中了services.exe病毒

wp2576

两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???

jyxz4

第二张图的注册表键值位于什么分支下？？

feiyong511

1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）
  j, G7 }# G; w" S. H: j4 c
shell = Explorer.exe 1 修改为shell = Explorer.exe

1 I, v* r4 F9 E" J2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
" K) X3 e1 S: R
Torjan Program----------C:\WINNT\services.exe删除
# y7 V1 }  ~2 _7 z/ {
" e$ d% f  v" X) Q5 b: x3. HKEY_Classes_root\.exe

; J6 c4 |* }7 Q2 `5 t7 F默认值 winfiles 改为exefile

4.删除以下两个键值：
3 s, k7 S9 ]- a! W1 ]3 S
HKEY_Classes_root\winfiles

* o+ J3 a" U! k  a9 P6 _9 B" B# QHKEY_Local_machine\software\classes\winfiles
+ @/ t& ?. W% C0 H' |
, I' J) D( h; l& K  H; ]5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”

7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”
/ L. V1 h( i' E; \( [: ?: Q4 s
# p  W! i8 h  r0 V  f. r  u8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”

+ _  T( N- y/ r9. 删除病毒添加的文件关联信息和启动项：
' \( m3 g+ e4 \; t8 b- e# k
[HKEY_CLASSES_ROOT\winfiles]
  P3 A, r+ m3 [+ S4 ?6 @" C# R
% r- V8 d; U' X7 e  f8 C[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
/ E0 e: T. w5 F* x
"Torjan Program"="%Windows%\services.exe"

& R5 t5 P4 ~7 p$ c: l' E. r[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
+ E* I! i1 p3 W" w$ R* E* A) Z% N) q
"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe 1"

改为
" J9 p2 s6 K" k6 ]' |  ~! `! S
8 K5 O, J$ p& `$ I) n"Shell"="Explorer.exe"

10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：
- Q" \! d- X9 ~" p
HKEY_CLASSES_ROOT\MSWinsock.Winsock

8 |0 v( t* w- n1 M, K9 qHKEY_CLASSES_ROOT\MSWinsock.Winsock.1
, B# L% r5 ?% T9 K
6 a7 ]7 U6 M% PHKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

* W3 E: @$ W1 k" NHKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
1 h9 F& R1 b( t: Q
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

! M+ i; {0 F4 o# Z3 z, l/ O! cHKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
  z& T7 i4 F$ e/ q; r: Y
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
! C+ U5 k6 J$ f, H& q, H
, B7 _& k2 b0 h# a0 w# d) C2 I注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒

4 J! y. q$ m' x( {6 K9 L& z二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
, j5 ?9 O  e6 _
c:\antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）
- ^7 M0 e) l! p% f  o$ T
%programfiles%\common files\iexplore.pif
/ T1 m- [% J6 T8 \4 D! O" p
%programfiles%\Internat explorer\iexplore.com
" [* @8 B, g) p6 h3 w1 d
%windir%\1.com
7 a0 d, R2 y: z$ h
* s; H4 Q  E: Q%windir%\exeroute.exe

%windir%\explorer.com
$ }- a$ ]% s4 a9 b& a2 g
%windir%\finder.com
% g. U' ]7 y8 k4 C8 g( C. T
  y0 \# g7 T9 D# C& P! {1 i%windir%\mswinsck.ocx

%windir%\services.exe

* z' q1 ]4 {! i$ S%windir%\system32\command.pif

- {( p# e4 F$ B%windir%\system32\dxdiag.com
# K' }8 v% v( ]% G& N3 e. ?2 n
%windir%\system32\finder.com
' l7 Z* `- t1 ~
! }5 j- S+ ]% J2 U%windir%\system32\msconfig.com

%windir%\system32\regedit.com
# f( J+ V5 B3 u2 [/ `% j) _
%windir%\system32\rundll32.com

删除以下文件夹：

) o2 a+ x( Q/ o( q; F, b%windir%\debug
, `7 J  r1 X& `7 u
0 p$ C3 K& n. G%windir%\system32\NtmsData

oygg

卡巴斯基能杀了它吗?

wp2576

原帖由 jyxz4 于 2007-4-5 22:37 发表
第二张图的注册表键值位于什么分支下？？

2 Q$ g2 m, k: h$ e, F+ _9 H再请看了！！！

wp2576

原帖由 feiyong511 于 2007-4-6 00:04 发表
1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）

* C. ]5 H$ L. x( y5 f6 xshell = Explorer.exe 1 修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...

看的头都大了，版主能否帮助做成bat或注册表项目，有专杀工具吗？？？？