QQ登录

只需一步,快速开始

登录 | 注册 | 找回密码

三维网

 找回密码
 注册

QQ登录

只需一步,快速开始

展开

通知     

查看: 1325|回复: 5
收起左侧

[求助] 中了services.exe病毒

[复制链接]
发表于 2007-4-5 21:31:52 | 显示全部楼层 |阅读模式 来自: 中国湖北武汉

马上注册,结识高手,享用更多资源,轻松玩转三维网社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???
services1.JPG
services.JPG
发表于 2007-4-5 22:37:21 | 显示全部楼层 来自: 中国北京
第二张图的注册表键值位于什么分支下??
发表于 2007-4-6 00:04:35 | 显示全部楼层 来自: 中国浙江杭州
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
' m. h- i9 R0 P4 C4 t
& |! _  q; e/ V" \. \, P2 gshell = Explorer.exe 1 修改为shell = Explorer.exe" w  v- Y& g( ^, g/ g( V
6 W6 `' s. S; u7 T( H, c! j
2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的2 h. V# C* r) N. d- y- \) h
( l+ s& _9 r! a7 L( W
Torjan Program----------C:\WINNT\services.exe删除5 |& x4 P6 ?; n" q1 X5 k7 m/ R
& F9 c7 w+ L1 c6 \
3. HKEY_Classes_root\.exe
5 _% u9 `3 @5 A. K6 @& I9 ^& r( i2 L3 \# ~0 o
默认值 winfiles 改为exefile
- m* Z6 ^6 D, J& s8 Y
% h8 U) O2 w2 i" s. [3 Y4.删除以下两个键值:' ^1 ~  F; Y$ y' y2 g

, {7 P7 U% m" V' I2 ^HKEY_Classes_root\winfiles
8 e3 I1 V& w4 \9 O! n% s1 E/ \
' H8 z  ^- F# }HKEY_Local_machine\software\classes\winfiles$ ]2 q% N- f+ r0 x
! E0 o# b7 U! O# v' f
5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”& C& C8 ~7 Z/ {  @

& D1 Y+ K1 T2 H$ b5 Y: M6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
2 q; Y8 d; H9 y  i' g1 n: l# U
, q; R5 I, }4 s0 s' A$ g7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
% \2 \( ^4 v$ o1 k7 p8 y
, X& c' _2 Q6 F9 h' v- O8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
* e2 L; _& |! v: i( }
* i5 k9 I  s3 N! ], q: i9. 删除病毒添加的文件关联信息和启动项:* V$ S# T; u. L
# f+ B/ e3 k! E; n
[HKEY_CLASSES_ROOT\winfiles]
/ _0 u% F/ X4 Q$ j2 f9 b
4 [4 F  ], }4 @" Q* {5 @1 ^[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]+ g8 Z) k4 L0 U
& L2 @: h9 o9 ]
"Torjan Program"="%Windows%\services.exe"
7 X2 q, J+ T& ]- J( N7 b+ f5 H+ {% q5 I
# e% [. i- w& K0 V( g" `[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
9 K" F! _$ l. r1 y2 M' U. i1 @) P2 W4 H+ D7 ?, R: A0 C
"Torjan Program"="%Windows%\services.exe"
" p% k; {8 A8 i* r9 P$ }! D+ q, N* l7 q& i8 Y1 P
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]) X' g& w) Q. i. y

' o; L/ ?- R6 u: F! C4 U4 S6 v8 H"Shell"="Explorer.exe 1"/ |4 ?% J8 ~8 {, Y' O7 `0 @7 Q9 k$ a

+ N+ {  |8 ^; L# J% i改为) ~% B7 ?1 Y) F4 Z
8 _( c' \; `+ Z9 u4 w9 `+ i
"Shell"="Explorer.exe"
/ X1 F4 c/ Y3 A3 N- n* E4 s. M# [! p8 D
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
' v' ~6 i9 H" C. g2 E! q& J) H7 t4 e! u
HKEY_CLASSES_ROOT\MSWinsock.Winsock/ e8 S1 W/ h' e1 @. ]1 H# M

7 W: W  y5 F8 ?! U- AHKEY_CLASSES_ROOT\MSWinsock.Winsock.1
4 s' x1 i6 K0 x; p3 M* {: i" Q) J1 I2 }* Z+ @
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
. U! T9 u, ?- B# ^6 u) D+ E0 @2 Z6 j7 O+ Q2 c& P0 Y; J
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}& J9 q) R/ _2 }7 }5 N6 F
8 R! x3 R) M- q3 f
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}; h& b( l4 c) E3 J
3 Q1 ^! d5 o+ K1 Q! [! N- U
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
: n" u- Q* C; b4 v
9 `1 `/ T& Q9 g% W  |  NHKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}& F$ A$ t4 T0 H& m% W; Z
* q: i3 L3 E, \
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒3 @9 q4 G+ G0 Q0 M2 g0 I
1 O0 }+ J% a8 t
二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件1 N4 _! `+ P+ g8 }. d8 R
# q* N) R, Z& _0 q  u" y
c:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)
: F% ^* n$ ]: D) Q8 a+ m( D) d: q& e# F1 H2 p% g
%programfiles%\common files\iexplore.pif
$ j9 q2 U- t# v- }& z8 x9 f
1 z& ]& c' t" k9 y/ B%programfiles%\Internat explorer\iexplore.com
1 }( ~( ~& _1 S, D+ h) ~$ \9 G) j  s, V* E" _+ N% d$ q
%windir%\1.com8 Z8 s- y) W' m1 k" s2 C/ m3 y9 h
) c4 X8 N  n6 k2 E7 G% I
%windir%\exeroute.exe: m4 X" G( v8 x9 N) h3 V

4 B, W# S$ q# m%windir%\explorer.com
# G- r9 k. l  d0 A1 F. B
) R& G; H6 q  V6 i%windir%\finder.com
& W  T% \, o, E$ U6 |6 g4 Z8 ?4 Q; _4 h4 k2 ]4 r
%windir%\mswinsck.ocx; |6 P8 h: Y; h+ f
4 ]' i. Z5 ~* ^* {) j2 }
%windir%\services.exe* H7 X! W2 K$ S" k7 o

7 E- T' B# C1 {+ x2 L%windir%\system32\command.pif
2 F/ v5 \3 T- J1 ~7 r
0 Z# D9 l7 n4 q) \6 u1 \%windir%\system32\dxdiag.com$ C) z/ `% }; n. o$ T7 l" ~" d; W( u

! T' i& A9 {+ ?) w! w* C* E* w%windir%\system32\finder.com
! n0 Y' A/ U9 C* N+ d& ^! Q9 i  H: A% O; s
%windir%\system32\msconfig.com$ z& i+ Q1 Z' [) }5 h+ h" l; E

9 v0 u* X1 ^8 ]0 w%windir%\system32\regedit.com
9 h/ b) ~6 @% K9 Q# i
9 s+ P3 I7 o$ ]$ Q* t: D& L%windir%\system32\rundll32.com
+ P/ X3 {% l& J( y7 t7 ]9 T: D7 |: M/ z5 @, i5 [  q
删除以下文件夹:
0 C* r) {; k6 a
  s: P' `# O2 [5 B  G%windir%\debug# A3 v! y6 U$ O' X/ v) A: I
2 _/ ^1 |4 S, G+ y/ Q) E
%windir%\system32\NtmsData
发表于 2007-4-6 15:41:16 | 显示全部楼层 来自: 中国江西南昌
卡巴斯基能杀了它吗?
 楼主| 发表于 2007-4-6 20:22:12 | 显示全部楼层 来自: 中国湖北武汉
原帖由 jyxz4 于 2007-4-5 22:37 发表
. Y% i* L- n* A9 Y, ~第二张图的注册表键值位于什么分支下??
0 c$ }) D+ f( |$ q0 d; b
再请看了!!!
services2.JPG
 楼主| 发表于 2007-4-6 20:25:02 | 显示全部楼层 来自: 中国湖北武汉
原帖由 feiyong511 于 2007-4-6 00:04 发表! O, ], O3 \9 E1 o; C$ H/ I
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
6 m, W& l! y0 o8 B- j% O
5 z2 g4 W& D% L# A/ M, I! Yshell = Explorer.exe 1 修改为shell = Explorer.exe- w1 k; O) m5 Z2 C. n/ z7 C

; o1 ^4 s6 \1 ]+ j2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...
2 I9 [( i# N( L! B! o
看的头都大了,版主能否帮助做成bat或注册表项目,有专杀工具吗????
发表回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Licensed Copyright © 2016-2020 http://www.3dportal.cn/ All Rights Reserved 京 ICP备13008828号

小黑屋|手机版|Archiver|三维网 ( 京ICP备2023026364号-1 )

快速回复 返回顶部 返回列表