.Sxm299
EXERT.EXE[/font]病毒文件的清除方法[/font][/font][/font]
EXERT.EXE[/font]是病毒文件[/font] [/font][/font][/font]
病毒名称:传奇终结者变种[/font]JBA[/font]([/font]Trojan.PSW.Lmir.jba[/font])(注意:同样适用于网易游戏)[/font] [/font][/font][/font]
病毒类型:通过网络传播的盗号木马[/font] [/font][/font][/font]
病毒危害级别:★★★☆[/font] [/font][/font][/font]
病毒发作现象及危害:[/font] [/font][/font][/font]
该病毒是一个可以在[/font]WIN9X/NT/2000/XP[/font]等操作系统上运行的盗号木马。病毒会强行终止多种杀毒软件的进程,使其不能正常运行。它会频繁检查游戏客户端的窗口,如果窗口存在,就会取得当前鼠标的位置,并记录键盘信息,最后把记录下来的信息发送到指定邮箱,从而窃取用户的游戏账号和密码等。[/font] [/font][/font][/font]
这个病毒比较狠毒,手工清除较为复杂。请用户务必按照步骤严格操作,否则很可能出现无法清除干净的情况。建议一般用户最好使用杀毒软件来清除这个病毒。[/font] [/font][/font][/font] dngz.net
手工删除:[/font] [/font][/font][/font]
一、[/font] [/font]结束病毒进程[/font] [/font][/font][/font]
鼠标右键点击“任务栏”,选择“任务管理器”。点击菜单“查看”-[/font]>[/font]“选择列”,在弹出的对话框中选择“[/font]PID[/font](进程标识符)”,并点击“确定”。[/font] [/font][/font][/font]
找到映象名称为“[/font]LSASS.exe[/font]”,并且用户名不是“[/font]SYSTEM[/font]”的一项,记住其[/font]PID[/font]号。[/font] [/font][/font][/font]
点击“开始”-》“运行”,输入“[/font]CMD[/font]”,点击“确定”打开命令行控制台。输入“[/font]ntsd [/font]–[/font]c q -p (PID)[/font]”,比如我的计算机上就输入“[/font]ntsd [/font]–[/font]c q -p 1464[/font]”。[/font] [/font][/font][/font]
二、[/font] [/font]删除病毒文件[/font] [/font][/font][/font]
dngz.net您的电脑医生
打开“我的电脑”,设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件:[/font] [/font][/font][/font]
C:\Program Files\Common Files\INTEXPLORE.pif[/font]、[/font] [/font][/font][/font]
C:\Program Files\Internet Explorer\INTEXPLORE.com[/font]、[/font] [/font][/font][/font]
C:\WINDOWS\EXERT.exe[/font]、[/font] [/font][/font][/font]
C:\WINDOWS\IO.SYS.BAK[/font]、[/font] [/font][/font][/font]
C:\WINDOWS\LSASS.exe[/font]、[/font] [/font][/font][/font]
C:\WINDOWS\Debug\DebugProgram.exe[/font]、[/font] [/font][/font][/font]
C:\WINDOWS\system32\dxdiag.com[/font]、[/font] [/font][/font][/font]
C:\WINDOWS\system32\MSCONFIG.COM[/font]、[/font] [/font][/font][/font]
C:\WINDOWS\system32\regedit.com
如果硬盘有其他分区,则在其他分区上点击鼠标右键,选择“打开”。删除掉该分区根目录下的“[/font]Autorun.inf[/font]”和“[/font]command.com[/font]”文件。[/font] [/font][/font][/font] dngz.net
三、删除注册表中的其他垃圾信息[/font] [/font][/font][/font]
这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。[/font] [/font][/font][/font]
将[/font]Windows[/font]目录下的“[/font]regedit.exe[/font]”改名为“[/font]regedit.com[/font]”并运行,删除以下项目:[/font] [/font][/font][/font]
HKEY_CLASSES_ROOT\WindowFiles[/font]、[/font] [/font][/font][/font]
HKEY_CURRENT_USER\Software\VB and VBA Program Settings[/font]、[/font] [/font][/font][/font]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main[/font]下面的[/font] Check_Associations[/font]项、[/font] [/font][/font][/font]
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif[/font]、[/font] [/font][/font][/font]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[/font]下面的[/font]ToP[/font]项。[/font] [/font][/font][/font] dngz.net版权所有
将[/font]HKEY_CLASSES_ROOT\.exe[/font]的默认值修改为“[/font]exefile[/font]”[/font] [/font][/font][/font]
将[/font]HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command[/font]的默认值修改为“[/font]"C:\Program Files\Internet Explorer\iexplore.exe" %1[/font]”[/font] [/font][/font][/font]
将[/font]HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command[/font]的默认值修改为“[/font]C:\Program Files\Internet Explorer\IEXPLORE.EXE[/font]”[/font] [/font][/font][/font]
将[/font]HKEY_CLASSES_ROOT\ftp\shell\open\command[/font]和[/font]HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command[/font]的默认值修改为“[/font]"C:\Program Files\Internet Explorer\iexplore.exe" %1[/font]”[/font] [/font][/font][/font]
将[/font]HKEY_CLASSES_ROOT\htmlfile\shell\open\command[/font]和[/font]HKEY_CLASSES_ROOT\HTTP\shell\open\command[/font]的默认值修改为“[/font]"C:\Program Files\Internet Explorer\iexplore.exe" [/font]–[/font]nohome[/font]”[/font] [/font][/font][/font] (www.dngz.net)版权所有
将[/font]HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet[/font]的默认值修改为“[/font]IEXPLORE.EXE[/font]”。[/font] [/font][/font][/font]
重新将[/font]Windows[/font]目录下的[/font]regedit[/font]扩展名改回[/font]exe[/font],至此病毒清除成功,注册表修复完毕。[/font] [/font][/font][/font]
[ 本帖最后由 扬尘网月 于 2006-9-19 14:48 编辑 ]
这也太麻烦了吧