中了services.exe病毒

wp2576

两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???

jyxz4

第二张图的注册表键值位于什么分支下？？

feiyong511

1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）
+ T( D3 D2 s( O8 o, M  H! R
shell = Explorer.exe 1 修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
5 r; P! y% W+ x, R
( |/ G9 P, m. q- N6 G' KTorjan Program----------C:\WINNT\services.exe删除

3. HKEY_Classes_root\.exe

默认值 winfiles 改为exefile

4.删除以下两个键值：

HKEY_Classes_root\winfiles

8 l- L7 S6 V1 O: {# p0 tHKEY_Local_machine\software\classes\winfiles
% x- c7 x' ?4 J) M- ^2 s2 O3 s
& \+ M% b. m/ V& z5 J% A7 {5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

3 E. u+ J0 c9 g8 f. @  J2 q6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”
' b6 |) |3 }6 H3 s; @
! y( m' X1 g# g9 o6 \# q& z7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”
% P( `- G3 ^' N$ u0 Z) W
+ W& w2 o; Z7 |, `4 ~1 z8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”

9. 删除病毒添加的文件关联信息和启动项：

9 l& U2 e, q) |9 E/ C- J. I9 a[HKEY_CLASSES_ROOT\winfiles]

. p3 M: F5 L8 F# o! ?[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

% Q/ J% [  L; r2 X6 D& P' f  V"Torjan Program"="%Windows%\services.exe"

6 b! d* E& C% q' C8 R/ _; e4 X[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

: [; L9 s" a% s"Torjan Program"="%Windows%\services.exe"
% n' p1 O' o" S: w
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

6 M. e4 u3 i3 q# ["Shell"="Explorer.exe 1"

改为

+ |* n! |2 u- i: U  H2 V3 a"Shell"="Explorer.exe"

10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：

. m9 e( l, b! WHKEY_CLASSES_ROOT\MSWinsock.Winsock

+ P" ?( A" g( K" e& i  o$ y6 ~+ tHKEY_CLASSES_ROOT\MSWinsock.Winsock.1

HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
' ~1 C6 S6 V7 y: k2 b8 Q* |/ I
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}

' v9 X! a# d* p. [4 b2 H8 nHKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

. c; v0 M. ~# u7 [HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}

5 T5 A4 B$ R% {9 p7 ~, @" bHKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒

) X" v, z6 r6 z0 ^+ L3 p二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
- S# F% p/ t/ G6 q# @
c:\antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）
: j% z& n  m0 ?2 }
%programfiles%\common files\iexplore.pif

5 i4 B: K( S" I* J: K: w* q%programfiles%\Internat explorer\iexplore.com
9 ~; G# J/ z4 ]  U9 ]% E
6 C8 }# D( v* |2 T( s, [. g8 Y%windir%\1.com
2 G3 Z6 |5 W) c: E* Z7 c# Q* E
%windir%\exeroute.exe

%windir%\explorer.com
- v' w5 H. ?# h3 l8 {$ ?" u- f
0 T1 p. T$ Q, o5 i  Q%windir%\finder.com

%windir%\mswinsck.ocx
+ O6 q) l# i4 ^, ?# E2 Z* t
%windir%\services.exe

%windir%\system32\command.pif
% G  r/ L% ]3 k7 t/ P4 W
%windir%\system32\dxdiag.com

%windir%\system32\finder.com

%windir%\system32\msconfig.com
" k4 R$ S# ?6 g" o2 T
4 c: c+ p- |& b%windir%\system32\regedit.com

%windir%\system32\rundll32.com
+ }  |) M1 X! \: B
删除以下文件夹：
# Z; ?! C* ]  r9 \" e
%windir%\debug
/ v4 T# O- E: m* o7 T  A0 R
%windir%\system32\NtmsData

oygg

卡巴斯基能杀了它吗?

wp2576

原帖由 jyxz4 于 2007-4-5 22:37 发表
第二张图的注册表键值位于什么分支下？？

再请看了！！！

wp2576

原帖由 feiyong511 于 2007-4-6 00:04 发表
1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）
3 ~( K4 F( x/ i+ I- U/ [1 Q. P  Y+ L
& ^7 i7 O8 Z! y6 Eshell = Explorer.exe 1 修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...

看的头都大了，版主能否帮助做成bat或注册表项目，有专杀工具吗？？？？