中了services.exe病毒

wp2576

两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???

jyxz4

第二张图的注册表键值位于什么分支下？？

feiyong511

1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）

) h* u* M6 m; A6 P3 |shell = Explorer.exe 1 修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的

8 y; h" E+ R- B7 sTorjan Program----------C:\WINNT\services.exe删除

3. HKEY_Classes_root\.exe
' `7 r9 l/ b% R* A* v' }
' _- Z  t% \7 J8 K( j) m: C默认值 winfiles 改为exefile
8 d8 ]+ A6 x1 M  }# j9 I, P
4.删除以下两个键值：

6 P5 Y0 {& G. E2 A  ~  A. U6 N; MHKEY_Classes_root\winfiles

HKEY_Local_machine\software\classes\winfiles

5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”

+ R# L- h: ~* o; A) L7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”
! [# h% Q( a' _& t  T
8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
7 v0 U3 J0 N5 r7 R
9. 删除病毒添加的文件关联信息和启动项：
* l% v5 w- `1 U; O% |6 S
2 }  L  w4 i1 U[HKEY_CLASSES_ROOT\winfiles]
4 U" k$ n; \1 O7 J! M0 U) a- b. H
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
' b8 ]" ^0 [% Q6 y
! ^/ I2 s$ ^4 J8 |* {"Torjan Program"="%Windows%\services.exe"
' _3 y$ N3 |. E( L
' v& e. l$ o; n- o  t* ][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Torjan Program"="%Windows%\services.exe"

0 c" [# p7 k  e* R[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
8 b# K' s" k& |( _
"Shell"="Explorer.exe 1"

改为

) c9 Y. X( G: j"Shell"="Explorer.exe"
& d6 h. `- L9 W+ {  k4 p
10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：

HKEY_CLASSES_ROOT\MSWinsock.Winsock
7 ]5 ~2 t: Y. a: d# F2 w; U4 O
4 S8 d" C0 L% `& dHKEY_CLASSES_ROOT\MSWinsock.Winsock.1

HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
! J5 \; q1 T, W) Z* q
) w, z8 G9 A# NHKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
# @; d8 u7 F( C) l' Y
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

, {$ n% A  x' {" sHKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}

, \# u" R* I0 CHKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
- ?/ o4 Y) C3 h
4 q4 ?: ^/ ?/ U( B5 v8 V! L, a& u注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒

7 ]/ i4 D4 I# n4 s  J4 s二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
/ }6 q# i* a( E9 W6 T+ |
( R! [% B; T! d) d0 Rc:\antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）
* p2 I: R6 t5 f9 b0 ^6 g0 N, _
; z2 c1 M) g% u%programfiles%\common files\iexplore.pif
7 A' s1 N, J+ k2 f6 ?/ B. Z
4 ~, X9 I9 p. Q6 F6 t  t% \, o%programfiles%\Internat explorer\iexplore.com
& ~# G6 l/ C5 B
%windir%\1.com

%windir%\exeroute.exe

%windir%\explorer.com

4 @2 J& j' j3 O& r) h  C  V3 O%windir%\finder.com

' w" B5 u% n& J2 V8 i%windir%\mswinsck.ocx

3 I9 `8 H& D  @# Q%windir%\services.exe
2 ^% p/ ]& \. w) E6 Z1 ~) n
2 d  t# g+ [# |0 E, d3 J%windir%\system32\command.pif
0 W4 Q0 H, B# k0 [& r# T
  A) |: L" D  p%windir%\system32\dxdiag.com

! p/ Y0 k- a; q. y%windir%\system32\finder.com

3 V+ ^% D' P  _%windir%\system32\msconfig.com
- x1 U5 A$ N$ ?
! e. H; n6 H9 L%windir%\system32\regedit.com
- H4 F0 l. Z. Y9 E  y; L6 N
- y' T6 {  G4 c8 i, c" _/ e%windir%\system32\rundll32.com

删除以下文件夹：
! O' S* l8 D0 Z3 Z, ]8 l6 q) j
%windir%\debug

%windir%\system32\NtmsData

oygg

卡巴斯基能杀了它吗?

wp2576

原帖由 jyxz4 于 2007-4-5 22:37 发表
$ Z/ x3 w4 H0 O0 c* S% v第二张图的注册表键值位于什么分支下？？

2 M( S6 v& @" i再请看了！！！

wp2576

原帖由 feiyong511 于 2007-4-6 00:04 发表
. ^; z; d( H$ U. B1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）

2 M6 ]' q& T9 y9 h  N2 I" jshell = Explorer.exe 1 修改为shell = Explorer.exe
- R) g# Q8 e# f
# k+ Z  _, h9 G" n; M6 m2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...

6 X8 W9 ^2 B1 `7 N$ D3 s7 u8 x看的头都大了，版主能否帮助做成bat或注册表项目，有专杀工具吗？？？？