【SERVICES.EXE 病毒】

.Qks171 win2000SP4 kv2006（升级到最新的病毒库，准确的说就是今天才出的病毒库）的系统，启动后自动杀掉kv的监控进程，进程里面有一个SERVICES.EXE 进程， 在网上搜索了下面的处理方法，严格按照以下的方法处理，然后再重新安装KV2006,才彻底解决问题， 问题是，公司有十多台电脑都中了该病毒，手工清除非常费时且费力， 期间试过GHOST恢复系统，同样马上中毒，另外试过瑞星的橙色8月专杀工具，能发现病毒，但是没有任何作用， 诚盼各位高手能够找到好的解决办法！ 下面是我在网上搜索的解决办法： 一、注册表：先使用注册表修复工具，或者直接使用regedit修正以下部分 1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon） shell = Explorer.exe 1 修改为shell = Explorer.exe 2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的 Torjan Program----------C:\WINNT\services.exe删除 3. HKEY_Classes_root\.exe 默认值 winfiles 改为exefile 4.删除以下两个键值： HKEY_Classes_root\winfiles HKEY_Local_machine\software\classes\winfiles 5. 打开注册表编辑器，依此分别查找“rundll32.com”、“finder.com”、“command.pif”，把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe” 6. 查找“iexplore.com”的信息，把找到的内容里面的“iexplore.com”改为“iexplore.exe” 7. 查找“explorer.com”的信息，把找到的内容里面的“explorer.com”改为“explorer.exe” 8. 查找“iexplore.pif”，应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息，把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe” 9. 删除病毒添加的文件关联信息和启动项： [HKEY_CLASSES_ROOT\winfiles] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ＂Torjan Program＂=＂%Windows%\services.exe＂ [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] ＂Torjan Program＂=＂%Windows%\services.exe＂

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] , ＂Shell＂=＂Explorer.exe 1＂ 改为 ＂Shell＂=＂Explorer.exe＂ 10. 这些是病毒释放的一个VB库文件（MSWINSCK.OCX）的相关信息，不一定要删除： HKEY_CLASSES_ROOT\MSWinsock.Winsock HKEY_CLASSES_ROOT\MSWinsock.Winsock.1 HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D} 注：因为病毒修改了很多关联信息，所以在那些病毒文件没有被删除之前，请不要做任何多余的操作，以免激活病毒 二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件 c:\antorun.inf （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除） %programfiles%\common files\iexplore.pif %programfiles%\Internat explorer\iexplore.com %windir%\1.com %windir%\exeroute.exe %windir%\explorer.com %windir%\finder.com %windir%\mswinsck.ocx %windir%\services.exe %windir%\system32\command.pif %windir%\system32\dxdiag.com %windir%\system32\finder.com %windir%\system32\msconfig.com %windir%\system32\regedit.com %windir%\system32\rundll32.com 删除以下文件夹： %windir%\debug %windir%\system32\NtmsData

我自己手工杀了 效果不很理想 谢谢你帖子的启发　有好的办法 我回复你

就是，手工查杀非常麻烦！ 诚盼哪位大虾解决！

复制以下代码存为bat文件可以删除染毒文件， 但注册表还得手工改，不知哪个高手能参考1楼的内容把注册表文件改好，双击就可以导入，不甚感激！ @echo ==================================================================== @echo　 　 　 　 　 　 　＂TTrojan.PSW.Lmir.iux＂专杀工具 欢迎来到(www.dngz.net) @echo　 　 　 　 　 　 建议您在“安全模式”或纯DOS模式下执行 @echo ==================================================================== @echo off @echo Start... @echo ==================================================================== @echo Execute ATTRIB... @echo off attrib -s -r -a -h %windir%\1.com attrib -s -r -a -h %windir%\services.exe attrib -s -r -a -h %windir%\explorer.com attrib -s -r -a -h %windir%\finder.com attrib -s -r -a -h %windir%\exeroute.exe attrib -s -r -a -h %windir%\debug\debugprogram.exe attrib -s -r -a -h %windir%\system32\regedit.com attrib -s -r -a -h %windir%\system32\dxdiag.com attrib -s -r -a -h %windir%\system32\msconfig.com attrib -s -r -a -h %windir%\system32\command.pif attrib -s -r -a -h %windir%\system32\finder.com attrib -s -r -a -h %windir%\system32\rundll32.com attrib -s -r -a -h %windir%\system32\i.com attrib -s -r -a -h c:\progra~1\common~1\iexplore.pif attrib -s -r -a -h c:\progra~1\intern~1\iexplore.com attrib -s -r -a -h d:\pagefile.pif rem ==================================================================== @echo Execute DELETE... @echo off del %windir%\1.com del %windir%\services.exe del %windir%\explorer.com del %windir%\finder.com del %windir%\exeroute.exe del %windir%\debug\debugprogram.exe del %windir%\system32\regedit.com del %windir%\system32\dxdiag.com del %windir%\system32\msconfig.com del %windir%\system32\command.pif del %windir%\system32\finder.com del %windir%\system32\rundll32.com

del %windir%\system32\i.com del c:\progra~1\common~1\iexplore.pif del c:\progra~1\intern~1\iexplore.com del d:\pagefile.pif @echo ==================================================================== @echo 清除完成... 欢迎来到(www.dngz.net) @echo ====================================================================

哪位高手会编辑以下的注册表文件？可以导入的？谢谢！ 打开注册表编辑器,需要修改以下内容: HKEY_CLASSES_ROOT\.lnk\ShellNew\\command HKEY_CLASSES_ROOT\.bfc\ShellNew\\command HKEY_CLASSES_ROOT\cplfile\Shell\cplopen\command\\ HKEY_CLASSES_ROOT\dunfile\Shell\open\command\\ HKEY_CLASSES_ROOT\file\Shell\open\command\\ HKEY_CLASSES_ROOT\htmlfile\Shell\Print\command\\ HKEY_CLASSES_ROOT\inffile\Shell\Install\command\\ HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command\\ HKEY_CLASSES_ROOT\scrfile\Shell\Install\command\\ HKEY_CLASSES_ROOT\telnet\Shell\open\command\\ HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command\\ HKEY_CLASSES_ROOT\scrfile\Shell\Install\command\\ HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command\\ HKEY_CLASSES_ROOT\Unknown\Shell\openas\command\\ HKEY_CLASSES_ROOT\dunfile\Shell\open\command\\ HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Shared Tools\MSInfo\ToolSets\MSInfo\hdwwiz\\command 将以上注册表键值下的＂rundll32.com＂,＂finder.com＂,＂command.pif＂改为＂rundll32.exe＂ HKEY_CLASSES_ROOT\htmlfile\Shell\open\command\\ HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command\\ HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command\\ HKEY_CLASSES_ROOT\ftp\Shell\open\command\\ 将以上键值下的＂iexplore.com＂改为＂iexplore.exe＂ HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command\\ HKEY_CLASSES_ROOT\http\Shell\open\command\\ 将以上键值下内容修改为＂%SystemRoot%\Program Files\Internet Explorer\iexplore.exe＂ HKEY_CLASSES_ROOT\Drive\Shell\find\command\\ 将以上键值下的＂explorer1.com＂改为＂iexplore.exe＂ HKEY_CLASSES_ROOT\.exe\\ 将以上键值下的＂(默认)＂修改为＂exefile＂ dngz.net您的电脑医生 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Winlogon\\Shell 将以上键值下的＂Explorer.exe 1＂修改为＂Explorer.exe＂ HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations 将以上键值下的＂No＂修改为＂Yes＂ 删除HKCR\winfiles 删除病毒自启动项和病毒信息: HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\RUN\\Torjan Program ＂%Windows%\CSRSS.exe＂　 　 (或services.exe) HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings 删除HKLM\SOFTWARE\MICROSOFT\Windows\CURRENT VERSION子键(注意不是CURRENTVERSION子键，删中间有空格的那个，别删错了!)