注:以下文字主要参照此篇文章的操作步骤,然后根据自己的语言习惯和实际操作重新组织和整理,并且添加了很多步骤,那篇文章说的步骤不全,会导致病毒删除不干净,也没有说明导致整个病毒的原因。
我的一位客户使用的服务器系统为 Windows 2003,新安装的系统就中招了。用 360 安全卫士扫描木马,发现有 「web7b 恶意程序」,还有 opsa.exe、opsb.exe、osintexe.exe、net1.exe、csx.exe、hao123.exe、amd.exe、explore.exe(注意分辨这个是 explore,不是 explorer 哦)等。
用 360 安全卫士和 360 杀毒查杀,开机后又出现了。重启电脑进入安全模式再查杀,还是无法彻底清除。
到网上查了一下,web7b 是一个刷网络广告流量的流氓软件,还能传播其他木马和病毒。在 C 盘如果能搜索到文件 web7b.ini,则肯定是中招了。
手工清除方法:
第一步,用 360 的流量防火墙禁止 opsa.exe、opsb.exe、net1.exe、explore.exe 等木马程序访问网络
第二步,启动任务管理器,在任务管理器中结束所有这些木马进程。(注意是所有,比如 explore.exe 就同时有好几个进程在运行)
第三步,删除病毒程序文件(注意:病毒文件一定要删除干净,否则会再次出现)
- 打开目录 C:\windows\addins\,里面有三个 net.exe、net1.exe、web7b.ini 或类似三个文件,全部删除。
- 打开目录 C:\windows\java\,有类似 net.exe 的几个文件,全部删除。
- 打开目录 C:\windows\system32\,里面的 csx.exe 文件也删除。
- 打开目录 C:\windows\system32\wbem\,里面的文件很多,有系统文件,不要乱删,删除 opsa.exe、ostintexe.exe、explore.exe 等几个相关的可执行文件,以及还有一个.bat 结尾的文件。还有,看到有 r.hta、s.hta 也要删除。
- 20120902 更新:
第四步,在 「开始」——「运行」 中输入 「regedit」 命令,启动注册表管理器。
第五步,利用查找功能查找 「opsa」 或 「opsb」 等木马程序的名称,找不到的话就搜索其他相关的名称(我这里是搜索 net1 然后才找到),基本都是在一起的,找到一个就全找到了。将找到的注册信息删除。(如果提示无法删除的话,打开注册表管理器 「编辑」——「权限」,将权限设为 「完全控制」,就可以删除这些恶意程序的注册信息。这个是因为木马程序将自身的注册信息设为只读了)
上面的步骤我都做了,所有疑似病毒的文件和注册表文件都删除干净了,但是病毒还是会重新出现。根据网上的反应,可能的原因:
安装了 SQL 2000,使用默认端口 1433 以及 sa 的口令为空。(不知道改默认端口和设置 sa 密码有没有用)
Update at 2012-09-0:修改了默认的端口,同时给 sa 用户加了一个复杂的密码后,用了两三天,没发现病毒再次出现。猜测可能是利用了 SQL Server sa 密码为空这个来攻击进入计算机系统,种植病毒和木马程序。
执行完上述步骤,再用 360 之类的查杀病毒程序检查一遍,一般不会再有这些恶意程序了。
另外:这个木马还会关闭 Windows 2003 的你懂的(「你懂的」 就是那个可以防火的墙)的设置,使其不可用,配置的时候出现错误提示:由于不可识别问题,windows 无法显示 windows 你懂的设置。出现此错误后的解决办法。