QQ登录

只需一步,快速开始

登录 | 注册 | 找回密码

三维网

 找回密码
 注册

QQ登录

只需一步,快速开始

展开

通知     

查看: 1330|回复: 5
收起左侧

[求助] 中了services.exe病毒

[复制链接]
发表于 2007-4-5 21:31:52 | 显示全部楼层 |阅读模式 来自: 中国湖北武汉

马上注册,结识高手,享用更多资源,轻松玩转三维网社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???
services1.JPG
services.JPG
发表于 2007-4-5 22:37:21 | 显示全部楼层 来自: 中国北京
第二张图的注册表键值位于什么分支下??
发表于 2007-4-6 00:04:35 | 显示全部楼层 来自: 中国浙江杭州
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)) c4 Q" ~9 W  v6 A- d9 T

3 ^; g/ D5 O/ x: K8 r3 \; @+ p% y5 ~shell = Explorer.exe 1 修改为shell = Explorer.exe
) k  y- D! S  d; C% l9 E  }4 ]: G& D9 e" G0 E, M: p
2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的* E# ~& d! Q* m; O) r" \  o

, D/ i* A. I( f6 M# V! r! ]Torjan Program----------C:\WINNT\services.exe删除  Y1 B2 _, N, l, f3 F, G9 W8 Y

- v) d' P* H# }( |/ H* x, a0 Z! Y3. HKEY_Classes_root\.exe1 S7 b5 f; m2 L7 w
3 s; ~% F" Q, w% R
默认值 winfiles 改为exefile. j& T0 p8 {, X- s
5 H1 w" D  V$ s' }5 Z6 q
4.删除以下两个键值:
: s& ]& G5 s; x! j# I/ x
7 @/ i9 ?$ R; [0 U# i( {5 @HKEY_Classes_root\winfiles
( [4 J8 u: }- b: v( r
0 I1 Z9 h- S6 ]/ }HKEY_Local_machine\software\classes\winfiles$ t( k7 p; E0 ]

/ t  I" }: w" o3 n5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
6 F8 s1 X! X  d7 Z8 G$ N2 n4 Z
' x6 u) m1 j8 ^( n0 r; t# D6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”+ U0 E6 U- i6 C. _% d: k9 V
  w" y. p2 q7 _# P0 f9 _
7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
: Q2 I; z1 i' ~% X: k- v  W) B" u  |& ^8 e3 l
8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”3 L7 _3 j5 _9 G5 ~: ?: r; k
# u- L' O1 L, A) _2 V- C: a/ }
9. 删除病毒添加的文件关联信息和启动项:* h' G- A2 R# P# e: }8 X% Y1 b

5 h, P+ I) M5 [0 Z[HKEY_CLASSES_ROOT\winfiles]! R# Y' u7 q- y1 H+ I

: e7 W! n: O$ g, b5 \[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]$ v3 ~$ L7 \+ ~  [) P2 r* l# r

: B! K2 b  [, J"Torjan Program"="%Windows%\services.exe"
  D, h; z0 r( g& I7 F
- w$ v- m. K, o% {[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
/ M  S3 d% t9 t
6 m7 b" W4 W+ j"Torjan Program"="%Windows%\services.exe"; G& A# v: D. d- |! v

8 q4 n' S6 w) i6 X: n[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]. J% S( C1 ^) Q3 J
. c6 S5 ^2 M; ?7 g! i
"Shell"="Explorer.exe 1"
6 b2 V) y) |  z6 i$ o. ]4 _6 I1 _3 c& r4 I8 ^
改为
$ K% ~% n, t  k+ q* w6 q! U+ S; S) s
"Shell"="Explorer.exe"  W- o% x! G/ s7 T

3 S: w) a9 m" l, z10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
# C; a# a5 o6 ^$ m1 d6 c) K: r, {. [5 ^- w& K# P) Q+ k5 {
HKEY_CLASSES_ROOT\MSWinsock.Winsock/ Y$ B0 v5 k2 Q

6 V3 p, Z- p0 [7 |# O, A' {$ ZHKEY_CLASSES_ROOT\MSWinsock.Winsock.1
; k* S- E1 x' n$ j! f" o$ S( o* }! p0 ~7 C/ x! J; b! p4 m
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
* @+ h5 Q, U0 x& \! z/ O' f& J
) c# e; U3 D( fHKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
3 z0 q: p# P( X" }; I1 U' U+ f2 g' R
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}) M: C; V$ h9 y; N  p4 |8 E7 w
) c, L9 F3 A! \$ E3 ]
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
4 r2 s! Z( O6 u1 o6 C: T+ Z5 l8 I, ^. X* @7 V5 \2 W0 ~
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}. V# a4 o: j; i6 B# P; G! E

1 j8 r2 F1 D8 J3 V3 B注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒
% ^. x! C( J: K- }' f
, [% v% b/ p" f0 C) z  s二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件3 G. g8 S/ D; x2 s- g% o7 H

. A. l5 M' B8 Yc:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)
/ F. p5 b8 `+ F/ N4 @
" e2 G- P' B% A% u% G%programfiles%\common files\iexplore.pif# J7 u. k9 X, z& X4 }6 M1 S2 d; c
& x- ]! Z4 P% R* M% \6 E; Q
%programfiles%\Internat explorer\iexplore.com
0 g& Q# n; E, Z# v. Z1 \, }
7 J" c9 ^. I! L' l' I%windir%\1.com
: \! S5 p) w6 e6 c
+ n; _* \9 i, g" h  w( [, ?" k%windir%\exeroute.exe
$ i5 ~0 m) d6 v2 C; y( b: e
  F$ Y4 j; L7 p, [! M4 t  a) T%windir%\explorer.com
0 b8 N; F/ g6 B5 L) G. E: H
* J1 F5 [9 L) ^) q& n% L4 W+ r$ Z' t%windir%\finder.com
7 G% a* ~6 M/ F  y  |
& i# S* {9 N$ h6 i4 V3 {& B%windir%\mswinsck.ocx
, u) l/ ~$ ^3 x3 M
  K( |" A. x3 v- _: O* P4 ~%windir%\services.exe
3 q' N9 [4 S6 o! t" _# ]( [4 f
2 [1 A* {0 [# c9 {3 r- k%windir%\system32\command.pif: s- D, Y8 r1 T1 x. ]& \
/ Y/ @2 p2 X& x
%windir%\system32\dxdiag.com
( J% z& e3 b) C% O' O- E
' M, a7 q. V1 g" C# Q3 R%windir%\system32\finder.com1 o3 z" a& h! k% T- k

% _0 R, P+ }2 I' @%windir%\system32\msconfig.com/ `' }' }, r3 H7 m! R
8 L/ c  u8 e/ U, j; D
%windir%\system32\regedit.com8 {* G/ {( ~# k
3 {" Q) |2 }2 G- J# A, D8 l, H
%windir%\system32\rundll32.com
+ V8 I5 z" O: d7 Y' }, B$ f9 {1 A% D2 C
删除以下文件夹:2 ]0 k  S! Y& z& R
' _3 M5 L5 E1 h$ Q- k& v2 M
%windir%\debug! l4 P7 [  s7 J( n2 n5 P
4 {1 l& d1 A6 k/ A4 F6 L" V
%windir%\system32\NtmsData
发表于 2007-4-6 15:41:16 | 显示全部楼层 来自: 中国江西南昌
卡巴斯基能杀了它吗?
 楼主| 发表于 2007-4-6 20:22:12 | 显示全部楼层 来自: 中国湖北武汉
原帖由 jyxz4 于 2007-4-5 22:37 发表
  ?( v7 `8 b( a5 o  ^1 d1 _第二张图的注册表键值位于什么分支下??
1 a/ S$ c4 e5 C' }
再请看了!!!
services2.JPG
 楼主| 发表于 2007-4-6 20:25:02 | 显示全部楼层 来自: 中国湖北武汉
原帖由 feiyong511 于 2007-4-6 00:04 发表
3 H' h+ D+ E, C$ h) P0 D  d; Q& c' @1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)5 b5 m* g4 o9 w( F# S. }& M1 [1 f

% P) n& }9 y- r4 m1 c& Y6 A0 @shell = Explorer.exe 1 修改为shell = Explorer.exe
/ d, h6 t3 N1 h1 W0 w4 q
6 G; z; c3 b3 h5 v( d- D2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...

6 _1 w( A2 H/ A$ J  t6 [/ ]看的头都大了,版主能否帮助做成bat或注册表项目,有专杀工具吗????
发表回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Licensed Copyright © 2016-2020 http://www.3dportal.cn/ All Rights Reserved 京 ICP备13008828号

小黑屋|手机版|Archiver|三维网 ( 京ICP备2023026364号-1 )

快速回复 返回顶部 返回列表