QQ登录

只需一步,快速开始

登录 | 注册 | 找回密码

三维网

 找回密码
 注册

QQ登录

只需一步,快速开始

展开

通知     

查看: 1323|回复: 5
收起左侧

[求助] 中了services.exe病毒

[复制链接]
发表于 2007-4-5 21:31:52 | 显示全部楼层 |阅读模式 来自: 中国湖北武汉

马上注册,结识高手,享用更多资源,轻松玩转三维网社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???
services1.JPG
services.JPG
发表于 2007-4-5 22:37:21 | 显示全部楼层 来自: 中国北京
第二张图的注册表键值位于什么分支下??
发表于 2007-4-6 00:04:35 | 显示全部楼层 来自: 中国浙江杭州
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
3 \( O+ ?- [1 t
; l" V# T( d- }shell = Explorer.exe 1 修改为shell = Explorer.exe
0 j2 ^$ G( \. Q2 I: p
# _0 g, T- _4 j1 L7 f! Z1 @( U( l2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的, v; I7 D7 ]0 a- p

2 O+ p# ?% R) \' T2 V0 _Torjan Program----------C:\WINNT\services.exe删除$ v) t/ n2 d$ \& `- x2 @

! F* B2 e7 `4 r" |3. HKEY_Classes_root\.exe, O# S' w+ k0 g! K. I4 p
: l8 Z' X: g7 ]9 T, S+ V
默认值 winfiles 改为exefile& F. W+ p& A) \

3 ^+ |; F2 `; n0 r7 e4.删除以下两个键值:8 L# u" ^0 s0 r5 A* J
5 t- G" k- \0 U
HKEY_Classes_root\winfiles
  N0 S1 |2 q6 p- k% p: F7 n
5 K+ M3 q  P* c# k1 n2 ]HKEY_Local_machine\software\classes\winfiles' u0 W7 k8 Q' O* g* `

1 B# S: s1 ]% {3 ~' g5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”& V% H6 B8 ?0 v4 ^5 g
8 O/ e2 U0 w9 }1 O$ Z4 q
6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”9 j; z! b7 B2 ?# A% G

" E4 F3 _' z  C$ g7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”6 H5 }; y# }8 H" j  [- B# C" @

6 }4 @- J( N0 t% {8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”' G8 a4 ~0 L  ?9 P6 i7 N  e; l: N

/ T) X' |" r! m1 @) S! ]9 I2 R3 J9. 删除病毒添加的文件关联信息和启动项:
6 d: C. T: {" ?$ h( f0 P% C: f3 Y4 `9 E4 B! i; @4 r! [# V
[HKEY_CLASSES_ROOT\winfiles]
! e! T3 |5 g+ i) A9 q% F; F2 y! f% |' o9 B' `; e
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]) w+ t1 E* A' t  j( G; s8 |7 W
! F$ `  w" B( B% w
"Torjan Program"="%Windows%\services.exe"; u$ Q6 @/ g, I' V$ N) N
8 Z3 F3 E7 s5 ~: x
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]+ c3 V+ t% q' h8 B' c! p: k+ u

3 r- r  ^0 U. R& I+ _- F"Torjan Program"="%Windows%\services.exe"1 I. f* O+ K& y$ \$ D
% b2 u* `7 P0 d
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]9 m9 R4 R9 G  v# n3 m) ?- J! W& z

; }8 s7 P# V) P6 E8 N. u) W6 P"Shell"="Explorer.exe 1"9 s" @6 E* j: I) M, u% ]' Z  U

6 `: i" X9 \7 k# y改为: Z% ]  F) D) R  C  V
: v/ y! X, N  Y, W9 C& Y0 k. [9 N' H
"Shell"="Explorer.exe"
* _' ~; Y2 W  W' [- {+ O1 @
( e% E3 R4 G6 J9 ^" @: R10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
8 j( L; ~  N2 U1 l. Y% h+ |! Z3 P# l7 l& J* q$ v% j
HKEY_CLASSES_ROOT\MSWinsock.Winsock% z) M" P: h) n" N
+ R- P; a2 d$ r& a0 {  S6 S% G
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
( U9 Z' K: ]4 L2 f" ^3 ?" k
3 E% _/ N: L  L+ T; h6 a$ r, X( j, W8 rHKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
. C, r$ F; B* g  b  A9 s# ~. p5 _* W. l0 d0 T4 a* p
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
* J( c3 `  F3 F9 I7 p3 E4 n$ Z& i' i- w8 y! a
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
% a8 p1 ^% `' Y; x* ^% \: j* R& g  d4 M: B' v
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
' x% ]- G, e5 C% H- S
  \7 A6 T3 s8 t+ H4 a' FHKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
8 P/ r0 m1 m1 B; m8 x' z! x/ k: a% }* ]+ R; i
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒
* u5 o: r* n. H6 c: {5 ^( G* p3 }* l6 v
二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
5 h* D6 h; s  K: F
# `+ P7 [* m4 c& N) T: {! bc:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)2 z" e: R2 v, \

( G9 [! `5 }$ b) k0 i  N%programfiles%\common files\iexplore.pif
5 B: E4 f* j6 E5 d% p5 F& J
" b) E1 l' {3 V; Z7 d* C$ Z%programfiles%\Internat explorer\iexplore.com/ z  Q% ]- {/ x

5 t  m3 L0 h+ D# d- K%windir%\1.com
7 q/ F" ]1 A' a/ s
( k; [0 V4 C6 R1 ]%windir%\exeroute.exe# `7 T/ H  U2 F2 z

9 O/ [( j$ `% a$ _6 t%windir%\explorer.com
0 J/ F; N7 c9 S- T- Y3 U7 B
" q/ c! E; C5 x+ ]%windir%\finder.com; f0 T3 x) V5 [7 x

* G) n# [1 M$ m0 C. F3 L%windir%\mswinsck.ocx/ v) m$ T/ v9 ?: T4 E% O) a/ b0 V

8 D: [$ s( y  n% H( M% \# Y2 f1 f%windir%\services.exe
) ]8 m* }2 r& l- g, _( k7 J; i# ?! k# N* y/ i- j
%windir%\system32\command.pif+ l* n) W! E& i6 p; ?( R
; W1 h- D  ?% L5 Y/ a3 Z
%windir%\system32\dxdiag.com/ w# Z2 H  i1 C
6 V/ C: F! t7 Q2 A1 `
%windir%\system32\finder.com
. f' Q7 S5 l; s1 {; S" Q9 p4 p$ {) }% P, d; R0 d
%windir%\system32\msconfig.com' u- ?$ n; ]% C( t" ~, d( ^
% s6 {2 o( g. u4 j! |. r
%windir%\system32\regedit.com
2 o' ?% U2 ?) e2 g: ^
7 a' b, r, ^1 H# F7 A%windir%\system32\rundll32.com
% k# z1 g5 y% D+ P! `- T/ a
% A* K" Q' X- x% G( Y3 P0 K8 Z删除以下文件夹:
, ~1 t7 H0 L: ^$ H1 [  ^
# J0 P+ D& M( h# |%windir%\debug
  c+ w; ]& T. e$ y1 w7 ]/ c
! [! N$ B, Q% s8 O%windir%\system32\NtmsData
发表于 2007-4-6 15:41:16 | 显示全部楼层 来自: 中国江西南昌
卡巴斯基能杀了它吗?
 楼主| 发表于 2007-4-6 20:22:12 | 显示全部楼层 来自: 中国湖北武汉
原帖由 jyxz4 于 2007-4-5 22:37 发表6 @0 @/ [/ p* U% H4 D. {7 ?0 n
第二张图的注册表键值位于什么分支下??
0 l% ?8 U  [+ @1 E+ u; @3 m: {
再请看了!!!
services2.JPG
 楼主| 发表于 2007-4-6 20:25:02 | 显示全部楼层 来自: 中国湖北武汉
原帖由 feiyong511 于 2007-4-6 00:04 发表0 @' ?- n( G+ E; u! g* ]
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
2 Q8 |, Z, M( ]3 u- A5 r9 E1 D9 l1 R# U; l6 ]0 x4 C5 y9 q' P, \
shell = Explorer.exe 1 修改为shell = Explorer.exe
& \5 m3 K. @# w0 A' @
4 B# K1 o& `  F, A, w0 K* L9 o  [2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...

' c5 H4 U( D: r7 c看的头都大了,版主能否帮助做成bat或注册表项目,有专杀工具吗????
发表回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Licensed Copyright © 2016-2020 http://www.3dportal.cn/ All Rights Reserved 京 ICP备13008828号

小黑屋|手机版|Archiver|三维网 ( 京ICP备2023026364号-1 )

快速回复 返回顶部 返回列表