【SERVICES.EXE 病毒】

【SERVICES.EXE 病毒】 - 故障解答 - 电脑教程网

【SERVICES.EXE 病毒】

日期:2007-08-13   荐:
.Qks171 win2000SP4 kv2006(升级到最新的病毒库,准确的说就是今天才出的病毒库)的系统,启动后自动杀掉kv的监控进程,进程里面有一个SERVICES.EXE 进程, 在网上搜索了下面的处理方法,严格按照以下的方法处理,然后再重新安装KV2006,才彻底解决问题, 问题是,公司有十多台电脑都中了该病毒,手工清除非常费时且费力, 期间试过GHOST恢复系统,同样马上中毒,另外试过瑞星的橙色8月专杀工具,能发现病毒,但是没有任何作用, 诚盼各位高手能够找到好的解决办法! 下面是我在网上搜索的解决办法: 一、注册表:先使用注册表修复工具,或者直接使用regedit修正以下部分 1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon) shell = Explorer.exe 1 修改为shell = Explorer.exe 2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的 Torjan Program----------C:\WINNT\services.exe删除 3. HKEY_Classes_root\.exe 默认值 winfiles 改为exefile 4.删除以下两个键值: HKEY_Classes_root\winfiles HKEY_Local_machine\software\classes\winfiles 5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe” 6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe” 7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe” 8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe” 9. 删除病毒添加的文件关联信息和启动项: [HKEY_CLASSES_ROOT\winfiles] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Torjan Program"="%Windows%\services.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] , "Shell"="Explorer.exe 1" 改为 "Shell"="Explorer.exe" 10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除: HKEY_CLASSES_ROOT\MSWinsock.Winsock HKEY_CLASSES_ROOT\MSWinsock.Winsock.1 HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D} 注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒 二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件 c:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除) %programfiles%\common files\iexplore.pif %programfiles%\Internat explorer\iexplore.com %windir%\1.com %windir%\exeroute.exe %windir%\explorer.com %windir%\finder.com %windir%\mswinsck.ocx %windir%\services.exe %windir%\system32\command.pif %windir%\system32\dxdiag.com %windir%\system32\finder.com %windir%\system32\msconfig.com %windir%\system32\regedit.com %windir%\system32\rundll32.com 删除以下文件夹: %windir%\debug %windir%\system32\NtmsData

我自己手工杀了 效果不很理想 谢谢你帖子的启发 有好的办法 我回复你

就是,手工查杀非常麻烦! 诚盼哪位大虾解决!

复制以下代码存为bat文件可以删除染毒文件, 但注册表还得手工改,不知哪个高手能参考1楼的内容把注册表文件改好,双击就可以导入,不甚感激! @echo ==================================================================== @echo             "TTrojan.PSW.Lmir.iux"专杀工具 欢迎来到(www.dngz.net) @echo            建议您在“安全模式”或纯DOS模式下执行 @echo ==================================================================== @echo off @echo Start... @echo ==================================================================== @echo Execute ATTRIB... @echo off attrib -s -r -a -h %windir%\1.com attrib -s -r -a -h %windir%\services.exe attrib -s -r -a -h %windir%\explorer.com attrib -s -r -a -h %windir%\finder.com attrib -s -r -a -h %windir%\exeroute.exe attrib -s -r -a -h %windir%\debug\debugprogram.exe attrib -s -r -a -h %windir%\system32\regedit.com attrib -s -r -a -h %windir%\system32\dxdiag.com attrib -s -r -a -h %windir%\system32\msconfig.com attrib -s -r -a -h %windir%\system32\command.pif attrib -s -r -a -h %windir%\system32\finder.com attrib -s -r -a -h %windir%\system32\rundll32.com attrib -s -r -a -h %windir%\system32\i.com attrib -s -r -a -h c:\progra~1\common~1\iexplore.pif attrib -s -r -a -h c:\progra~1\intern~1\iexplore.com attrib -s -r -a -h d:\pagefile.pif rem ==================================================================== @echo Execute DELETE... @echo off del %windir%\1.com del %windir%\services.exe del %windir%\explorer.com del %windir%\finder.com del %windir%\exeroute.exe del %windir%\debug\debugprogram.exe del %windir%\system32\regedit.com del %windir%\system32\dxdiag.com del %windir%\system32\msconfig.com del %windir%\system32\command.pif del %windir%\system32\finder.com del %windir%\system32\rundll32.com

del %windir%\system32\i.com del c:\progra~1\common~1\iexplore.pif del c:\progra~1\intern~1\iexplore.com del d:\pagefile.pif @echo ==================================================================== @echo 清除完成... 欢迎来到(www.dngz.net) @echo ====================================================================

哪位高手会编辑以下的注册表文件?可以导入的?谢谢! 打开注册表编辑器,需要修改以下内容: HKEY_CLASSES_ROOT\.lnk\ShellNew\\command HKEY_CLASSES_ROOT\.bfc\ShellNew\\command HKEY_CLASSES_ROOT\cplfile\Shell\cplopen\command\\ HKEY_CLASSES_ROOT\dunfile\Shell\open\command\\ HKEY_CLASSES_ROOT\file\Shell\open\command\\ HKEY_CLASSES_ROOT\htmlfile\Shell\Print\command\\ HKEY_CLASSES_ROOT\inffile\Shell\Install\command\\ HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command\\ HKEY_CLASSES_ROOT\scrfile\Shell\Install\command\\ HKEY_CLASSES_ROOT\telnet\Shell\open\command\\ HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command\\ HKEY_CLASSES_ROOT\scrfile\Shell\Install\command\\ HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command\\ HKEY_CLASSES_ROOT\Unknown\Shell\openas\command\\ HKEY_CLASSES_ROOT\dunfile\Shell\open\command\\ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Shared Tools\MSInfo\ToolSets\MSInfo\hdwwiz\\command 将以上注册表键值下的"rundll32.com","finder.com","command.pif"改为"rundll32.exe" HKEY_CLASSES_ROOT\htmlfile\Shell\open\command\\ HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command\\ HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command\\ HKEY_CLASSES_ROOT\ftp\Shell\open\command\\ 将以上键值下的"iexplore.com"改为"iexplore.exe" HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command\\ HKEY_CLASSES_ROOT\http\Shell\open\command\\ 将以上键值下内容修改为"%SystemRoot%\Program Files\Internet Explorer\iexplore.exe" HKEY_CLASSES_ROOT\Drive\Shell\find\command\\ 将以上键值下的"explorer1.com"改为"iexplore.exe" HKEY_CLASSES_ROOT\.exe\\ 将以上键值下的"(默认)"修改为"exefile" dngz.net您的电脑医生 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Winlogon\\Shell 将以上键值下的"Explorer.exe 1"修改为"Explorer.exe" HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations 将以上键值下的"No"修改为"Yes" 删除HKCR\winfiles 删除病毒自启动项和病毒信息: HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\RUN\\Torjan Program "%Windows%\CSRSS.exe"    (或services.exe) HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings 删除HKLM\SOFTWARE\MICROSOFT\Windows\CURRENT VERSION子键(注意不是CURRENTVERSION子键,删中间有空格的那个,别删错了!)

标签: