QQ登录

只需一步,快速开始

登录 | 注册 | 找回密码

三维网

 找回密码
 注册

QQ登录

只需一步,快速开始

展开

通知     

查看: 1329|回复: 5
收起左侧

[求助] 中了services.exe病毒

[复制链接]
发表于 2007-4-5 21:31:52 | 显示全部楼层 |阅读模式 来自: 中国湖北武汉

马上注册,结识高手,享用更多资源,轻松玩转三维网社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???
services1.JPG
services.JPG
发表于 2007-4-5 22:37:21 | 显示全部楼层 来自: 中国北京
第二张图的注册表键值位于什么分支下??
发表于 2007-4-6 00:04:35 | 显示全部楼层 来自: 中国浙江杭州
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)  R8 b2 O* {4 d% d& N% Q/ R; B
8 `, F5 P% }+ J* e' h% {: z4 z
shell = Explorer.exe 1 修改为shell = Explorer.exe0 r# X& ~; X* Z! Z' R2 Y
7 E7 M& _% @! c( b, G0 a; z1 a# A
2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的! x  v, B+ b6 F0 @* F+ ~

5 j  ]2 d' M8 E; V: j7 i9 t; ZTorjan Program----------C:\WINNT\services.exe删除
3 a2 j0 r  w, p3 j5 U9 [( ]% ?0 s2 g
3. HKEY_Classes_root\.exe
" X3 i; ^9 `' K4 I5 ]
. F& B) `" r+ I. V默认值 winfiles 改为exefile
" X& K  N4 {- h5 {
) V+ C& M: w; ]: s" T& v4 d4.删除以下两个键值:
: ]( G7 Q! Q" t* Q0 A( P/ s2 U
3 k2 _! ^  d4 s8 s( GHKEY_Classes_root\winfiles% E, X% n* l- \% L& u2 r
) g3 F# O( f* x% e
HKEY_Local_machine\software\classes\winfiles2 C( D2 k9 `( U" x

2 h; ~8 m4 y+ Z* ?" Z: }0 N" l5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”" m; q  V$ @; q+ h1 [4 R
4 Z4 ^. W% H2 S+ Y) d- v) N. k
6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
6 q: H$ E) N: f# f$ q& }0 x# T: ^# p8 V+ S% h" J1 R
7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
. m( Y! }3 `% k; `+ s. K
/ ]8 |2 l; z2 k7 W0 n8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
; q3 b7 l: l: f4 Q# y6 ?  W. Y# Q) [+ \$ F/ ~
9. 删除病毒添加的文件关联信息和启动项:2 E/ Q& H7 G, X8 @4 S$ K: _" v
; Z7 k" y- z; @% r" `6 g2 `  A: w
[HKEY_CLASSES_ROOT\winfiles]
: h4 d! d! l9 l, Y9 j3 Q/ D& H4 w8 m1 v
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]! ]- t/ R8 @! d# S

( ]/ A* y4 B% `( ?3 c: o( Q"Torjan Program"="%Windows%\services.exe"* l, ^3 t) ?: H1 x9 u
8 @- |5 I1 z/ n' S
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
# B0 @, U# c" B/ X2 k
! }# o- x9 j7 ^9 U! l"Torjan Program"="%Windows%\services.exe"
4 E' Q$ R6 G8 B# d( u' j$ Y1 `/ k
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]6 M. ~8 i$ c+ i0 Z2 ^$ B* b
- T: b6 b% u0 P# q
"Shell"="Explorer.exe 1"0 K! P5 _6 p0 a
/ c; Y  J5 |# o, @% d% A
改为! _4 y) X" A/ @7 G# @0 w
. B# ^6 g! P4 G! H6 I) m! t
"Shell"="Explorer.exe"6 y0 |  M5 r+ |$ p1 B9 J' W% R

% r. j, M% |! y, L- P9 o10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
$ R1 \0 R, F( _7 w0 x0 D8 a% ~2 A! c0 N- e: @
HKEY_CLASSES_ROOT\MSWinsock.Winsock1 ]/ X( {% j/ h2 W' l
: n: b! e: |* p5 x. U
HKEY_CLASSES_ROOT\MSWinsock.Winsock.12 y9 ]" ]; W+ H0 k" d  {  Q
1 k1 t0 J# w2 I! G0 Q
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
$ [) t  q- I9 c% N8 L8 b( M1 O$ C5 E; J' ~+ n
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}% S$ _. ]5 C; q9 ~9 i

- O2 [  W0 h; zHKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
- c8 T: R# r' u$ g
; R! }8 w# d( G& N, B' D; n9 KHKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
. x! ~7 x2 ~3 i0 d- ?
: u! z4 v$ q- u8 y2 ~HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
( O7 s1 O9 S; [
! {# K) a+ V- g" k! [注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒: Y) q% k+ J1 |% W0 F
4 G/ h& t0 d' |/ v
二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
  x1 P3 F4 f1 w7 k& j
+ \& l1 I0 |/ O" C# {4 H! Fc:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)
  I6 }. A& y- q% l7 W
2 X0 U- [! m" C2 V# q( A%programfiles%\common files\iexplore.pif
* U! A# ^5 L+ f$ Y3 _; n6 {$ I. s8 o# i/ d: m; I- r6 o- Y- B
%programfiles%\Internat explorer\iexplore.com0 |% ?) K$ R; s" j) n, f

; O9 a5 J1 l  D% l& }3 r% {%windir%\1.com
! q/ e7 y8 b& Z5 {9 V9 g+ ]. N3 F
/ x0 q7 E# x. L: {%windir%\exeroute.exe
& Y9 M" W. \# ?8 F$ t$ z: K" V/ M: P* D
%windir%\explorer.com- h2 W2 B6 K+ @1 D

- e3 u- n- g) V3 w! O%windir%\finder.com# M2 _4 j( [: l* i6 s# l, I
8 ^- _- X' t/ c8 w: a& V
%windir%\mswinsck.ocx6 k. q+ ^# P9 x, N. s$ w. q) f
) V2 V/ z2 z( O! W
%windir%\services.exe
2 C" v5 b" \) ]" b" \8 ?. s9 g
: o$ [: I: l" t: `" F5 u%windir%\system32\command.pif
$ E( c! F4 S& G* T. u- \7 o
7 Q7 \; F& ]' Z+ {% _, U%windir%\system32\dxdiag.com) u1 d6 \* o4 ?

$ {/ m7 G  I4 D/ X0 q! X%windir%\system32\finder.com
( X& r0 O- h( _% g* P
, d' o/ t# d* L: t6 g2 I8 w1 y%windir%\system32\msconfig.com1 z  A0 b- P8 A+ X
: H  z8 l7 P# L4 U6 l
%windir%\system32\regedit.com
2 a+ b7 Z% C5 t
% T. H$ s* |) M) }  `%windir%\system32\rundll32.com* O+ p! o) k" H' `5 W6 P7 {
6 Z5 z" o$ ^; G! x6 R6 X! l
删除以下文件夹:- n- r( ~6 |# x2 |$ `
: X9 j) b9 Z, c( u1 J7 s
%windir%\debug
% i2 _7 z* E2 k& B% ^9 O' X7 C
8 V" D9 K) A. |5 [8 V% N%windir%\system32\NtmsData
发表于 2007-4-6 15:41:16 | 显示全部楼层 来自: 中国江西南昌
卡巴斯基能杀了它吗?
 楼主| 发表于 2007-4-6 20:22:12 | 显示全部楼层 来自: 中国湖北武汉
原帖由 jyxz4 于 2007-4-5 22:37 发表2 c* g; a: {, j6 n* }
第二张图的注册表键值位于什么分支下??
/ Z$ R6 Z/ o* m  Q% M  A9 R. o  x+ [
再请看了!!!
services2.JPG
 楼主| 发表于 2007-4-6 20:25:02 | 显示全部楼层 来自: 中国湖北武汉
原帖由 feiyong511 于 2007-4-6 00:04 发表
1 E$ k; B& _  g- Y1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)5 F# W4 ~6 F3 s( {# L) \, x

4 R7 @0 C/ ~/ zshell = Explorer.exe 1 修改为shell = Explorer.exe
2 D6 _- _3 G2 p6 Y4 _4 _6 `
6 x2 H. w/ z1 V2 e2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...

3 f3 S5 s8 Y+ s0 k: B: H看的头都大了,版主能否帮助做成bat或注册表项目,有专杀工具吗????
发表回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Licensed Copyright © 2016-2020 http://www.3dportal.cn/ All Rights Reserved 京 ICP备13008828号

小黑屋|手机版|Archiver|三维网 ( 京ICP备2023026364号-1 )

快速回复 返回顶部 返回列表