QQ登录

只需一步,快速开始

登录 | 注册 | 找回密码

三维网

 找回密码
 注册

QQ登录

只需一步,快速开始

展开

通知     

查看: 1320|回复: 5
收起左侧

[求助] 中了services.exe病毒

[复制链接]
发表于 2007-4-5 21:31:52 | 显示全部楼层 |阅读模式 来自: 中国湖北武汉

马上注册,结识高手,享用更多资源,轻松玩转三维网社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
两台电脑都中毒了,任务管理器中(图片1)的是病毒吗?该怎样干掉它,注册表中图片2)的可以删吗???
services1.JPG
services.JPG
发表于 2007-4-5 22:37:21 | 显示全部楼层 来自: 中国北京
第二张图的注册表键值位于什么分支下??
发表于 2007-4-6 00:04:35 | 显示全部楼层 来自: 中国浙江杭州
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
, Y# C: `" R+ K3 [. V' m6 W! B
9 k0 x: p; ^; I& i! K3 J) p1 ]shell = Explorer.exe 1 修改为shell = Explorer.exe
  \; u1 ?0 v( t/ o( h/ @. n9 ~% p% o2 G& B7 V! b
2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
' D8 @+ z- Y# @% T$ [1 L/ g: j! |0 r
Torjan Program----------C:\WINNT\services.exe删除
, B9 g1 L) |; h8 w) O% V, h
- S" V! \& l$ E3. HKEY_Classes_root\.exe
0 J( v9 r! x) |* H- E/ Y. Y. Q7 T4 o( t; A# H
默认值 winfiles 改为exefile
) O4 N6 g1 Y9 F% v5 W& s2 j; @3 f7 N' ^
4.删除以下两个键值:
# v; Y, N' w7 {3 {
! y) ]. c- v# S. a4 vHKEY_Classes_root\winfiles
* V( y1 I* r2 z( j, d
6 j! x4 f2 _  Q# n# Z0 y8 Z1 w2 fHKEY_Local_machine\software\classes\winfiles3 |5 I! Y8 L% G$ D
* K2 R+ W$ M  E# d: v: {* v
5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”/ c* d. w2 O! m9 p0 l8 D

1 O2 K+ X! k3 p6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”, c' W+ G5 m3 p

  m! T0 q3 E; j* u7 _7 c, Y- c: o7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”& A! z  l, G+ U; ^8 M, n
2 ?8 r/ m7 Z0 x& ]5 ?
8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
- [/ M: O( }7 o. {5 c' y
3 S+ M9 l. M; Z+ O3 W8 y9. 删除病毒添加的文件关联信息和启动项:, |3 z" I. ~. ~3 Y

! d) _( E* `: w6 p[HKEY_CLASSES_ROOT\winfiles]" l( A: V% {; h* d& _3 |

% }$ I: r. n% }! g[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]+ w4 {  i1 q  ]2 P; z. q
4 E6 o7 V( U, p# s
"Torjan Program"="%Windows%\services.exe"8 L3 l5 L8 L* p- O) W! z9 @6 x
; H7 |$ J9 y/ O- W) Y% ^5 Y
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]# [& T2 `! U9 J( h3 S; \  S$ B7 a8 @
2 U9 W, b! i: ~" l- _
"Torjan Program"="%Windows%\services.exe"
: S6 ~+ Q) J+ d2 {2 W$ {, F8 ~0 k7 y2 J  l
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
  C" B. r# I0 m9 L# F0 X
" u  ^; i0 \9 ?3 v"Shell"="Explorer.exe 1"% V' l- W& C/ P9 d( t

' r2 }' ^5 v% I0 G0 v改为+ Z/ W( O$ Y+ w

0 {  c. U4 H( }% x# j3 A"Shell"="Explorer.exe"1 H2 h( w3 S  l
) A; q( S3 r7 r: I. D  e1 c
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
" B" r+ }; H5 R  O
2 R) \, }2 P2 y* ?$ i9 DHKEY_CLASSES_ROOT\MSWinsock.Winsock4 A: b8 Y) a5 G" y

) w; s# n' q& h9 k- ]# \HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
( h! N+ U3 p$ m/ _$ j' F5 Q1 y) c8 F6 V
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
' y+ t7 P8 h) {2 C9 T2 v1 h; ]0 ?' G0 |& ~5 H
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}7 \* t4 D+ X( t; M1 u

5 S5 f1 g6 p3 V+ YHKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}' ?8 J3 B* S7 {: c0 Z% Q9 ~5 |/ D2 p
. r, y3 l7 H; ~* q. y
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}% Z% O- C) n' ]0 a
0 z# E# a$ L8 [% Z6 ?: H% V" A
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}! w  }  k- {$ J2 B

6 V. R: V8 q! u注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒5 u/ S* N' X- i# W3 S# _) d2 \
# }; S2 A6 |' o: x" H! g
二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
6 c7 w. ?0 q3 f0 m# G4 |
. y9 U  m4 u$ I* n/ c" tc:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)
5 @9 T. w5 k, l$ |( x
0 Q, u: E  e! d! Z0 e" F/ C: V%programfiles%\common files\iexplore.pif
- N% H2 K3 Y" A' h4 L; y
2 M) `" N/ [7 O9 C%programfiles%\Internat explorer\iexplore.com. E) C* X) [! D1 A- p8 o; j* N0 N1 p8 |

1 R1 P7 \9 M2 z& s( j, l%windir%\1.com
3 H- X/ v$ p7 C' g) _9 n) K' M
! l2 V) \4 U& g* r; w3 h) k. L%windir%\exeroute.exe
9 x+ k9 c) C/ c8 [7 U1 N( v$ I; M( E: m8 [3 h+ V5 D2 a; `" m
%windir%\explorer.com/ z0 P& K6 ]+ [+ [1 @+ U3 o

* V  T9 h  ?) E%windir%\finder.com+ t* E$ U1 z' J" [

4 W0 C" |' ^6 m3 u- r" b%windir%\mswinsck.ocx; A7 X9 r. h, V' g0 \2 t# c* l

+ A$ Z% X1 U8 c" h4 Y( p. a, P& k+ {%windir%\services.exe
0 d: @$ D, {8 q6 i: `. p8 C, u
* {+ J7 I1 f  m/ V%windir%\system32\command.pif
! o* }, L/ ~+ s% n2 N' g7 q1 L2 U* ^5 K& p+ }) K
%windir%\system32\dxdiag.com1 m( ?* I/ |" J% z6 |$ c

* c: ~" Z! D* Q( b; S%windir%\system32\finder.com. C. x, r% F3 f+ Y. M. N6 D
( X& U+ f, ~' W$ G! ]7 |1 G5 y/ Z
%windir%\system32\msconfig.com
& }& f$ q( S' R% P0 y4 u4 r8 g8 |
%windir%\system32\regedit.com4 {# Y3 a8 h0 F$ \3 i4 m& T) m4 m5 A

" R  L2 m* I8 j# @3 K%windir%\system32\rundll32.com8 A9 o4 H% Q8 Q- Q  Z

! F' T* X! R% q- T8 ]9 {删除以下文件夹:
- s9 _5 m3 G7 G' u2 o6 [1 L
9 B( H: }; P1 f8 z0 D4 g%windir%\debug7 E: T0 F$ Q3 [: j* B! ?
' a/ i9 j) z, z8 q/ e
%windir%\system32\NtmsData
发表于 2007-4-6 15:41:16 | 显示全部楼层 来自: 中国江西南昌
卡巴斯基能杀了它吗?
 楼主| 发表于 2007-4-6 20:22:12 | 显示全部楼层 来自: 中国湖北武汉
原帖由 jyxz4 于 2007-4-5 22:37 发表1 b) a# m9 d; J8 [  _& _
第二张图的注册表键值位于什么分支下??
, o3 J5 @- X1 @1 i0 }- [1 m
再请看了!!!
services2.JPG
 楼主| 发表于 2007-4-6 20:25:02 | 显示全部楼层 来自: 中国湖北武汉
原帖由 feiyong511 于 2007-4-6 00:04 发表
* x: K$ t, y( {  c+ [1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
+ r% L4 g5 t3 ]) s; u  ?; t4 \% S; {- T$ W1 e) ?) U8 T
shell = Explorer.exe 1 修改为shell = Explorer.exe
- @& r8 Q; t/ M7 v
/ \9 k# D* ]) z( z: J4 A. K2.将 HKEY_LOCAL_MACHINE\SOFTWARE ...
$ _" c# W+ r+ R- d4 J( P, v
看的头都大了,版主能否帮助做成bat或注册表项目,有专杀工具吗????
发表回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Licensed Copyright © 2016-2020 http://www.3dportal.cn/ All Rights Reserved 京 ICP备13008828号

小黑屋|手机版|Archiver|三维网 ( 京ICP备2023026364号-1 )

快速回复 返回顶部 返回列表