QQ登录

只需一步,快速开始

登录 | 注册 | 找回密码

三维网

 找回密码
 注册

QQ登录

只需一步,快速开始

展开

通知     

查看: 1331|回复: 5
收起左侧

[求助] 中了services.exe病毒

[复制链接]
发表于 2007-4-5 21:31:52 | 显示全部楼层 |阅读模式 来自: 中国湖北武汉

马上注册,结识高手,享用更多资源,轻松玩转三维网社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???
services1.JPG
services.JPG
发表于 2007-4-5 22:37:21 | 显示全部楼层 来自: 中国北京
第二张图的注册表键值位于什么分支下??
发表于 2007-4-6 00:04:35 | 显示全部楼层 来自: 中国浙江杭州
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
# Y! Y, y2 t3 A
; R& x- f* f( b+ ^shell = Explorer.exe 1 修改为shell = Explorer.exe+ v% ^& b: `4 R& v1 V
8 x& t, T! Y5 C
2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的4 }  T4 V+ z$ }( [& u0 ~

6 e$ |7 |# Z5 [0 @( h( s, vTorjan Program----------C:\WINNT\services.exe删除. c& c4 F, j# H- Q: i6 p

" Q0 L3 Y6 q* w' ^" Z! ]' F  Y& \3. HKEY_Classes_root\.exe
: O7 }5 f4 G, P% j8 a. l- i* b/ k3 M5 C
默认值 winfiles 改为exefile
1 p4 x( c* {/ X
9 t# H' D! m' r9 ?0 ]4 f! o! k4.删除以下两个键值:
$ D2 v4 C2 K( e- Z1 T6 c6 {/ q  d# H9 b! d* C, \  E
HKEY_Classes_root\winfiles; l0 u, U/ `7 L  q" z& {' @/ }
% ^- d# _! A# a# ~$ i
HKEY_Local_machine\software\classes\winfiles! ]" H+ C. l# I7 q( |
1 W2 Y- Y% {3 N% s/ a6 V7 Z7 T
5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”* l2 S* }1 B, u  K3 q

: I; c  x, |1 n6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”% J. M7 }% m* o' N. Z. C
" D6 ?4 a! J6 D, D0 x% D
7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”' X0 T1 ?6 T7 W# g; V
1 ~$ ?$ M6 @0 K. N/ ~; ^
8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
. D: T, Q% t, i4 C, ^$ h! w8 h# S4 U; V5 a2 u* t
9. 删除病毒添加的文件关联信息和启动项:5 f2 |1 ~! `* t' V! L
3 W5 P3 u( m/ D
[HKEY_CLASSES_ROOT\winfiles], ]) b1 ]& [% E: G" }4 V

% _- g, |9 o1 ]: f! t( |) n9 M[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
* K2 j' m& Z& w  s7 T5 T) w
2 `% h1 T7 l* x) ^* U0 ?"Torjan Program"="%Windows%\services.exe"
7 v6 F+ T3 [3 ?8 U% e
! a/ W6 V2 ?' L! ~[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
2 O3 v  @1 c4 Z& ^( T7 e+ S" M' Z1 J
+ x  Q5 f( u  }"Torjan Program"="%Windows%\services.exe"
$ ~* k0 {( M$ D' \+ R; p3 f* a) [
% @5 m# s8 Y- `; P) m% r[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
3 i2 G, L  \/ ?( }6 e) ~
( {6 S0 E$ |, d* _3 Y/ l"Shell"="Explorer.exe 1"2 ^. q7 D6 D' C/ e) A
3 O6 U. X+ |0 Q6 L1 R
改为$ _  Q' z1 ]0 H( b
: F( @) C$ i4 J
"Shell"="Explorer.exe"
3 ^  k& ]. Y2 k" f  ^/ |2 U7 |3 B" v2 m+ O4 c# b! v' t
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
0 |6 s4 e" J7 i; |
# A0 h$ X' Z, `) l+ J! W. `HKEY_CLASSES_ROOT\MSWinsock.Winsock  [1 R6 ?2 s/ x  a: ?

6 c. w6 O5 E+ B0 E0 IHKEY_CLASSES_ROOT\MSWinsock.Winsock.12 x" g, v6 W( g' F% J( ~/ Z
5 ]) V+ m9 P: h0 p5 X# q
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}6 Y5 Q7 }0 d3 q" F' ?( ]" l

" P) b; |: b2 B: C! R" D3 l& UHKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
" t; j; y3 t7 ]" B$ t# M1 F5 D5 r- j8 z- ~  }. ^
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}; O1 k  }" t- W6 l

. n8 S/ Y1 s7 P1 J0 ?* A) u( UHKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
( @, ^- t  H. u6 ^' k. L
& R* Y1 a% m4 O+ V2 sHKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
+ g. v: l; o2 D8 M9 `
; S- ^; \' p& ^3 x0 ^' f注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒
" L" h8 N- Q2 x0 L: I# |; V0 X) y& s+ V. u' P3 ]
二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
! _/ L: s6 S2 d/ U6 M- M
) }. {& s: F1 O$ T$ S: Rc:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)# j! x7 l) d; |# @
0 n3 y7 f8 x% t: D4 V
%programfiles%\common files\iexplore.pif! T; M8 s, f1 e: S5 Q6 t

: o. i8 @) W) w%programfiles%\Internat explorer\iexplore.com% P3 Z8 x4 K; o" s9 ?

% y+ b9 F! U0 ?% Q( @1 ?0 r%windir%\1.com
3 L1 Y" O3 E2 Q9 I- e/ C% m: w; `+ I, t9 u1 E
%windir%\exeroute.exe
& }7 V& P) S/ U1 [" e1 h* V* s
9 ?, k- G( `+ C5 o- u+ B5 D%windir%\explorer.com
- D* U* H" j4 b% P: Z; T) g# \
%windir%\finder.com
" C5 I0 g. L$ S0 n
& R" S* M' e0 X4 p%windir%\mswinsck.ocx
1 r, P" i# b3 i8 D& Q# ]5 l( c
* C& c3 r2 o& I6 K6 L%windir%\services.exe
, n8 c" e& Z: g, X; ~
) w) H5 D" D( N3 U& m%windir%\system32\command.pif& C( Y$ X; b  ~; u  x7 G1 s

" w/ i9 @$ D* m%windir%\system32\dxdiag.com5 q( B5 D  Y+ U1 c8 [% R5 r. ~
2 W0 |  w  Q( H1 o& |
%windir%\system32\finder.com- ~1 g. A1 ~& A$ z7 V9 K
. S7 ]) L9 h* D/ R
%windir%\system32\msconfig.com
$ b! f" {9 G% B  f* ~7 o" @
& H1 x9 \' q, N4 j) m%windir%\system32\regedit.com5 z5 r# ]. [2 ]' F: b1 r4 {! E
1 D* e4 U$ e% \9 Y6 ?
%windir%\system32\rundll32.com
7 s6 }2 p! @7 w5 o! j
1 V+ v0 R; F9 |8 D. v+ Q9 h删除以下文件夹:
0 L8 H" x6 x) }9 C0 @
  F. R9 `- _$ N( ?7 j  l8 Q  W%windir%\debug. B/ i$ e4 {; N/ R4 r9 k6 C' |
! e/ A: j6 O0 \, e
%windir%\system32\NtmsData
发表于 2007-4-6 15:41:16 | 显示全部楼层 来自: 中国江西南昌
卡巴斯基能杀了它吗?
 楼主| 发表于 2007-4-6 20:22:12 | 显示全部楼层 来自: 中国湖北武汉
原帖由 jyxz4 于 2007-4-5 22:37 发表
' l7 D# I% @) |! X9 ~& D! {第二张图的注册表键值位于什么分支下??

) D1 g4 }9 p" @- O$ r再请看了!!!
services2.JPG
 楼主| 发表于 2007-4-6 20:25:02 | 显示全部楼层 来自: 中国湖北武汉
原帖由 feiyong511 于 2007-4-6 00:04 发表1 P' G( W- u- Z, h2 Z1 }7 s
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)- H% L% q# i% U

) E3 j7 t$ ^0 K& Wshell = Explorer.exe 1 修改为shell = Explorer.exe
6 |5 U) P0 Y6 x* U7 }# n
( e2 R& z. [" K8 |2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...
2 b/ W4 D; l- B  m) \
看的头都大了,版主能否帮助做成bat或注册表项目,有专杀工具吗????
发表回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Licensed Copyright © 2016-2020 http://www.3dportal.cn/ All Rights Reserved 京 ICP备13008828号

小黑屋|手机版|Archiver|三维网 ( 京ICP备2023026364号-1 )

快速回复 返回顶部 返回列表