中了services.exe病毒

wp2576

两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???

jyxz4

第二张图的注册表键值位于什么分支下？？

feiyong511

1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）
' m. h- i9 R0 P4 C4 t
& |! _  q; e/ V" \. \, P2 gshell = Explorer.exe 1 修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的

Torjan Program----------C:\WINNT\services.exe删除

3. HKEY_Classes_root\.exe
5 _% u9 `3 @5 A. K6 @& I9 ^
默认值 winfiles 改为exefile
- m* Z6 ^6 D, J& s8 Y
% h8 U) O2 w2 i" s. [3 Y4.删除以下两个键值：

, {7 P7 U% m" V' I2 ^HKEY_Classes_root\winfiles
8 e3 I1 V& w4 \9 O! n% s1 E/ \
' H8 z  ^- F# }HKEY_Local_machine\software\classes\winfiles

5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

& D1 Y+ K1 T2 H$ b5 Y: M6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”
2 q; Y8 d; H9 y  i' g1 n: l# U
, q; R5 I, }4 s0 s' A$ g7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”
% \2 \( ^4 v$ o1 k7 p8 y
, X& c' _2 Q6 F9 h' v- O8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
* e2 L; _& |! v: i( }
* i5 k9 I  s3 N! ], q: i9. 删除病毒添加的文件关联信息和启动项：

[HKEY_CLASSES_ROOT\winfiles]
/ _0 u% F/ X4 Q$ j2 f9 b
4 [4 F  ], }4 @" Q* {5 @1 ^[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Torjan Program"="%Windows%\services.exe"
7 X2 q, J+ T& ]- J( N7 b+ f5 H+ {% q5 I
# e% [. i- w& K0 V( g" `[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
9 K" F! _$ l. r1 y2 M' U. i
"Torjan Program"="%Windows%\services.exe"
" p% k; {8 A8 i* r9 P$ }! D+ q
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

' o; L/ ?- R6 u: F! C4 U4 S6 v8 H"Shell"="Explorer.exe 1"

+ N+ {  |8 ^; L# J% i改为

"Shell"="Explorer.exe"
/ X1 F4 c/ Y3 A3 N- n
10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：
' v' ~6 i9 H" C. g2 E
HKEY_CLASSES_ROOT\MSWinsock.Winsock

7 W: W  y5 F8 ?! U- AHKEY_CLASSES_ROOT\MSWinsock.Winsock.1
4 s' x1 i6 K0 x; p
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
. U! T9 u, ?- B# ^6 u) D+ E
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
: n" u- Q* C; b4 v
9 `1 `/ T& Q9 g% W  |  NHKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒

二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件

c:\antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）
: F% ^* n$ ]: D) Q8 a+ m( D) d
%programfiles%\common files\iexplore.pif
$ j9 q2 U- t# v- }& z8 x9 f
1 z& ]& c' t" k9 y/ B%programfiles%\Internat explorer\iexplore.com
1 }( ~( ~& _1 S, D+ h
%windir%\1.com

%windir%\exeroute.exe

4 B, W# S$ q# m%windir%\explorer.com
# G- r9 k. l  d0 A1 F. B
) R& G; H6 q  V6 i%windir%\finder.com
& W  T% \, o, E$ U6 |
%windir%\mswinsck.ocx

%windir%\services.exe

7 E- T' B# C1 {+ x2 L%windir%\system32\command.pif
2 F/ v5 \3 T- J1 ~7 r
0 Z# D9 l7 n4 q) \6 u1 \%windir%\system32\dxdiag.com

! T' i& A9 {+ ?) w! w* C* E* w%windir%\system32\finder.com
! n0 Y' A/ U9 C* N+ d
%windir%\system32\msconfig.com

9 v0 u* X1 ^8 ]0 w%windir%\system32\regedit.com
9 h/ b) ~6 @% K9 Q# i
9 s+ P3 I7 o$ ]$ Q* t: D& L%windir%\system32\rundll32.com
+ P/ X3 {% l& J( y7 t7 ]
删除以下文件夹：
0 C* r) {; k6 a
  s: P' `# O2 [5 B  G%windir%\debug

%windir%\system32\NtmsData

oygg

卡巴斯基能杀了它吗?

wp2576

原帖由 jyxz4 于 2007-4-5 22:37 发表
. Y% i* L- n* A9 Y, ~第二张图的注册表键值位于什么分支下？？

再请看了！！！

wp2576

原帖由 feiyong511 于 2007-4-6 00:04 发表
1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）
6 m, W& l! y0 o8 B- j% O
5 z2 g4 W& D% L# A/ M, I! Yshell = Explorer.exe 1 修改为shell = Explorer.exe

; o1 ^4 s6 \1 ]+ j2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...

看的头都大了，版主能否帮助做成bat或注册表项目，有专杀工具吗？？？？