中了木马
昨天刘念过来拷歌曲,直接点了他的mp3,然后发现有毒。晚上病毒的症状就表现出来了,exe的关联被修改了,这个木马到处设关联,删了这个文件那个文件恢复,删了那个这个恢复。经过1个多小时的努力终于查杀干净了,累死了。BS现在的杀毒软件,查都查不出来。
清除方法:
1.准备工作,下载SREng.exe,并改名为SREng.com下载地址:http://www.kztechs.com/sreng/download.html
2. 运行ProceXP结束%Windows%\services.exe病毒进程(最好也将ProceXP.exe改名为ProceXP.com再运行,如果不改也没有多大关系。病毒感染系统后把EXE文件关联到%Windows%\ExERoute.exe,运行ProceXP.exe后%Windows %\ExERoute.exe会被调用并运行%Windows%\services.exe,等%Windows%\ExERoute.exe自动退出后再结束%Windows%\services.exe即可)注:要注意的是,结束的病毒进程是%Windows%\services.exe,不是 System32\services.exe(系统进程),大家可以从路径和它们的图标来区分。
3.运行SREng.com,在“系统修复”>>“文件关联”里勾选“.EXE”项,并“修复”,恢复EXE文件关联
4.结束病毒进程后分别找到以下病毒文件和病毒生成的文件,删除它们:C:\autorun.inf
%ProgramFiles%\CommonFiles\iexplore.pif
%ProgramFiles%\InternetExplorer\iexplore.com
%Windows%\1.com%Windows%\ExERoute.exe%Windows%\explorer.com%Windows%\finder.com%Windows%\MSWINSCK.OCX(VB库文件,可以不删除)
%Windows%\services.exe%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
开始菜单\程序\下的:计算机安全中心.lnk安全测试.lnk系统信息管理器.lnk注:直接从“我的电脑”或“资源管理器”里找,或者通过“搜索”查找,在那些病毒文件没有被删除之前,不要做其它任何多余的操作。
5.打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
6.查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
7.查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
8.查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\CommonFiles\iexplore.pif”的信息,把这内容改为“C:\ProgramFiles\InternetExplorer\iexplore.exe”
9.删除病毒添加的文件关联信息和启动项:
[HKEY_CLASSES_ROOT \winfiles][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TorjanProgram"="%Windows%\services.exe"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\RunServices]"TorjanProgram"="%Windows%\services.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon] "Shell"="Explorer.exe1"改为"Shell"="Explorer.exe"
10.这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:HKEY_CLASSES_ROOT\ MSWinsock.WinsockHKEY_CLASSES_ROOT\MSWinsock.Winsock.1HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒。
本文链接: http://zfblog.niuest.com/index.php/2006/08/06/troy/ ,转载请注明,谢谢!
