QQ登录

只需一步,快速开始

登录 | 注册 | 找回密码

三维网

 找回密码
 注册

QQ登录

只需一步,快速开始

展开

通知     

查看: 1332|回复: 5
收起左侧

[求助] 中了services.exe病毒

[复制链接]
发表于 2007-4-5 21:31:52 | 显示全部楼层 |阅读模式 来自: 中国湖北武汉

马上注册,结识高手,享用更多资源,轻松玩转三维网社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???
services1.JPG
services.JPG
发表于 2007-4-5 22:37:21 | 显示全部楼层 来自: 中国北京
第二张图的注册表键值位于什么分支下??
发表于 2007-4-6 00:04:35 | 显示全部楼层 来自: 中国浙江杭州
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)! M7 N) H) Y* l4 ~

/ g5 `+ Z; T7 w; fshell = Explorer.exe 1 修改为shell = Explorer.exe* N  @; {" N; n# E+ D0 B
7 _8 B: \: ^. Z1 F. L
2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
! m, g! Q; \6 X* g+ U* v; I" N& X" t9 R, ~% W3 d
Torjan Program----------C:\WINNT\services.exe删除
7 c1 g6 W3 h8 ^+ ~2 ]" r  y* d/ u! |: Q3 c! n% X' y
3. HKEY_Classes_root\.exe0 U5 B0 U+ o% v1 S, j$ O& @5 F

/ T# r; ]. h$ u' Y, _- A% Z默认值 winfiles 改为exefile- L4 e0 r. s& `) u
, Q9 m6 Q" U1 m8 p& l  X; C; m2 J
4.删除以下两个键值:
# q, E1 X" f4 E% `8 @4 Z8 w" k4 ]- s
HKEY_Classes_root\winfiles0 D% g2 i8 T, ?* n
4 E' s* ]- n2 ^) P. o* M. z" t% g2 N
HKEY_Local_machine\software\classes\winfiles
- D% |, J8 @/ n5 z6 Y' K- Y  p( J) @% \4 v  S/ j
5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”- ]( s% C/ C! \9 ^

: b4 s- ]0 \4 Y, ]* T/ T7 Z6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
" C1 x* t+ A( x4 s
6 \8 s( f0 Y* E; j7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
+ q$ }7 X$ \2 l/ x
5 d" b' X, B4 }3 k2 n3 j8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”" u+ ^5 v, I# ~( `$ ?" n6 A

5 E& V3 H! i7 j3 g9 L9. 删除病毒添加的文件关联信息和启动项:
8 P  y( L: @# ^) p7 u7 p3 T% R6 }1 i, L7 S: d& K! j3 u
[HKEY_CLASSES_ROOT\winfiles]7 l) ^$ D/ A' x! @8 ~+ {
# r/ l  K' z/ T+ ?! ^5 N' p
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
& ?# ~2 K7 L# O$ Q9 o6 \, E: X
! x! f& i% o1 j# l4 q"Torjan Program"="%Windows%\services.exe") [1 k9 z2 Q1 q$ @- K7 s
' h' K0 e  v! S" `, m
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
" h8 ~* s, l& _- r
) N6 G% x# A; F" f5 {1 k6 N"Torjan Program"="%Windows%\services.exe"
: j; F' V0 P( M; [
- x) V/ h9 d2 M[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
0 l2 }5 U) o6 I! w9 T5 b+ w9 R& ^* P! B( K
"Shell"="Explorer.exe 1"
) c: a& z8 R7 J3 Q0 A1 y9 @9 Y5 ^: d
改为
8 n- i5 u6 \3 `; E2 A9 e
: z9 t% @& y5 C( z1 l9 ?"Shell"="Explorer.exe"
  b; h4 \" \* Y1 ]
: Q) z, u3 Y+ o  b, C7 i10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:; r2 ]: K: `0 D# r" U5 }
/ J+ h* l4 `. A2 _0 w
HKEY_CLASSES_ROOT\MSWinsock.Winsock. D7 ]$ E, c/ c; k( m- k
" x- }5 S7 K6 t2 e0 X
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
" m7 r9 t. r4 @0 j7 I' ]2 c* {& M7 L, Z
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}8 t% B* [( o% w: e  F" r
2 O/ M! u7 P8 m
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}- v0 ^4 }6 ?. W  V

8 f" z) r, r- C! GHKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}1 p1 u1 P5 \# B$ ^

8 {5 s' n0 \; W! T( iHKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
$ X) Y' S' s: V. x; n
8 t; q8 ]; h. f2 jHKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
/ f$ j- H5 Z) H1 A1 v$ \' k+ W2 D) ^% t' v  L
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒8 n8 n" u+ k7 a& S( j8 u
: ~9 Y$ w1 @4 Y3 A
二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
: B* x4 w7 }# h/ f  n# ]
# c' \8 U/ Y6 ]5 M, x+ z- cc:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)! j% R! w- N% Q: v+ w6 c
- V4 y5 i1 I6 I9 m
%programfiles%\common files\iexplore.pif
: H) x, h; V5 V7 F6 s8 F3 `
% @8 J" o9 ^# r, L%programfiles%\Internat explorer\iexplore.com
5 q6 o% }, o; y$ d) G' I& e, V7 q: I3 R  V5 @0 k  j) Y% h' M# m
%windir%\1.com8 V) f* E9 z6 V
/ o( d- g; O0 `; {. X8 _
%windir%\exeroute.exe
% _, t* q' j' V- _+ K) M( {$ q# H; t. g) J$ _& S& t3 y' D1 _4 y! t$ r3 O
%windir%\explorer.com5 A3 u0 j" }: {. m/ k1 v$ r
  F* C8 x0 {3 }; W
%windir%\finder.com
; q/ }% F- k/ X2 O+ L+ ]2 d) o/ |4 x; I& c5 }+ j7 u* H& r% u
%windir%\mswinsck.ocx
# [: ~8 E8 u  u4 x" @8 F+ T6 V; S: K1 A5 Y! A4 W3 Y9 \! W4 @
%windir%\services.exe
" }' i( c6 F7 h. a6 M) J& d. T: f8 f0 R" j& Q$ `
%windir%\system32\command.pif
7 [6 X9 }  D+ K2 f. {# z- R3 c, g$ o9 @# K3 Q; _0 x$ `  x
%windir%\system32\dxdiag.com
' L! \3 ^' g' n2 s3 }" B- u8 R. Q5 k+ F( A- ^4 O
%windir%\system32\finder.com4 `" @9 ?; w+ h$ T

+ ~, y" S! y, x+ q. k5 T' i%windir%\system32\msconfig.com  e1 k$ ~2 R: o# z: `+ r" G* Y

/ O" G% [& v, `/ _, d%windir%\system32\regedit.com
' \0 u% p1 p/ \) ^/ a
$ P5 y9 i& o, N1 \* g* I%windir%\system32\rundll32.com
1 \% g: L1 y- u# A- i& J- F. n) }' q- w" J: V( _8 a. J$ x
删除以下文件夹:
  N8 h2 a! `: ~, \6 I
) a* m' z1 z% v8 u+ u; I0 y%windir%\debug/ N! l3 }2 J2 B# L& b7 _! Y: r1 J

1 @4 T  l% P# v" o- F/ U$ k%windir%\system32\NtmsData
发表于 2007-4-6 15:41:16 | 显示全部楼层 来自: 中国江西南昌
卡巴斯基能杀了它吗?
 楼主| 发表于 2007-4-6 20:22:12 | 显示全部楼层 来自: 中国湖北武汉
原帖由 jyxz4 于 2007-4-5 22:37 发表$ f2 N% t1 l7 T4 J9 v% q+ m& _5 f6 |
第二张图的注册表键值位于什么分支下??

9 w1 \1 v' J* {再请看了!!!
services2.JPG
 楼主| 发表于 2007-4-6 20:25:02 | 显示全部楼层 来自: 中国湖北武汉
原帖由 feiyong511 于 2007-4-6 00:04 发表
# y$ ^/ K- Z2 E3 T1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)9 P" `  y: V1 Y# k' Y
5 c% t4 ]7 v2 w) M6 B
shell = Explorer.exe 1 修改为shell = Explorer.exe
1 d7 t6 a' ~: e& q. t1 Z' d/ V) h
2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...
% m: h  y& W  Z$ n
看的头都大了,版主能否帮助做成bat或注册表项目,有专杀工具吗????
发表回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Licensed Copyright © 2016-2020 http://www.3dportal.cn/ All Rights Reserved 京 ICP备13008828号

小黑屋|手机版|Archiver|三维网 ( 京ICP备2023026364号-1 )

快速回复 返回顶部 返回列表