中了services.exe病毒

wp2576

两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???

jyxz4

第二张图的注册表键值位于什么分支下？？

feiyong511

1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）
, Y# C: `" R+ K3 [. V' m6 W! B
9 k0 x: p; ^; I& i! K3 J) p1 ]shell = Explorer.exe 1 修改为shell = Explorer.exe
  \; u1 ?0 v( t/ o( h
2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
' D8 @+ z- Y# @% T
Torjan Program----------C:\WINNT\services.exe删除
, B9 g1 L) |; h8 w) O% V, h
- S" V! \& l$ E3. HKEY_Classes_root\.exe
0 J( v9 r! x) |* H- E/ Y
默认值 winfiles 改为exefile
) O4 N6 g1 Y9 F% v
4.删除以下两个键值：
# v; Y, N' w7 {3 {
! y) ]. c- v# S. a4 vHKEY_Classes_root\winfiles
* V( y1 I* r2 z( j, d
6 j! x4 f2 _  Q# n# Z0 y8 Z1 w2 fHKEY_Local_machine\software\classes\winfiles

5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

1 O2 K+ X! k3 p6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”

  m! T0 q3 E; j* u7 _7 c, Y- c: o7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”

8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
- [/ M: O( }7 o. {5 c' y
3 S+ M9 l. M; Z+ O3 W8 y9. 删除病毒添加的文件关联信息和启动项：

! d) _( E* `: w6 p[HKEY_CLASSES_ROOT\winfiles]

% }$ I: r. n% }! g[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Torjan Program"="%Windows%\services.exe"
: S6 ~+ Q) J+ d2 {
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
  C" B. r# I0 m9 L# F0 X
" u  ^; i0 \9 ?3 v"Shell"="Explorer.exe 1"

' r2 }' ^5 v% I0 G0 v改为

0 {  c. U4 H( }% x# j3 A"Shell"="Explorer.exe"

10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：
" B" r+ }; H5 R  O
2 R) \, }2 P2 y* ?$ i9 DHKEY_CLASSES_ROOT\MSWinsock.Winsock

) w; s# n' q& h9 k- ]# \HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
( h! N+ U3 p$ m/ _$ j
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
' y+ t7 P8 h) {
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}

5 S5 f1 g6 p3 V+ YHKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

6 V. R: V8 q! u注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒

二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
6 c7 w. ?0 q3 f0 m# G4 |
. y9 U  m4 u$ I* n/ c" tc:\antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）
5 @9 T. w5 k, l$ |( x
0 Q, u: E  e! d! Z0 e" F/ C: V%programfiles%\common files\iexplore.pif
- N% H2 K3 Y" A' h4 L; y
2 M) `" N/ [7 O9 C%programfiles%\Internat explorer\iexplore.com

1 R1 P7 \9 M2 z& s( j, l%windir%\1.com
3 H- X/ v$ p7 C' g) _9 n) K' M
! l2 V) \4 U& g* r; w3 h) k. L%windir%\exeroute.exe
9 x+ k9 c) C/ c8 [7 U1 N( v
%windir%\explorer.com

* V  T9 h  ?) E%windir%\finder.com

4 W0 C" |' ^6 m3 u- r" b%windir%\mswinsck.ocx

+ A$ Z% X1 U8 c" h4 Y( p. a, P& k+ {%windir%\services.exe
0 d: @$ D, {8 q6 i: `. p8 C, u
* {+ J7 I1 f  m/ V%windir%\system32\command.pif
! o* }, L/ ~+ s% n2 N
%windir%\system32\dxdiag.com

* c: ~" Z! D* Q( b; S%windir%\system32\finder.com

%windir%\system32\msconfig.com
& }& f$ q( S' R
%windir%\system32\regedit.com

" R  L2 m* I8 j# @3 K%windir%\system32\rundll32.com

! F' T* X! R% q- T8 ]9 {删除以下文件夹：
- s9 _5 m3 G7 G' u2 o6 [1 L
9 B( H: }; P1 f8 z0 D4 g%windir%\debug

%windir%\system32\NtmsData

oygg

卡巴斯基能杀了它吗?

wp2576

原帖由 jyxz4 于 2007-4-5 22:37 发表
第二张图的注册表键值位于什么分支下？？

再请看了！！！

wp2576

原帖由 feiyong511 于 2007-4-6 00:04 发表
* x: K$ t, y( {  c+ [1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）
+ r% L4 g5 t3 ]) s; u  ?; t
shell = Explorer.exe 1 修改为shell = Explorer.exe
- @& r8 Q; t/ M7 v
/ \9 k# D* ]) z( z: J4 A. K2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...

看的头都大了，版主能否帮助做成bat或注册表项目，有专杀工具吗？？？？