中了services.exe病毒

wp2576

两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???

jyxz4

第二张图的注册表键值位于什么分支下？？

feiyong511

1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）

shell = Explorer.exe 1 修改为shell = Explorer.exe
* f5 B/ R9 G# _) {7 U5 }5 ^
7 F9 z$ X0 L" M3 n2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的

* f4 ]$ F& [' OTorjan Program----------C:\WINNT\services.exe删除

3. HKEY_Classes_root\.exe

默认值 winfiles 改为exefile

6 b( o$ t, G' t. r" u2 ~7 k7 H3 M4.删除以下两个键值：
0 w9 S  X# G3 z" v, i) X
. K" Q! P# j" y6 U" X' _7 b' u% d4 @. @& sHKEY_Classes_root\winfiles

HKEY_Local_machine\software\classes\winfiles
, d8 v! Q8 J5 a7 N. K; f
5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

* z9 ?7 c# f; [, q( [( L4 A* ~& I$ p6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe”
  N- j& m8 R) s5 x2 f  Y
7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe”

8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”

9. 删除病毒添加的文件关联信息和启动项：

2 U: Q% Y8 ^' L" f: R[HKEY_CLASSES_ROOT\winfiles]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
8 _' a/ Q' B( x* d" @) U  J$ G
"Torjan Program"="%Windows%\services.exe"
* K9 P6 a6 q1 Q6 ]1 a
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
7 X0 c( d( H# y" c
"Torjan Program"="%Windows%\services.exe"
8 ?( O+ E7 c* H2 g/ K
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
+ K5 E- U- ^: g+ z2 N9 y# h  t0 B
"Shell"="Explorer.exe 1"

9 H! G3 z, V6 X6 K改为
& ?! {$ I' d: t; u
7 e- E8 o- |  @, g( P"Shell"="Explorer.exe"

10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除：
5 |/ `, \$ B0 i  b3 c3 R' T  V
HKEY_CLASSES_ROOT\MSWinsock.Winsock

HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
. W( Q7 V" J8 Z0 ]7 _/ g+ R
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
" a' y% ^0 ?7 ^3 a4 ]
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}

# U2 g% e4 ?8 Y& T& U9 k3 JHKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

+ f/ m  e% {; t8 EHKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
) c$ j  u8 w/ Q2 T
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒

二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
$ v* x) S- x5 s2 w1 f4 J
7 k& L6 l2 d" ?  y$ I7 `' w9 `# mc:\antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）
) x9 l. {/ _, z: Q' b
%programfiles%\common files\iexplore.pif
0 f" T( p; O, Q8 H: G/ s  h
9 }- H; r( `% B/ n' Q- a%programfiles%\Internat explorer\iexplore.com

. Q3 D% c0 B4 I" V%windir%\1.com
: X+ n* t2 Y/ |/ v' _: g; }( j+ i. ]
1 Z7 B6 x" ~* a: M- U8 c: G%windir%\exeroute.exe

%windir%\explorer.com
7 C# _( ^$ G: ^. _
. q4 T0 f: g& K0 C" N%windir%\finder.com
1 x2 |, @' y* f% B9 G) t% p
%windir%\mswinsck.ocx
4 ?! G& m' H8 t5 U0 `
2 ^( J7 }& H! v0 J% `6 ?4 n+ o%windir%\services.exe

' H' z/ i$ q% `, g. K0 S0 s/ n%windir%\system32\command.pif
7 O5 L' Q. `! P% C' H
/ G* }+ Y/ g8 _; q$ Y% B%windir%\system32\dxdiag.com
# F5 T  g- ]: q9 [! e
1 u1 R0 B7 i. F5 l# \! R' V' i%windir%\system32\finder.com
9 |4 m- z, t$ Y, A$ I: k2 K
2 G7 `+ l9 Q6 N: _3 a%windir%\system32\msconfig.com

%windir%\system32\regedit.com
& d' C4 y9 ^% m
7 W, X# |, y- T7 }6 `2 d%windir%\system32\rundll32.com
9 L! v7 y& l1 ]0 U! }9 y5 |
删除以下文件夹：

%windir%\debug

%windir%\system32\NtmsData

oygg

卡巴斯基能杀了它吗?

wp2576

原帖由 jyxz4 于 2007-4-5 22:37 发表
9 v4 n( R+ N1 j0 @) L( O第二张图的注册表键值位于什么分支下？？

2 V; H+ ]1 v2 _8 @9 H' L6 r# T. p再请看了！！！

wp2576

原帖由 feiyong511 于 2007-4-6 00:04 发表
1 {% Q7 E) Q$ t! @( I1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）

shell = Explorer.exe 1 修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...

3 `: i7 J  T. o/ J" y6 W看的头都大了，版主能否帮助做成bat或注册表项目，有专杀工具吗？？？？