QQ登录

只需一步,快速开始

登录 | 注册 | 找回密码

三维网

 找回密码
 注册

QQ登录

只需一步,快速开始

展开

通知     

查看: 1324|回复: 5
收起左侧

[求助] 中了services.exe病毒

[复制链接]
发表于 2007-4-5 21:31:52 | 显示全部楼层 |阅读模式 来自: 中国湖北武汉

马上注册,结识高手,享用更多资源,轻松玩转三维网社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???
services1.JPG
services.JPG
发表于 2007-4-5 22:37:21 | 显示全部楼层 来自: 中国北京
第二张图的注册表键值位于什么分支下??
发表于 2007-4-6 00:04:35 | 显示全部楼层 来自: 中国浙江杭州
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
2 e4 t8 X" l! N; U# O! e
$ u# B1 {6 f8 u: b- D$ U  Lshell = Explorer.exe 1 修改为shell = Explorer.exe
2 I) b# O+ a5 S
* A9 v. [5 r# p3 J8 R+ G3 @( P2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
  g# I/ ^( T: r' g  I0 G6 g
- K7 _8 f( m& s, ~2 d! sTorjan Program----------C:\WINNT\services.exe删除
4 f6 y: [6 _+ }% x: t
0 T, P/ B: P8 N! d& \4 G2 s$ A3. HKEY_Classes_root\.exe
( c& M# {% }% S
4 I! O+ g8 L/ V2 L; J默认值 winfiles 改为exefile/ x) F( J, x! Q; V! F0 A+ A

# p6 u# P, L. R4.删除以下两个键值:! q0 e2 I* `6 {0 d0 H( E8 x# a3 T" t

0 T9 ?! \. e7 o) ?( E* SHKEY_Classes_root\winfiles1 \! U! S6 P4 L6 z; Q
5 d8 s' l; ~! K% d6 f0 c
HKEY_Local_machine\software\classes\winfiles3 n; r- A5 F# ?

+ j$ X$ y6 [& U0 A0 f9 B5 K5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”5 @, B5 \4 A3 E  K) ]9 J2 t! X

: R6 R  C& x* U& N5 y: Y, x6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
, L+ U: h, `4 z1 i3 u! V& k8 D: |5 L+ C3 B2 q; _
7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”/ s$ _& ]) S1 y- y. R# O. B

8 y- g8 |9 z# L/ f8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
7 G0 ~3 W5 [. l% A/ C" `+ ?% r: P. d
9. 删除病毒添加的文件关联信息和启动项:
' }4 _3 {4 ^% `# h) }8 t" G: ]" N# |, G3 C! X- H$ |; K( t9 p! l
[HKEY_CLASSES_ROOT\winfiles]4 ~& _% U5 j2 ^0 d. I
5 z: s0 o+ P4 `' O1 h
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
/ k+ x! P& k+ L- p7 M5 Z  D( j7 M8 R" y1 B" j% X2 L- S
"Torjan Program"="%Windows%\services.exe"
6 ^# R' [7 ]5 m) [, W& [1 p$ n) \" Y, }1 ?- e; ^
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
5 W  o: ^* `7 T% L; @$ {) K6 P) u/ E; R6 q3 T
"Torjan Program"="%Windows%\services.exe"
3 k) M3 B2 p3 M" \1 {9 V$ P1 r+ n* G; [
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]0 ?! U" m, w) W; R' z

2 n0 \& R7 G! [( {  E"Shell"="Explorer.exe 1"( V& c* U. j5 g! O$ u+ l1 m
; x, H  F; [( ~7 j2 l: I
改为
2 h+ h: W4 e* S* l) J# I8 O  I2 Z4 k+ A
"Shell"="Explorer.exe"" z/ c6 b! h7 H' ?( P

# l$ Y( O) P5 T% ~" T% |10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
( T) v$ X( S1 s: v8 P% p$ ?" v
4 r1 @- C, ]" y/ [% t1 YHKEY_CLASSES_ROOT\MSWinsock.Winsock
* @6 w/ B' M' F/ U! |- ^4 G( [5 L& r; F5 N9 _+ |0 B
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
! m! r& g( r& g0 Q9 e" R8 X) O' G4 S( ]3 X7 K1 e
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}6 h. z, i) m+ Y+ T% c+ d

- g0 z( p/ P3 h' i0 @HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}& R! g9 g- o: o
* q! e( z) M* }4 w# A, Y+ X2 p
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}3 N5 ?; P- K- b0 Q  {( B
, q' s3 O+ q7 L0 T0 x+ C. \
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}/ d  N. N: N! w$ R- @& x
0 n1 o7 N* b2 a7 T) T
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}9 l0 |3 u2 J& ]% H( Z# o
5 f$ R# {' S" V7 b" k$ e& [1 F8 N
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒
, [6 S0 F! g5 ~& u5 X9 T) h# }+ b  ~% {! ?
二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
$ D8 B# n, i7 _3 g5 \1 n/ s/ W: j0 q* a+ F
c:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除); n: z0 v" S5 k! o* J5 v$ w
) }5 [# q, v* n( f+ g
%programfiles%\common files\iexplore.pif
) y; L- I, h* e( w6 j# k- r! E; w2 z+ R6 s5 h) m6 I
%programfiles%\Internat explorer\iexplore.com
4 e5 ]5 c0 ?) Z7 z# J2 ?& ~4 i9 D/ A. o$ R0 `* g- |6 r; S$ O
%windir%\1.com9 |  M4 u- b( h  `$ O7 ~; D  @
6 A5 x& R. z$ L& e
%windir%\exeroute.exe$ t! e+ `( ~/ `9 W* @' E
$ B# i( S0 u1 j. _7 |( @) o
%windir%\explorer.com
, `# b5 _! s7 X6 F+ ~, F" o
$ G6 a7 n7 G& J1 }% D7 G%windir%\finder.com" c$ l; _6 j* S9 ^* N

) F1 S$ `$ ~: f- C0 M1 Q%windir%\mswinsck.ocx* w! s5 s, o+ u: g4 Q$ B& s

& z8 m4 D7 H& T%windir%\services.exe+ ^  H0 C+ m1 n9 X

' X5 Q8 z' S  ^7 K$ K' q3 `%windir%\system32\command.pif9 D1 E+ p0 q! }1 Y
. w( W( {$ r6 ]
%windir%\system32\dxdiag.com( z, {& W( o, P! T) I

) U" `6 [: c; ^5 }! B%windir%\system32\finder.com6 g# u1 q2 G' U  I8 u) a. `; u( \5 F6 {
0 L* X- _" O3 P% l
%windir%\system32\msconfig.com
3 P0 Y$ M! v( M, T: K9 y% ^% T5 t4 H+ d6 p6 H, P6 z, H, Y1 G! v
%windir%\system32\regedit.com# O0 j: p1 t, N/ q: g
+ R- i3 k+ @% ~2 R% R' `7 S
%windir%\system32\rundll32.com
7 ]  m; x2 X7 d) h4 l4 z5 ?) k$ w! e  b
删除以下文件夹:& U5 X) r# e/ I
1 j3 q+ {' `- u! o* e% Z+ y" G
%windir%\debug
) ?% A% j! }4 x6 k  V* A- w- J$ ^6 t
( ]: n( e! i! }; X3 g: `2 X- D5 p& g%windir%\system32\NtmsData
发表于 2007-4-6 15:41:16 | 显示全部楼层 来自: 中国江西南昌
卡巴斯基能杀了它吗?
 楼主| 发表于 2007-4-6 20:22:12 | 显示全部楼层 来自: 中国湖北武汉
原帖由 jyxz4 于 2007-4-5 22:37 发表
8 Z- R0 e# z/ B! B% f第二张图的注册表键值位于什么分支下??
1 I* a! l8 s1 Z6 m! R& S' R
再请看了!!!
services2.JPG
 楼主| 发表于 2007-4-6 20:25:02 | 显示全部楼层 来自: 中国湖北武汉
原帖由 feiyong511 于 2007-4-6 00:04 发表
0 H  `) Q8 H9 I1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
0 ?9 `1 L/ q" Z0 b8 N( L2 x! V5 m* u( {! E/ ~1 U( ]
shell = Explorer.exe 1 修改为shell = Explorer.exe9 h4 k6 h8 S7 M9 c+ j
, l1 L( o8 E5 b4 V! d
2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...
) h& K2 z2 w# R: C) z$ p
看的头都大了,版主能否帮助做成bat或注册表项目,有专杀工具吗????
发表回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Licensed Copyright © 2016-2020 http://www.3dportal.cn/ All Rights Reserved 京 ICP备13008828号

小黑屋|手机版|Archiver|三维网 ( 京ICP备2023026364号-1 )

快速回复 返回顶部 返回列表