真遵循适当的证据收集程序来做。你要确定这个事件的根源以便采取具体措施堵住被利用的任何安全漏洞吗?这也需要耗费很多时间。或者像我们大多数人一样，你没有那样多的时间，只是想尽快摆脱故障使系统恢复正常?无论你选择什么办法，我都希望你在事件发生之间制定一个具体的事件反应计划。如果你没有这个计划，你要确定写出一个适合你的机构的业务需求的书面计划。

     收集能够用于法庭上的信息系统的证据需要严格的程序，把发生的一切事情都存档保存并且保护原始的数据。我建议，你应该在事件发生之前与你们机构的法律代表和一些业内专家合作制定一个计划。你要使用逐个字节拷贝的工具等软件（也就是Guidance软件公司的EnCase、AccessData公司的FTK Imager或者X-Ways软件技术公司的WinHex等工具软件），在安全的地方存储受到影响的系统，对这些工具软件创建的数据做适于法庭使用的整理工作。

     找出发生问题的细节可能需要很多时间。但是，这项工作是令人着迷和有教育意义的。有一些rootkit检测工具：

·RootkitRevealer（成名的和令人尊敬的安全专家Mark Russinovich和Bryce Cogswell制作的）

·Blacklight（知名安全软件厂商F-Secure公司制作的）

·Klister（卑鄙的内核模式rootkitFU的作者制作的--你自己需要决定是否让你的网络信赖这个程序员）
 
     这些工具都有自己独特的功能和缺陷。我喜欢使用RootkitRevealer。但是，恶意软件作者不断地更新他们的工具以便避开最新的检测应用程序，因此，我最喜欢的工具也许也不能检测出所有的恶意软件。你也许需要手工执行微软研究院2004年发布的工具软件“Strider GhostBuster”的白皮书中解释的那些程序。简言之，你要在系统启动的时候拍下系统的快照，收集每个硬盘的目录列表等信息。然后，你使用替代的操作系统启动计算机，用你在干净的操作系统中所看到的东西与被攻破的操作系统中的东西进行比较。

     如果你没有时间了，在使受到影响的计算机系统脱离网络之后，你可以直接进入恢复阶段。

Lawrence Abrams：如果你发现的rootkit看起来像是与各种恶意软件捆绑在一起的普通的rootkit，那么，断开这台计算机的网络连接作为你的第一个措施应该是足够的。这将阻止其传播以及可能下载和安装更多的恶意软件。

     另一方面，如果你确定那就是目标rootkit，是一个人专门攻破这台计算机并且安装的rootkit，那么，你应该按照你们的机构对付入侵的政策去做。遗憾的是，大多数公司对于这类事件没有政策。如果你可能采取法律行动的话，最低限度你要立即制作一个可在法院使用的硬盘的镜像，把原始的计算机保存起来以便在法庭上当作证据。如果你不打算采取法律行动，你就可以直接进入恢复阶段。

Kevin Beaver：我首先的建议是断开计算机的网络连接，不过，这只能在你能够承受这种损失的情况下才可以这样做（也就是说，如果这样做不影响主要的业务经营的话）。这样做有助于阻止任何恶意软件传播或者影响其它的网络计算机。第二，安装/运行我在诊断阶段提到的应用程序。你可能需要运行这些程序来监视系统的行动。然而，一旦系统受到感染，检测程序要发现异常或者正常的行为都是很困难的，如果不是不可能的话。这主要取决于具体的工具的工作情况。

 

专家教你清除rootkit之恢复系统：

Kurt Dillard：遗憾的是“用核打击让站点进入轨道”是最有力的恢复方法。一旦黑客攻破了你的计算机，你永远不会确定你发现并清除了每个一被修改的地方。

如果你拥有最新的备份，按下列步骤执行：

1.把硬盘从被感染的计算机中拆下来安装到另一台干净的计算机中；

2.从干净的系统备份数据；

3.删除受影响的计算机的操作系统，并且使用已知的良好的介质重新为受影响的计算机安装操作系统；

4.采取在预防措施阶段中介绍的步骤尽最大努力保证系统的安全；

5.把数据恢复到重建的计算机中；

6.使用最新的杀毒软件和反间谍软件全面扫描恢复的数据。

7.不要存储任何可执行文件。最佳方法是故意删除二进制、脚本、ActiveX控件等任何可执行文件。

Lawrence Abrams：从rootkit的影响中恢复过来是很棘手的。如果rootkit是通过普通的没有针对性的恶意软件安装的，清除这种侵犯你的计算机的恶意软件应该比恢复你的计算机还要困难。

     另一方面，如果你对付的是Hacker Defender、HE4Hook、Vanquish或者FU等rootkit，那么，那就是黑客故意把这些rootkit安装到目标计算机中的。记住这个问题，你绝对想不到这些rootkit在你的计算机中安装了什么或者修改了什么。黑客也许会通过注册表修改安全设置，用黑客版本的文件替换你系统中的重要文件，或者以其它方式控制受害者的计算机或者网络。在这种情况下，我总是建议备份数据和重新安装操作系统。在你把数据复制到新安装的计算机之前，扫描一下数据，检查是否被感染。

     如果重新安装计算机不是一种选择，你可以使用rootkit检测程序查找属于rootkit的文件。这类工具软件包括Blacklight、RootkitRevealer和Flister等。由于这些文件在rootkit程序之外很可能看不到，你可以使用可启动的Linux发布版软件如KNOPPIX、启动盘或者通过一个网络共享（不建议这样做）清除那些文件。

     最后，如果你有资源重新安装计算机，那可能是你最佳的选择。

Kevin Beaver：如果你没有检测到任何rootkit，但是，异常的行为继续出现，你的最佳和最安全的选择是重新格式化和重新安装系统。在进行这种操作之前，你要确保备份一切必要的文件。由于目前大多数恶意软件（特别是rootkit）不感染二进制或者文本文件，这样做是很安全的。恶意软件主要感染可执行文件和操作系统以及应用程序使用的支持库文件。如果你能够清洁系统（如果发现了rootkit就很难做到），你需要经常扫描系统并且监视其它的可疑行为。再说一次，一定要使用我在诊断阶段所提到的那些工具。

 

专家教你清除rootkit之预防措施：

Kurt Dillard：你可以采取很多应对措施。下面是最有效的五个措施：

1.避免使用具有管理员权限的账户登录。你可以使用Windows内置的工具RunAs或者MakeMeAdmin等工具软件做到这一点；

2.运行一个为你的整个网络设置的防火墙以及分配给每个端口的防火墙软件，如Windows防火墙（包括Windows XP SP2）；

3.保持你的Windows和其它软件都是用最新的补丁和服务包。如果你只有少量的系统，你可以使用“Automatic Updates”（自动更新）等工具。如果你有很多系统，你可以使用Windows服务器更新服务；

4.使用拥有最新签名库的流行的杀毒软件。要了解更多的杀毒软件厂商，请参阅微软杀毒合作伙伴网页；

5.使用最新的间谍软件保护工具，如微软的Windows反间谍软件。

     要了解更多的有关减小受到这种恶意软件攻击的风险的想法，可以参考我最近发表的技术指南。

Lawrence Abrams：安全方面最重要的步骤是尽一切努力阻止用户使用管理员的权限登录网络。可以理解的是，使用当前的Windows结构，这不可能总做到。当恶意软件感染一台计算机的时候，这个恶意软件将以登录用户同样的安全级别运行。因此，如果用户具有管理员权限，这个恶意软件也将拥有管理员权限。这种权限就给予恶意软件全面访问你的计算机的权利。

     使用阻止其它恶意软件的最佳做法同样可以防止rootkit（无论是有针对性的蠕虫携带的还是病毒式的蠕虫携带的）。

1.使用防火墙封锁经常被黑客攻破的Windows TCP端口，如20、21、23、80、135、139、443和445端口。通过从源头封锁这些端口，你首先会减少被黑客攻破的风险。最佳的做法的是封锁每一个端口，仅把一个端口映射到一台需要打开端口的机器上。最近的蠕虫利用的程序中的安全漏洞就是使用这些端口。如果一台计算机需要使用上述端口，防火墙应该确定哪一台计算机可以通过这个端口远程接入这台计算机，而不是把端口完全敞开；

2.而且，每一台计算机都应该一直拥有最新的安全更新，并且运行每一天都更新的杀毒软件。病毒软件的新的定义是经常发布的，拥有这些最新的定义是非常重要的；

3.除了杀毒软件之外，你至少还需要两种反间谍软件工具，如在计算机上安装Spybot-Search and Destroy、Webroot软件公司的Spy Sweeper或者Lavasoft公司的Ad-Aware等工具软件。使用最新的更新每天或者每个星期扫描一次能够自动发挥最新的病毒定义的优势；

4.最后一条，但是不是最不重要的一条。要教育用户采取良好的做法。用户应该知道不要点击互联网广告、陌生人从即时消息中发来的链接或者陌生人发来的电子邮件的附件。如果一个新的蠕虫开始传播，IT工作人员应该立即发出电子邮件通知所有的用户，解释这种附件、配置或者措词。

     拥有可随时使用的防火墙、反恶意软件工具、最新的安全更新和为用户提供的良好的互联网指南，你应该能够避免受到这些类型的恶意软件的感染。

Kevin Beaver：只要计算机是由人类操作的或者是连接到网络的，就没有办法绝对保证安全。然而，你可以安装反间谍软件、rootkit检测工具和监视异常情况的软件来保证系统的安全。最理想的是，如果你受到过一次攻击并且不想再次受到这种攻击，你最好安装上述的全部三类安全软件。此外，这句话也许是老生常谈，但是还是要强调一下。你要确保你严格执行所有的操作系统和应用程序都使用最新的安全补丁的规定。

 

    还有就是，我以前也中过此类病毒。我最终的解决办法是重新装系统，并且把每个盘统统格式化。之后就再没有什么问题了~~~

     _desktop.ini这个是viking（威金）病毒建立的文件，不是欢乐时光病毒。欢乐时光病毒除了在每个文件夹里面建立desktop.ini还会同时建立folder.htt。

       把当前的杀毒软件，如瑞星，金山，江民等升级到最新病毒库，都可以查杀，杀毒时候最好到安全模式查杀。 病毒杀干净后手工删除_desktop.ini文件。
方法：

开始/运行，输入CMD打开DOS窗口，然后输入
del c:\_desktop.ini /f/s/q/a

     强制删除c盘下所有目录内（包括c盘本身，杀完c盘后在把c改为d，e等盘再杀）的_desktop.ini文件并且不提示是否删除

/f 强制删除只读文件

/q 指定静音状态。不提示您确认删除。

/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。

/a的意思是按照属性来删除了

这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的

desktop.ini是一个系统配置文件。
里面记录的是一些当前文件夹内部的一些信息。
例如当前文件夹采取的背景文件名等等。

它并不是病毒，在win98的PROGRAM FILES等地方下看到它是正常的。
只是欢乐时光利用它加载folder.htt,实现传播病毒的功能。desktop.ini缺少了folder.htt，也就没有一点威胁了。
但是如果你的是_desktop.ini，前面多了一个_,那就有问题了。 

威金、Worm.Viking、logo1_.exe、rundl132.exe、图标变色模糊等病毒症状及手工彻底清除方法完善版！

写在前面：
     前一段时间是落雪，最近又来了威金，是NNNNNNN多人中，又和上次一样，找了N多网站，翻了N多帖子，终于还是没有找到一个好用的解决办法，俺这个人让俺写俺不会，就是会这找点，那找点，掺和掺和，总结个办法，呵呵，效果还不错。。还有，我用自己的电脑做过试验，这个方法是可行的。
病毒介绍：
     威金是最近非常猖獗的一种蠕虫病毒，被感染的计算机会被病毒疯狂的从网上下载N多木马、病毒等，并感染大部分通讯软件、游戏等，盗取帐号密码；另外病毒还会搜索局域网内的计算机，试图猜解密码，感染临近计算机；同时，该病毒还会下载一个QQ病毒，自动向用户的QQ好友发送内容为"看看啊。我最近的照片～才扫描到QQ相册上的!"的消息并附带一个网址，其他用户点击消息中的网址就可能被病毒感染。

症状：
     几乎所有的文件夹下都有一个"_desktop.ini"文件；感染QQ，MSN等很多软件和游戏，并且图标变的模糊，边缘齿轮化；

下面的方法可以达到的效果：
1、完全将威金清理出你的计算机，并保证以后再不会发作；
2、修复被感染的可执行文件，免去重新安装或格盘之苦；
3、可执行文件图标恢复原状；
4、此方法只用于威金病毒，在中毒期间有可能被种植其他病毒和木马，不在本帖保证范围内，本帖最后，本人将告诉你，如何检测和清理其他病毒。

解决办法：
（友情提示：并不是所有的病毒重装或恢复系统就能解决问题，这个就不行，重新装系统并不比手工删要简单多少，因为病毒感染了你电脑中的软件，所以你还要重新装所有的软件，如果你不是刚重新装了系统，我建议你还是手工删。如果你是恢复备份，你要确保你的GHOST软件和GHOST文件没有被感染，如果被感染了，装了也等于没装。手工删的方法也适用于重装系统和恢复备份）

 

*********手工清理办法开始***********

注意：请严格按下列流程操作，中间不要有颠倒、遗漏的步骤，更不要中间穿插一些你自己的动作，既然用我的方法就请相信我。。。

一、准备工作；
1、准备如下软件：
upiea：下载地址：http://www.gypin.com/down/upiea1.4.rar
超级兔子：下载地址：http://download5.pctutu.com/soft/magicset75.zip
卡巴斯基6.0中文版：下载地址：http://d43.games.sina.com.cn/tools_1024/kis6.sch.rar
2、如果是winxp用户在杀毒前请务必将所有硬盘自动还原关闭："我的电脑--属性--自动还原---关闭所有"，win2000用户可免；
3、如果你处在局域网中，请给你的计算机设置密码。
4、卸载杀毒软件（因为你的杀软也可能被感染了），重启,并进安全模式。

二、杀毒
1、显示隐藏文件：
打开"我的电脑"——工具——文件夹选项——查看
a、把"隐藏受保护的操作系统文件（推荐）"和"隐藏已知文件类型的扩展名"前面的勾去掉；
b、勾中"显示所有文件和文件夹"
2、解压缩前面下载的"威金批处理"并运行"威金批处理1.bat"，等待自动关闭后，再次运行"威金批处理1.bat"
3、解压缩前面下载的"威金免疫包"，解压缩后按里面的使用说明操作。
4、重启
5、安装并运行超级兔子，提示你升级，点"否"
a、点"超级兔子魔法设置"，选择"启动程序"
b、找到里面是否有指向rundl132.exe和logo1_.exe的项目，如果有，右击该项目选择"删除项目"，然后点"确定"
c、点"超级兔子优化王"——"下一步"——"自动优化"——"下一步"——"确定"——"完成"
e、一路点"退出"，退出兔子。
6、解压缩下载的kis6.sch.rar，将从附件中下载的Kis6 KEY解压缩后，将其中的"kis6-070716.key"放置在与KIS6安装程序平级的目录下，运行kis6.sch.msi，除了选择安装目录，安装方式点"完整"外，其他全部点下一步，只到安装完成，自动重新启动计算机。
7、升级KIS6
升级过程中，运行"威金批处理"中的"威金批处理2.bat"，如果显示有_desktop.ini被删除，那就等自动关闭后，再次运行"威金批处理2.bat"直到所有的硬盘都显示找不到_desktop.ini。
8、KIS6升级成功后，全盘扫描电脑，如果报正常软件是病毒，点清除（是清除不是删除），如果报的毒不认识，直接点删除。（最近有朋友反映卡巴只能删除不能清除，那是威金的变种，如果后缀是.ae的，可以清除，如果后缀是.bb的，那只能删除了，然后再重新装了 :（

***************手工清理办法结束************

 

至此，威金病毒已经彻底从你心爱的电脑中消失了，并永远不会再发作。
恭喜你大功告成！呵呵，摧残你电脑和你人格的威金终于被干掉了！是不是感觉很爽呢？呵呵～

中招MSN病毒手工清除的解决方法：
     近两天中MSN毒的用户很多，大都是朋友的机器中毒后不段的在MSN上传给朋友病毒文件，经过自己一些研究手工清除MSN病毒。

病毒现象：
     系统很慢，MSN开启后不断向好友发送带病毒的文件，只要好友一接收就感染病毒，感染后杀毒软件会被中止运行，大多数应用程序无法使用。如杀毒软件等。

处理办法：
     重新启动电脑到安全模式（启动电脑过程中按F8键选择安全模式windwos98/2000/xp/2003运行）：
1．开启文件夹选项中的：显示所有文件包括隐藏文件；
2．运行msconfig（win2000除外）取消启动选项中加载的病毒程序。方法：开始->运行，在运行框中输入：msconfig 回车，在常规中钩选有选择的启动。在启动选项卡中去掉如下文件的加载项。
Win98/me/xp/2003
C:\windows\system32\serbw.exe
C:\windows\system32\formatsys.exe
或者：
Windows2000
C:\winnt\ system32\serbw.exe
C:\winnt\system32\formatsys.exe
3．删除：%systemroot%目录下的msmbw.exe文件[是隐藏文件]必须打开文件夹选项中的显示所有文件包括隐藏文件。删除：

%systemroot\system32%Serbw.exe ,formatsys.exe文件；
4．删除以下键值以取消启动选项中加载病毒文件。
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Run
                                                                                           RunOnce
                                                                                           RunService
下的:Ltwob  c:\winnt\system32\formatsys.exe
      Serpe  c:\winnt\system32\serbw.exe

子键
以serbw.exe为关键字搜索注册表相关键值，找到后删除。
以formatsys.exe为关键字搜索注册表相关键值，找到后删除。
重启电脑，止此MSN病毒得以清楚。可以欢心上MSN了。

 

注意事项：
  请大家在MSN上聊天时不要轻意接收来自己好友或陌生人的连接或文件，一定要确认清楚后在接收或点相关连接。

手工彻底清除 PWSteal.Lemir.Gen(SysModule32.DLL,SysModule64.DLL) 木马的方法
     说明：PWSteal.Lemir.Gen 是对一类窃号木马的统称，这个方法只适用于木马主本文件为 Expl0rer.exe 的 PWSteal.Lemir.Gen 木马，在使用此方法前请先确保自己遇到的是这个木马才可以。 同样的，文章中所提到的方法及其中所提到的有关费尔托斯特安全可以清除此木马/病毒的内容是特指这一个木马/病毒的当前这一版本， 并不保证对此木马/病毒的以前旧版本和以后所有可能产生出的新版本都同样有效。有许多用户反应一些杀毒软件在发现 PWSteal.Lemir.Gen(SysModule32.DLL,SysModule64.DLL) 木马后遇到无法隔离、删除或是清除后反复出现的问题。下面就告诉大家一个清除此木马简单有效的方法：
     因为此木马会将自己注册为系统 Explorer 组件，即使删除后也会自动生成，所以一般的杀毒软件较难直接清除掉它，但费尔托斯特安全可以完全彻底清除掉此木马，并且删除后不会再次出现，所以如果手上有费尔托斯特安全的正式版可以使用它删除（建议先升级到最新版的病毒库）。如果没有也可以用下面的方法手工清除它（注意以下方法测试于Windows2000/XP/2003/NT，9x/me下可能有些略有不同，这时建议使用费尔托斯特安全清除）：  
一、请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下（如果系统已经做了此设置可以跳过这一步）：
打开“我的电脑”； 
依次打开菜单“工具/文件夹选项”； 
然后在弹出的“文件夹选项”对话框中切换到“查看”页； 
去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态； 
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项； 
去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态； 
最后点击“确定”。
二、按“Ctrl+Alt+Del”键弹出任务管理器，找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步，只所以要迅速是因为如果动作慢的话，木马可能会自动恢复而再次运行起来，这样就无法删除掉其他木马文件了（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）；  
三、打开资源管理器进入到 “系统目录\Winnt\System32”下（如果您的win2000/nt/xp安装在C盘则就是 C:\Winnt\System32）。找到EXPL0RER.EXE文件（注意第5个字母是数字0不是字母O）、SysModule32.dll文件，然后直接删除它们。如果这时报告“文件正在使用无法删除”的类似提示则说明木马已经再次恢复了，需要从第二步开始重复做，并且从第二步到第三步一定要迅速，这里建议可以先打开资源管理器选中这几个待删除的文件，在做第二步即刚结束掉EXPL0RER.EXE进程后马上转过来删除这2个文件，这样一般就可以成功了；  
四、同样在 “系统目录\Winnt\System32”目录下找到 SysModule64.dll 文件，尝试删除它，不过如果这时报告“此文件正在使用中无法删除”等类似提示也没有关系，稍后在第七步将介绍如何删除此文件； 
五、打开资源管理器进入到 “系统目录\Winnt”下，找到一个 MFCD3O.DLL 文件，手工删除它；
六、打开“开始/运行”，输入“regedit”后“确定”以打开注册表编辑器，找到“HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}”键，把整个“{081FE200-A103-11D7-A46D-C770E4459F2F}”键全部删除。
七、注销当前用户或重新登录或重启电脑。之后再按第四步的方法删除掉 SysModule64.dll 文件，如果一切正常此时应该可以删除掉它了。

     至此，如果一切顺利 PWSteal.Lemir.Gen 木马就应该完全从您系统中清除干净了。

病毒名称：MSN相片（Worm.Mail.Photocheat.a）
病毒类型：蠕虫病毒
病毒危害级别：★★★☆
病毒分析：
这是一个通过MSN进行传播的蠕虫病毒，病毒行为如下：
1、病毒运行后创建自己的压缩包命名为PHOTOS.ZIP释放到%WINDIR%目录下，放出一名为syshosts.dll的动态库到%SYSTEM%目录下，将动态库蛀入系统多个线程中实现其传播的功能。
2、病毒会自动创建如下注册表项，实现自启动。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad "syshosts" = {1E3EF678-AFB7-4420-9CCF-3725505ACA10}
3、病毒会将生成的PHOTOS.ZIP通过MSN模拟键盘和鼠标操作发送给其他联系人,发送消息如下：
Here are my private pictures for you
Here are my pictures from my vacation
My friend took nice photos of me.you Should see em loL!
its only my photos!
Nice new photos of me and my friends and stuff and when i was young lol...
Nice new photos of me!! :p
Check out my sexy boobs :D
hey regarde mes tof!! :p
ma soeur a voulu que tu regarde ca!
hey regarde les tof, c'est moi et mes copains entrain de.... :D
j'ai fais pour toi ce photo album tu dois le voire :)
tu dois voire ces tof
mes photos chaudes :D
c'est seulement mes tof :p
zijn enige mijn foto's
wanna Hey ziet mijn nieuw fotoalbum?
indigde enkel nieuw fotoalbum! :)
hey keurt mijn nieuw fotoalbum goed.. :p
het voor yah, doend beeldverhaal van mijn leven lol..
en Fotos ! :p
le mie foto calde :p
mis fotos calientes
as :p
lbum de foto
4、病毒运行后将访问www.free8.bi的地址，以特定的昵称,登录到特定的IRC频道上，并在IRC聊天频道中散播消息。

 

手工清除方法：
一、删除病毒在注册表中的启动项目
1、点击“开始”菜单，选择运行。输入“regedit.exe”启动注册表编辑器。
2、打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad项，找到名为“syshosts”一项，将其值记录下来。例如本机中该值为“{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}”。
3、将syshosts项删除。
4、打开注册表中的HKEY_CLASSES_ROOT\CLSID项，找到刚刚记录下的项目，本例中为{8D4C2FB9-6DF1-46EA-B6A0-6403640115D6}。
5、重新启动计算机。
二、删除病毒文件
1、打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。同时取消掉“隐藏已知类型文件的扩展名”前的对勾，然后点击“确定”。
2、进入Windows文件夹（默认为C:\Windows），找到名为“photos.zip”的文件，将其删除。
3、进入系统文件夹（默认为C:\Windows\system32），找到名为“syshosts.dll”的文件，将其删除。
4、再次重新启动计算机，查看这两个文件是否存在，若不存在，则说明病毒已经被清除干净。

     “RavMonE.exe”、“rose.exe”、“sxs.exe”、“copy.exe”、“setup.exe”……根目录下的神秘幽灵，系统安全的杀手，它们被称作“U盘病毒”。无数Windows用户，都在为它们而焦头烂额。这一篇文章是一篇对自己对U盘病毒的研究和与U盘病毒斗争的经验教训的总结。
     Windows95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改，并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后，随着各种可移动存储设备的普及，国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵，有时是出现在不应该出现的地方的回收站，总之，它们是系统安全的严重威胁。

Autorun.inf被病毒利用一般有4种方式
A. OPEN=filename.exe
     自动运行。但是对于很多XPSP2用户和Vista用户，Autorun已经变成了AutoPlay，不会自动运行它，会弹出窗口说要你干什么。
B. shellAutocommand=filename.exe  shell=Auto
     修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键，马上发现破绽。精明点的病毒会改默认项的名字，但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文，你会认为是什么呢？
C. shellexecute=filename.exe
     ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录，病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。
D. shellopen=打开(&O)  shellopenCommand=filename.EXE shellopenDefault=1
shellexplore=资源管理器(&X) 
     这种迷惑性较大，是新出现的一种形式。右键菜单一眼也看不出问题，但是在非中文的系统下，原形毕露。突然出现的乱码、中文当然难逃法眼。 面对这种危险，尤其是第四种，仅仅依靠Explorer本身，已经很难判断可移动磁盘是否已经中毒。而在这种情况下，一部分人也根据自己的经验，做出了“免疫”工具。

 

免疫的办法（对可移动磁盘和硬盘）
一、同名目录
     目录在Windows下是一种特殊的文件，而两个同一目录下的文件不能同名。于是，新建一个目录“autorun.inf"在可移动磁盘的根目录，可以防止早期未考虑这种情况存在的病毒创建autorun.inf，减少传播成功的概率。
二、Autorun.inf下的非法文件名目录
     有些病毒加入了容错处理代码，在生成autorun.inf之前先试图删除autorun.inf目录。在Windows NT Win32子系统下，诸如"filename."这样的目录名是允许存在的，但是为了保持和DOS/Win9x的8.3文件系统的兼容性（.后为空非法），直接调用标准Win32 API中的目录查询函数是无法查询这类目录中的内容的，会返回错误。但是，删除目录必须要逐级删除其下的整个树形结构，因此必须查询其下每个子目录的内 容。因此，在“autorun.inf"目录建一个此类特殊目录，方法如"MD x:autorun.infyksoft.."，可以防止autorun.inf目录轻易被删除。类似的还有利用Native API创建使用DOS保留名的目录（如con、lpt1、prn等）也能达到相似的目的。
三、NTFS权限控制
     病毒制造 者也是黑客，知道Windows的这几个可算是Bug的功能。他们可以做一个程序，扫描目录时发现某目录名最后一个字节为'.'则通过访问 "dirfullname.."、或者通过利用Windows NT的Native API中的文件系统函数直接插手，删除该特殊目录。因此，基于更低层的文件系统权限控制的办法出现了。将U盘、移动硬盘格式化为NTFS文件系统，创建Autorun.inf目录，设置该目录对任何用户都没有任何权限，病毒不仅无法删除，甚至无法列出该目录内容。 但是，该办法不适合于音乐播放器之类通常不支持NTFS的设备。
这三步可谓是一步比一步精彩。但是，最大的问题不在怎么防止生成这个autorun.inf上，而是系统本身、Explorer的脆弱性。病毒作者很快就会做出更强大的方案。

 

这是我的预想。
一、结合ANI漏洞，在autorun.inf里将icon设成一个ANI漏洞的Exploit文件（经过我的实验，发现Windows有一种特性，就算把 ani扩展名改为ico，还是可以解析出图标），这样只要一打开“我的电脑”，未打补丁、无杀软的系统就会直接遭殃。这样的东西还可以放到网上的各种资源ISO中。
二、提高病毒的整体编程水平，综合以上各种反免疫方式，另外利用多数国内Windows用户常以高权限登录系统的特点，自动将没有权限的Autorun.inf目录获得所有权、加读写删除权限，击破这最坚固的堡垒。

 

面对如此恐怖的东西，对付的办法已经不多了。但是它们其实是一切Windows安全问题的基本解决方案。
一、一定要将系统和安全软件保持在最新状态。即使是盗版用户，微软也不会不给重要级别的安全更新，也从来没有过在重要级别安全更新中加入反盗版程序的记录。
二、尽量以受限制的帐户使用系统和上网，这样可以减少病毒进入系统的概率。Vista之所以加入UAC功能，正是因为它能够使用户在尽量方便的同时，享受到受限用户的安全。
三、某种程度上，可以说QQ、IE和某些装备能换真钱、什么都要真钱的网游是导致大量病毒木马编写者出现的“万恶之源”。通过IE漏洞，制作网页木马，安装盗 号程序，盗取账号，获得人民币。这条黑色产业链中，IE其实是最容易剪断的一环。珍爱系统，系统一定要更新，要有能防止网页木马的杀毒软件，用IE不要乱 上各种小型下载站、色情网站等高危站点，如果有可能，使用非IE引擎的浏览器。
四、恶意捆绑软件，现在越来越和病毒木马接近。部分恶意软件的FSD HOOK自我防御程序可能被病毒利用来保护自己（如SONY XCP事件），而一些恶意软件本身就是一个病毒木马的下载器。因此，不要让流氓接近你的机器。

     Autorun.inf的攻防战还在继续，只会变得越来越精彩，网民的安全意识会在攻与防的对立与统一中获得突破性的进展。

     诺顿升级到5月17日版本后，会导致打过KB924270补丁的XP系统崩溃，其原因是诺顿将KB924270更新过的netapi32.dll和lsasrv.dll文件误报为Backdoor.Haxdoor后门病毒。经过初步调查，lsasrv.dll和netapi32.dll是正常的系统文件。该文件在诺顿隔离后，系统重启导致蓝屏并提示：STOP c000021a Unkown hard error。
     中毒后请大家不要重启电脑。

 

Backdoor.haxdoor临时解决方案：
     SAV更新到5月17日的病毒定以后，会把C:\windows\system32\netapi32.dll和 C:\windows\system32\lsasrc.dll认为是backdoor.haxdoor, 并且把他们隔离掉。会造成重起机器后无法进入系统，安全模式也无法进入，蓝屏。目前的紧急对策：从系统中心---右击服务器---所有任务---Symantec  antivirus---病毒定义管理器---点击右上角的“配置”----出现对话框后店击“病毒定义文件”---然后选择之前的病毒定义。使得服务器不要下发今天的病毒定义。对于已经更新病毒定义的客户端，千万不要重新启动电脑。关掉symantec antivirus 服务，如果netapi32.dll和lsasrc.dll文件存在，且修改日期不是今天，说明没有被完全隔离（应该是部分） ；从隔离区里面恢复这两个文件，或者从没有问题的电脑copy这两个文件到C:\windows\system32。然后把C:\program files\common files\symantec shared\virusdefs\下把20070517这个文件夹删掉。Symantec正在加急开发更新的病毒定义，新的病毒定义出来后，请马上更新到最新。

 

已经无法启动的解决方法：
已经报出有病毒,但机器已经重启并无法进入系统(XP SP2),有以下解决方法：
1> 接上光驱,插如WINDOWS安装光盘,并选择从CDROM启动
2> 选择从控制台恢复,按"R"键
3> 假设您的光驱盘符为"F:\",敲入以下命令copy f:\I386\netapi32.dl_ c:\windows\system32\netapi32.dll和copy f:\I386\lsasrv.dl_ c:\windows\system32\lsasrv.dll如果遇到提示是否覆盖原有文件,请选择"Yes".
4> 重新启动机器,从硬盘启动,即可进入系统.
---------------------------------------------------------------------------
官方最新解决方法：
Symantec已经更新到17日rev.73病毒库问题已经解决了。请大家注意更新到最新版本的病毒库。

     根据瑞星客户服务中心的报告，最近两天除了大量因诺顿误杀导致XP崩溃的用户求助之外，又有数千名卡巴斯基杀毒软件的用户向瑞星求助，称开机后XP系统崩溃，无法进入计算机“桌面”。根据分析，该故障是由于卡巴斯基杀毒软件在5月18日的一次误杀系统文件导致的。
　　瑞星安全工程师分析，除了台湾的繁体中文版之外，该次误杀同样会把简体中文版WindowsXP SP2系统中的shdocvw.dll文件当作Trojan.Win32.Agent.alz病毒清除。shdocvw.dll文件是系统“Shell Doc Object and Control Library”，该文件被误删除后，会造成用户启动计算机后，桌面上所有图标都消失，并且无法看到任务栏。
　　据了解，卡巴斯基公司在18日已经通过升级解决了该问题，但是依然有部分已经中招的用户不会正确修复自己的电脑，因此瑞星工程师提供了可靠、便捷的解决方案。
　　正确的解决方法：
　　1、重新启动计算机，按住F8键，在“Windows 高级选项菜单”中选择“带命令行提示的安全模式”，并回车。
　　2、进入系统后，在提示框中输入services.msc，启动“服务管理程序”。在右边的窗口中找到卡巴斯基的服务，双击，在启动类型中选择“已禁用”。　
　　3、用Windows安装光盘重新启动计算机，在提示界面中按“R”进入“恢复控制台”。
　　4、选择要修复的Windows（默认按“1”，回车），并输入管理员密码。
5、输入expand X:i386shdocvw.dl_ c:windowssystem32，回车（X:为光盘盘符）。再输入expand X:i386shdocvw.dl_ c:windowssystem32dllcache，回车。然后重新启动计算机。

     2007年6月4日，国外著名Rootkit研究站点rootkit.com上发表了一篇文章: "Exploiting Kaspersky Antivirus 6.0-7.0" 作者为EP_XOFF/UG North,是著名的反Rootkit工具Rootkit Unhooker,Process walker的开发者。文章称，卡巴斯基反病毒软件从6.0到目前最新的7.0版中始终存在这一个严重的漏洞。该漏洞最早由MS-Rem发现，安装了卡巴斯基反病毒软件后，任何具有最低用户权限的用户也可以使系统蓝屏崩溃，该漏洞主要存在与卡巴斯基反病毒软件用于挂钩SSDT NtOpenProcess的代码中，该段代码用于阻止其他程序打开卡巴斯基的自身进程，以达到自我保护的目的。在该函数中，卡巴斯基反病毒软件的驱动程序没有对用户传入的参数做严格检查，导致只要在调用NtOpenProcess时传入错误的参数，即可使系统访问错误的内核地址，从而导致系统蓝屏崩溃。

     作者声称他们早在数年前就发现了该漏洞并提交给卡巴斯基，但是被卡巴斯基忽略了 另外，卡巴斯基在新版中加入了异常处理机制来试图解决这一问题，作者称这是无法完全解决问题的，显然卡巴斯基的开发人员根本不知道使用一个非常简单的函数：MMIsAddressValid就可以解决这个问题。

 

另外作者称，同样的漏洞还存在与卡巴斯基挂钩的多个函数中，包括
NtCreateKey NtCreateProcess
NtCreateProcessEx
NtCreateSection
NtCreateSymbolicLinkObject
NtCreateThread
NtDeleteValueKey
NtOpenKey
NtLoadKey2
NtOpenSection
NtQueryValueKey 所有这些函数都有问题。

下面这个网址介绍了关于卡巴斯基的漏洞及错误之处，包括
Patching system services at runtime
Improper Validation of User-mode Pointers
Hiding Threads from User-mode
Improper Validation of Kernel Object Types
Patching non-exported, non-system-service kernel functions
Allowing User-mode Code to Access Kernel Memory 等等