中了services.exe病毒

wp2576

两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???

jyxz4

第二张图的注册表键值位于什么分支下？？

feiyong511

1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）

shell = Explorer.exe 1 修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的

Torjan Program----------C:\WINNT\services.exe删除
/ w* i% k2 ~. u3 O9 c( R) }8 ?
3. HKEY_Classes_root\.exe

默认值 winfiles 改为exefile
  o& h% t0 R7 X& _) P8 r' ~7 I
4.删除以下两个键值：
  ^7 Q& n3 t" d) ^8 ^
( L- K2 Z$ f1 y) M: X' ~HKEY_Classes_root\winfiles
2 M4 ^8 q# {+ n# [, l- O
HKEY_Local_machine\software\classes\winfiles

+ u6 C7 a7 d7 _5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
; o1 N; T( o" r* y  {, m
4 P. h' Z# O" l' g5 W6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”
, P3 h, Y2 ^: i4 U) s4 @+ `
8 M5 e- f3 A+ |/ [2 r) L) I7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”
) q+ ^& w( e# Z4 s& j0 h1 Y
8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
/ D) U. p" A  m+ B6 ~1 c% z# Q+ [# m( h
9. 删除病毒添加的文件关联信息和启动项：
; J$ f1 j. D# h- l# w
[HKEY_CLASSES_ROOT\winfiles]
$ U+ A) ~( Y, {% n6 c
  z0 O% ], ?! M- w6 D, |4 D. ~* v[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
8 K7 f  _3 t/ r" A
5 j# D7 k3 c" A( M# _"Torjan Program"="%Windows%\services.exe"
, Z8 `1 r. |5 N6 Y
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
# A" A' z/ g6 e( L7 S6 [" ^3 t
: S% N& |4 Z  m: Q( |"Torjan Program"="%Windows%\services.exe"

3 @; \8 j/ y9 _+ x# X8 j[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
+ T( O6 f' K. G& M" Z
, y0 T  j* U5 o. n8 N"Shell"="Explorer.exe 1"
1 B$ n( X& n" V: P
改为
5 B$ a9 U; H# b& h/ Z& E
' ?( X0 ]+ m7 a2 W6 l9 ["Shell"="Explorer.exe"
0 \3 w- v6 F+ s2 P0 X8 i9 {7 i* N
: Y' M% V5 b' k- N10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：
" q0 o7 r4 w# O
( }; p3 J( O* v! T: J7 v% hHKEY_CLASSES_ROOT\MSWinsock.Winsock

HKEY_CLASSES_ROOT\MSWinsock.Winsock.1

; @* Z5 p+ N! \( y6 B& {HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

- G3 e# }. v6 m) d* b. HHKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
! o$ F& X! B$ l( k2 {
- \3 m: a0 C4 X& d9 xHKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
& ~% @* Q3 g( k; k* }8 o
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
# L8 [5 l* X) X
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

5 g! [% M+ p" c7 Y/ h注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒

; I) Y+ V& h0 @! a( L8 M二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
' ~: [% H# b2 x
8 ?1 M  f& A) H2 Q) c1 Mc:\antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）
& F' n4 d9 r% P1 h* k; C
%programfiles%\common files\iexplore.pif
) D5 `1 D) @) h  d9 T) _
%programfiles%\Internat explorer\iexplore.com

% Y' e2 l" D9 P. O%windir%\1.com
! x' m+ y8 {# E7 p
%windir%\exeroute.exe
0 t9 b( e% M0 }' ~
%windir%\explorer.com
, f& F; U( ^; W7 @
%windir%\finder.com
; H" O1 U! U& J6 t
%windir%\mswinsck.ocx
; p9 e. ]+ E) Q$ l  x
%windir%\services.exe

2 F" |4 }+ {& Y, z2 A3 N%windir%\system32\command.pif

%windir%\system32\dxdiag.com
8 h8 K1 [4 U+ R6 \0 F' I1 @
%windir%\system32\finder.com
5 m1 d/ c) ^& M% p" ^
%windir%\system32\msconfig.com
$ l; [8 M3 ~+ K0 U2 m5 e
%windir%\system32\regedit.com

%windir%\system32\rundll32.com

删除以下文件夹：
( H/ r. N& q6 n# Y7 I! i. v
  h' z, E. |8 b( R  A+ c- r%windir%\debug
) s# k7 O+ v* q
%windir%\system32\NtmsData

oygg

卡巴斯基能杀了它吗?

wp2576

原帖由 jyxz4 于 2007-4-5 22:37 发表
第二张图的注册表键值位于什么分支下？？

再请看了！！！

wp2576

原帖由 feiyong511 于 2007-4-6 00:04 发表
1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）

shell = Explorer.exe 1 修改为shell = Explorer.exe
3 Q. A( B( S+ Y* l
, v% d! K- q6 F" V, m$ e2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...

看的头都大了，版主能否帮助做成bat或注册表项目，有专杀工具吗？？？？