中了services.exe病毒

wp2576

两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???

jyxz4

第二张图的注册表键值位于什么分支下？？

feiyong511

1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）

shell = Explorer.exe 1 修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的

5 j  ]2 d' M8 E; V: j7 i9 t; ZTorjan Program----------C:\WINNT\services.exe删除
3 a2 j0 r  w, p3 j
3. HKEY_Classes_root\.exe
" X3 i; ^9 `' K4 I5 ]
. F& B) `" r+ I. V默认值 winfiles 改为exefile
" X& K  N4 {- h5 {
) V+ C& M: w; ]: s" T& v4 d4.删除以下两个键值：
: ]( G7 Q! Q" t* Q0 A( P/ s2 U
3 k2 _! ^  d4 s8 s( GHKEY_Classes_root\winfiles

HKEY_Local_machine\software\classes\winfiles

2 h; ~8 m4 y+ Z* ?" Z: }0 N" l5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”
6 q: H$ E) N: f# f$ q& }0 x
7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”
. m( Y! }3 `% k; `+ s. K
/ ]8 |2 l; z2 k7 W0 n8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
; q3 b7 l: l: f4 Q# y
9. 删除病毒添加的文件关联信息和启动项：

[HKEY_CLASSES_ROOT\winfiles]
: h4 d! d! l9 l, Y9 j
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

( ]/ A* y4 B% `( ?3 c: o( Q"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
# B0 @, U# c" B/ X2 k
! }# o- x9 j7 ^9 U! l"Torjan Program"="%Windows%\services.exe"
4 E' Q$ R6 G8 B
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe 1"

改为

"Shell"="Explorer.exe"

% r. j, M% |! y, L- P9 o10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：
$ R1 \0 R, F( _7 w0 x0 D8 a% ~
HKEY_CLASSES_ROOT\MSWinsock.Winsock

HKEY_CLASSES_ROOT\MSWinsock.Winsock.1

HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
$ [) t  q- I9 c% N8 L8 b( M
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}

- O2 [  W0 h; zHKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
- c8 T: R# r' u$ g
; R! }8 w# d( G& N, B' D; n9 KHKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
. x! ~7 x2 ~3 i0 d- ?
: u! z4 v$ q- u8 y2 ~HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
( O7 s1 O9 S; [
! {# K) a+ V- g" k! [注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒

二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
  x1 P3 F4 f1 w7 k& j
+ \& l1 I0 |/ O" C# {4 H! Fc:\antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）
  I6 }. A& y- q% l7 W
2 X0 U- [! m" C2 V# q( A%programfiles%\common files\iexplore.pif
* U! A# ^5 L+ f$ Y3 _; n6 {$ I. s8 o
%programfiles%\Internat explorer\iexplore.com

; O9 a5 J1 l  D% l& }3 r% {%windir%\1.com
! q/ e7 y8 b& Z5 {9 V9 g+ ]. N3 F
/ x0 q7 E# x. L: {%windir%\exeroute.exe
& Y9 M" W. \# ?8 F$ t
%windir%\explorer.com

- e3 u- n- g) V3 w! O%windir%\finder.com

%windir%\mswinsck.ocx

%windir%\services.exe
2 C" v5 b" \) ]" b" \8 ?. s9 g
: o$ [: I: l" t: `" F5 u%windir%\system32\command.pif
$ E( c! F4 S& G* T. u- \7 o
7 Q7 \; F& ]' Z+ {% _, U%windir%\system32\dxdiag.com

$ {/ m7 G  I4 D/ X0 q! X%windir%\system32\finder.com
( X& r0 O- h( _% g* P
, d' o/ t# d* L: t6 g2 I8 w1 y%windir%\system32\msconfig.com

%windir%\system32\regedit.com
2 a+ b7 Z% C5 t
% T. H$ s* |) M) }  `%windir%\system32\rundll32.com

删除以下文件夹：

%windir%\debug
% i2 _7 z* E2 k& B% ^9 O' X7 C
8 V" D9 K) A. |5 [8 V% N%windir%\system32\NtmsData

oygg

卡巴斯基能杀了它吗?

wp2576

原帖由 jyxz4 于 2007-4-5 22:37 发表
第二张图的注册表键值位于什么分支下？？

再请看了！！！

wp2576

原帖由 feiyong511 于 2007-4-6 00:04 发表
1 E$ k; B& _  g- Y1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）

4 R7 @0 C/ ~/ zshell = Explorer.exe 1 修改为shell = Explorer.exe
2 D6 _- _3 G2 p6 Y4 _4 _6 `
6 x2 H. w/ z1 V2 e2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...

3 f3 S5 s8 Y+ s0 k: B: H看的头都大了，版主能否帮助做成bat或注册表项目，有专杀工具吗？？？？