中了services.exe病毒

wp2576

两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???

jyxz4

第二张图的注册表键值位于什么分支下？？

feiyong511

1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）

/ g5 `+ Z; T7 w; fshell = Explorer.exe 1 修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
! m, g! Q; \6 X* g+ U* v
Torjan Program----------C:\WINNT\services.exe删除
7 c1 g6 W3 h8 ^+ ~2 ]
3. HKEY_Classes_root\.exe

/ T# r; ]. h$ u' Y, _- A% Z默认值 winfiles 改为exefile

4.删除以下两个键值：
# q, E1 X" f4 E
HKEY_Classes_root\winfiles

HKEY_Local_machine\software\classes\winfiles
- D% |, J8 @/ n5 z6 Y' K- Y  p( J
5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

: b4 s- ]0 \4 Y, ]* T/ T7 Z6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”
" C1 x* t+ A( x4 s
6 \8 s( f0 Y* E; j7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”
+ q$ }7 X$ \2 l/ x
5 d" b' X, B4 }3 k2 n3 j8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”

5 E& V3 H! i7 j3 g9 L9. 删除病毒添加的文件关联信息和启动项：
8 P  y( L: @# ^) p7 u
[HKEY_CLASSES_ROOT\winfiles]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
& ?# ~2 K7 L# O$ Q9 o6 \, E: X
! x! f& i% o1 j# l4 q"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
" h8 ~* s, l& _- r
) N6 G% x# A; F" f5 {1 k6 N"Torjan Program"="%Windows%\services.exe"
: j; F' V0 P( M; [
- x) V/ h9 d2 M[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
0 l2 }5 U) o6 I! w9 T5 b
"Shell"="Explorer.exe 1"
) c: a& z8 R7 J3 Q
改为
8 n- i5 u6 \3 `; E2 A9 e
: z9 t% @& y5 C( z1 l9 ?"Shell"="Explorer.exe"
  b; h4 \" \* Y1 ]
: Q) z, u3 Y+ o  b, C7 i10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：

HKEY_CLASSES_ROOT\MSWinsock.Winsock

HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
" m7 r9 t. r4 @0 j
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}

8 f" z) r, r- C! GHKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

8 {5 s' n0 \; W! T( iHKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
$ X) Y' S' s: V. x; n
8 t; q8 ]; h. f2 jHKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
/ f$ j- H5 Z) H1 A1 v$ \
注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒

二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
: B* x4 w7 }# h/ f  n# ]
# c' \8 U/ Y6 ]5 M, x+ z- cc:\antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）

%programfiles%\common files\iexplore.pif
: H) x, h; V5 V7 F6 s8 F3 `
% @8 J" o9 ^# r, L%programfiles%\Internat explorer\iexplore.com
5 q6 o% }, o; y$ d) G' I& e, V7 q: I
%windir%\1.com

%windir%\exeroute.exe
% _, t* q' j' V- _+ K) M( {$ q# H
%windir%\explorer.com

%windir%\finder.com
; q/ }% F- k/ X2 O+ L+ ]2 d) o/ |
%windir%\mswinsck.ocx
# [: ~8 E8 u  u4 x" @8 F+ T6 V; S
%windir%\services.exe
" }' i( c6 F7 h. a6 M) J& d
%windir%\system32\command.pif
7 [6 X9 }  D+ K2 f. {# z- R3 c
%windir%\system32\dxdiag.com
' L! \3 ^' g' n
%windir%\system32\finder.com

+ ~, y" S! y, x+ q. k5 T' i%windir%\system32\msconfig.com

/ O" G% [& v, `/ _, d%windir%\system32\regedit.com
' \0 u% p1 p/ \) ^/ a
$ P5 y9 i& o, N1 \* g* I%windir%\system32\rundll32.com
1 \% g: L1 y- u# A- i
删除以下文件夹：
  N8 h2 a! `: ~, \6 I
) a* m' z1 z% v8 u+ u; I0 y%windir%\debug

1 @4 T  l% P# v" o- F/ U$ k%windir%\system32\NtmsData

oygg

卡巴斯基能杀了它吗?

wp2576

原帖由 jyxz4 于 2007-4-5 22:37 发表
第二张图的注册表键值位于什么分支下？？

9 w1 \1 v' J* {再请看了！！！

wp2576

原帖由 feiyong511 于 2007-4-6 00:04 发表
# y$ ^/ K- Z2 E3 T1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）

shell = Explorer.exe 1 修改为shell = Explorer.exe
1 d7 t6 a' ~: e& q
2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...

看的头都大了，版主能否帮助做成bat或注册表项目，有专杀工具吗？？？？