QQ登录

只需一步,快速开始

登录 | 注册 | 找回密码

三维网

 找回密码
 注册

QQ登录

只需一步,快速开始

展开

通知     

查看: 1327|回复: 5
收起左侧

[求助] 中了services.exe病毒

[复制链接]
发表于 2007-4-5 21:31:52 | 显示全部楼层 |阅读模式 来自: 中国湖北武汉

马上注册,结识高手,享用更多资源,轻松玩转三维网社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???
services1.JPG
services.JPG
发表于 2007-4-5 22:37:21 | 显示全部楼层 来自: 中国北京
第二张图的注册表键值位于什么分支下??
发表于 2007-4-6 00:04:35 | 显示全部楼层 来自: 中国浙江杭州
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
+ T( D3 D2 s( O8 o, M  H! R1 Y3 O% t! R/ Z! [' _* c1 r8 h/ i
shell = Explorer.exe 1 修改为shell = Explorer.exe) I; d9 s, I0 Q/ S8 G
/ f8 f. B$ |: ], e6 ~
2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
5 r; P! y% W+ x, R
( |/ G9 P, m. q- N6 G' KTorjan Program----------C:\WINNT\services.exe删除8 c9 P0 `8 M) T8 G9 e
5 O. M4 ]6 p1 ~6 V2 X
3. HKEY_Classes_root\.exe" V. _& V" `8 W* M
5 j0 w6 r7 A2 i" c4 b' y, ^% C
默认值 winfiles 改为exefile7 r  ^- t/ v3 F; K
* B: i3 l$ W- e6 }& N9 n7 E
4.删除以下两个键值:9 q; y2 u5 ?/ K. @0 k/ C) q
; o) Q9 ^3 _$ L- a, a0 y
HKEY_Classes_root\winfiles. i3 b0 y; P1 y

8 l- L7 S6 V1 O: {# p0 tHKEY_Local_machine\software\classes\winfiles
% x- c7 x' ?4 J) M- ^2 s2 O3 s
& \+ M% b. m/ V& z5 J% A7 {5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”- X9 H3 f' h$ v+ [

3 E. u+ J0 c9 g8 f. @  J2 q6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
' b6 |) |3 }6 H3 s; @
! y( m' X1 g# g9 o6 \# q& z7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
% P( `- G3 ^' N$ u0 Z) W
+ W& w2 o; Z7 |, `4 ~1 z8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”! \" R2 }- A: J
" S7 Z: _# A+ U9 E( J' ^) o
9. 删除病毒添加的文件关联信息和启动项:( X8 J9 @/ X/ _& b+ ^! m  T# j

9 l& U2 e, q) |9 E/ C- J. I9 a[HKEY_CLASSES_ROOT\winfiles]/ r3 b/ C1 _) I9 s

. p3 M: F5 L8 F# o! ?[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]( ^7 P. k5 L( l5 ?3 ~- P) B

% Q/ J% [  L; r2 X6 D& P' f  V"Torjan Program"="%Windows%\services.exe"- s0 N( P6 E  b( K7 y! A, B8 W

6 b! d* E& C% q' C8 R/ _; e4 X[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]  L5 J6 p( @- N+ B' u* m

: [; L9 s" a% s"Torjan Program"="%Windows%\services.exe"
% n' p1 O' o" S: w+ K( ]5 C  r  |* a8 q5 Q4 T  y
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]; o: @# z9 ?- `  X: {+ ]

6 M. e4 u3 i3 q# ["Shell"="Explorer.exe 1": i" M& B# O7 y8 j  e
& O/ I" W4 d5 X, @% c
改为& e" N0 G/ ?8 [. C: H

+ |* n! |2 u- i: U  H2 V3 a"Shell"="Explorer.exe"3 w, D0 C: K+ j' S6 p
- R/ ]! F% O2 r1 a, b
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:4 D( h: Q2 {9 `

. m9 e( l, b! WHKEY_CLASSES_ROOT\MSWinsock.Winsock2 `0 `0 ]6 C% I# a! N4 o

+ P" ?( A" g( K" e& i  o$ y6 ~+ tHKEY_CLASSES_ROOT\MSWinsock.Winsock.1/ A0 a. A! i# L- Z2 s
7 N( V4 e1 p: B
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
' ~1 C6 S6 V7 y: k2 b8 Q* |/ I! |+ a: Z; y8 |2 u
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}1 q0 x+ O8 r6 Y! |. p6 r, _

' v9 X! a# d* p. [4 b2 H8 nHKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}5 C. g' D7 ^* [1 V

. c; v0 M. ~# u7 [HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}) z% V3 g+ ?5 f! q, L

5 T5 A4 B$ R% {9 p7 ~, @" bHKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}! Y! {2 t6 w& K1 k' Q7 X
3 T0 S! L, y7 t. K, f8 l
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒  P7 q) s3 h, j  g! X5 d

) X" v, z6 r6 z0 ^+ L3 p二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
- S# F% p/ t/ G6 q# @2 s# l! N) D% U8 d8 D( P& w
c:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)
: j% z& n  m0 ?2 }, T! ^  r+ M0 ~5 G. x8 u9 [
%programfiles%\common files\iexplore.pif2 V  u( G, Q3 q/ ?4 `

5 i4 B: K( S" I* J: K: w* q%programfiles%\Internat explorer\iexplore.com
9 ~; G# J/ z4 ]  U9 ]% E
6 C8 }# D( v* |2 T( s, [. g8 Y%windir%\1.com
2 G3 Z6 |5 W) c: E* Z7 c# Q* E) t& O/ O6 Z1 m" l  ?; K1 {8 \( O
%windir%\exeroute.exe; o/ o2 N; F+ j6 o( l# P
( {4 G; o+ E7 g: F
%windir%\explorer.com
- v' w5 H. ?# h3 l8 {$ ?" u- f
0 T1 p. T$ Q, o5 i  Q%windir%\finder.com$ k2 d# q: P5 j8 S/ L# z9 r# o
, ~+ M7 _& l$ ?
%windir%\mswinsck.ocx
+ O6 q) l# i4 ^, ?# E2 Z* t# F. R. T) y( S7 U. b
%windir%\services.exe) U# Y  S* }' O5 W+ p  Q
7 F0 S& H+ \/ E7 d$ X
%windir%\system32\command.pif
% G  r/ L% ]3 k7 t/ P4 W& s. k1 L0 V( j
%windir%\system32\dxdiag.com( ^) X5 {, y* _2 W
# x9 S( d' p* @8 \3 o' Y2 G0 j
%windir%\system32\finder.com9 b5 a' l5 g& H! C. {% u
1 D  s! j% v' g* ^% A
%windir%\system32\msconfig.com
" k4 R$ S# ?6 g" o2 T
4 c: c+ p- |& b%windir%\system32\regedit.com7 r6 k7 g' U6 A( L) T
; g. X$ V/ Y5 G1 b; q9 R
%windir%\system32\rundll32.com
+ }  |) M1 X! \: B/ ^! r; Y- |+ x. }6 U+ K+ D
删除以下文件夹:
# Z; ?! C* ]  r9 \" e: s! z# p! N/ P2 C; T0 B' E+ f- M
%windir%\debug
/ v4 T# O- E: m* o7 T  A0 R. W# L* \) H. ]5 q5 Y
%windir%\system32\NtmsData
发表于 2007-4-6 15:41:16 | 显示全部楼层 来自: 中国江西南昌
卡巴斯基能杀了它吗?
 楼主| 发表于 2007-4-6 20:22:12 | 显示全部楼层 来自: 中国湖北武汉
原帖由 jyxz4 于 2007-4-5 22:37 发表5 H$ e. x' X7 q3 A
第二张图的注册表键值位于什么分支下??
/ w  g! t! [# z* K' |
再请看了!!!
services2.JPG
 楼主| 发表于 2007-4-6 20:25:02 | 显示全部楼层 来自: 中国湖北武汉
原帖由 feiyong511 于 2007-4-6 00:04 发表+ t# {/ S, O5 ]
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
3 ~( K4 F( x/ i+ I- U/ [1 Q. P  Y+ L
& ^7 i7 O8 Z! y6 Eshell = Explorer.exe 1 修改为shell = Explorer.exe; I/ j# |7 U1 D! e* L
  K$ c/ e8 q; h) S; F6 e
2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...
% f  p$ g; _) a4 _& d% u  N
看的头都大了,版主能否帮助做成bat或注册表项目,有专杀工具吗????
发表回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Licensed Copyright © 2016-2020 http://www.3dportal.cn/ All Rights Reserved 京 ICP备13008828号

小黑屋|手机版|Archiver|三维网 ( 京ICP备2023026364号-1 )

快速回复 返回顶部 返回列表