QQ登录

只需一步,快速开始

登录 | 注册 | 找回密码

三维网

 找回密码
 注册

QQ登录

只需一步,快速开始

展开

通知     

查看: 1318|回复: 5
收起左侧

[求助] 中了services.exe病毒

[复制链接]
发表于 2007-4-5 21:31:52 | 显示全部楼层 |阅读模式 来自: 中国湖北武汉

马上注册,结识高手,享用更多资源,轻松玩转三维网社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???
services1.JPG
services.JPG
发表于 2007-4-5 22:37:21 | 显示全部楼层 来自: 中国北京
第二张图的注册表键值位于什么分支下??
发表于 2007-4-6 00:04:35 | 显示全部楼层 来自: 中国浙江杭州
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
7 y) E3 X' ~5 q1 w# L# ~, K
5 K6 F9 W" t6 I5 R3 t+ m6 [3 Cshell = Explorer.exe 1 修改为shell = Explorer.exe4 p8 u3 ~  W: J4 T
, I+ z9 }" j8 }# ?# Q8 E6 K
2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的7 G/ ]1 `2 e+ O5 G+ j& a
/ d/ P" I( r% ~# s
Torjan Program----------C:\WINNT\services.exe删除
) A! D9 L# B8 {5 ?* u) d# A" G; }& w8 S. Z
3. HKEY_Classes_root\.exe
' y" ?$ x) O$ t4 z- |/ v' q2 O) U- U; P* m
默认值 winfiles 改为exefile, m* k& ~% K* d5 b) d: t

8 u7 u" f# R6 r6 @6 E4.删除以下两个键值:9 I! v3 p6 d* P! A/ f2 M3 o
- s& {% r, a7 X9 |7 {9 a
HKEY_Classes_root\winfiles2 H" S5 C7 K, I
" y7 }9 U) Y" P; x0 d+ ?# k% a
HKEY_Local_machine\software\classes\winfiles9 s$ D1 w+ i) ]; x" r8 d, G

$ x' F1 C  |8 G- o4 x5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”7 \  \$ \9 s/ z# H# M/ B
$ m) W) x/ b% x! t, p+ m/ m! h( r
6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”% h/ ~0 A1 w$ \: E" q
6 {4 ]8 t" D4 ~* K
7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”0 B* i8 {( X# H6 e

2 z7 W3 F  G8 _5 U! A8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”% j/ @1 O- A! p( O' ]5 I9 }
, @: C2 q4 P/ p/ }; Y! o
9. 删除病毒添加的文件关联信息和启动项:5 L$ Z- a* x* W+ l4 e& |

3 T2 J4 }9 [/ n+ F[HKEY_CLASSES_ROOT\winfiles]
, f2 m: R5 `+ f1 s
& n4 K  S2 w; u' v6 k9 \[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]0 {& S2 Y/ j, l' ?) p

1 p; H* k2 R$ I" Q+ D2 A"Torjan Program"="%Windows%\services.exe"
# ]; P$ v9 S. D: l9 `
9 h3 V. X- x2 F1 Z4 T" v[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]+ S6 T* ~* ?+ U! F$ |

% y( U1 L  F$ S% K6 r* ^"Torjan Program"="%Windows%\services.exe"
) O. b- _7 w/ U! d' c6 Q; o, K# w
4 z/ ~5 r: b1 ^! p; K* v[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
: v0 j: i1 F1 n7 E# o0 S
. O0 S) ~! j! z"Shell"="Explorer.exe 1"* F* K3 C( k+ L2 ]. U; h7 s
: h& r+ K" G: Z1 r& s
改为
! t: V) M8 G8 y$ G& h  @" V8 y7 M0 ]% S& ]' }8 O5 R9 Y
"Shell"="Explorer.exe"' m$ P* B) @5 [4 }; D/ a
1 N4 s4 x; E0 [5 h1 ^) q
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
: H( ]# G  g. T2 @
& u# r6 U3 l5 Y9 x2 k! ?' m( bHKEY_CLASSES_ROOT\MSWinsock.Winsock; j$ t( g9 G7 L: s

1 ]# p! X* V/ XHKEY_CLASSES_ROOT\MSWinsock.Winsock.10 S9 r9 D$ j' e+ D, @; {0 J/ E

* d2 W' \' U$ I  ], w) NHKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
( l3 D4 l( Y- G6 R% r( ]: \  s
( k4 r5 q+ B, ?! s5 L/ t) NHKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}! h: D3 |6 c6 ]
3 c# |6 @6 t0 m2 C
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}1 h+ c, s- B7 ]( t( _9 T

( }+ g  D# t% Y7 G$ O% OHKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}# e$ g  D/ _5 s6 b: p5 C

1 Y+ a- N/ G! ZHKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
8 P* r1 W4 n' r- _; e! \$ _& I. @6 a# z  F8 e9 O; x
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒
+ W6 L) {, N# f* F( ]1 L) D5 u; n2 P3 F# R% L6 R
二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件* Y' w5 F" S0 f& G3 h) \: B
0 i0 u  m! l8 }; w% C& S& w
c:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)
& o- U6 t% w' w
3 A% Y% X" `4 P% o1 ~%programfiles%\common files\iexplore.pif, H4 t1 l; d1 A
3 q. ]. D7 F5 p1 \" }3 A, Q, z
%programfiles%\Internat explorer\iexplore.com
% c( K: a4 i4 J( C! p2 n' u
2 _2 Z) l0 W& m, F%windir%\1.com  _8 U( c2 E2 q

( g7 X5 y/ Z$ a' x  H%windir%\exeroute.exe. y! d, g. J7 M5 T5 a9 G
$ ^' u4 ^  o& c
%windir%\explorer.com* J" [0 n2 h. m$ ?: p$ [9 \
/ F$ o2 b$ m, _% Z
%windir%\finder.com
6 I8 F3 L+ U# c: e2 y( W/ j$ o/ \; G( g3 x) }
%windir%\mswinsck.ocx
1 k- |: [" Y$ `. n, Q8 a! A/ K8 |. [( l" R
%windir%\services.exe+ h. ?. l- o8 U+ L( o
; c8 ?6 D! q1 a: B
%windir%\system32\command.pif
. x/ D( P1 s2 j$ _3 ?% U+ @4 m. F, ~1 f0 p$ _# Q* M
%windir%\system32\dxdiag.com3 @* f8 C, X/ l, \
* Z# H' w. i! _! L$ @% p  Y# X
%windir%\system32\finder.com& w& R0 Y/ X9 i7 b- \" R1 n

5 D; o0 o- A% [4 h: k+ w%windir%\system32\msconfig.com
) ?6 a: u  Z- H9 N. O- r4 S9 X
2 j7 Y& B% ~9 B# `%windir%\system32\regedit.com' n3 G' B2 N1 i
, S; n# T. F1 ~
%windir%\system32\rundll32.com$ K2 e' _8 b3 o# A+ x, C2 M; A: w1 V
+ ]( U0 W! b% x( k4 R' _& v, h: q
删除以下文件夹:
, t: q5 K+ R: g* i' I- }7 P) V; q
%windir%\debug1 K5 z1 i# q3 ^- {
1 u( F, l9 G$ y! e4 `  E- N4 z) I# C
%windir%\system32\NtmsData
发表于 2007-4-6 15:41:16 | 显示全部楼层 来自: 中国江西南昌
卡巴斯基能杀了它吗?
 楼主| 发表于 2007-4-6 20:22:12 | 显示全部楼层 来自: 中国湖北武汉
原帖由 jyxz4 于 2007-4-5 22:37 发表
! f& d% z1 x1 ~6 J. W: i1 S第二张图的注册表键值位于什么分支下??

' }& D# x- N$ i* v( W. o& j6 e0 ]& q再请看了!!!
services2.JPG
 楼主| 发表于 2007-4-6 20:25:02 | 显示全部楼层 来自: 中国湖北武汉
原帖由 feiyong511 于 2007-4-6 00:04 发表
2 s) C2 b4 w: n# ^1 n4 A6 h1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
0 w5 \8 _7 l7 n* R: r
) b/ s; m& v; H$ y/ P! m% \shell = Explorer.exe 1 修改为shell = Explorer.exe
4 K7 {1 D9 [$ h6 M3 W/ L) Y: ~
$ a# p3 C, O6 `, S) \, C, B. ^  g. }2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...
! l2 U8 j8 y& C7 q. c
看的头都大了,版主能否帮助做成bat或注册表项目,有专杀工具吗????
发表回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Licensed Copyright © 2016-2020 http://www.3dportal.cn/ All Rights Reserved 京 ICP备13008828号

小黑屋|手机版|Archiver|三维网 ( 京ICP备2023026364号-1 )

快速回复 返回顶部 返回列表