请教高人。关于中毒的问题
发布网友
发布时间:2024-06-01 08:24
共5个回答
热心网友
时间:2024-06-25 20:34
病毒运行后将自己复制到%SYSDIR%目录下,文件名为"explore.exe",并在同一目录下释放病毒所使用的动态库"explore.dll"。
修改注册表:
1.HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run
增加数据项:"Expatch" 数据值为:%SYSDIR%\\EXPLORE.EXE
以达到其自启动的目的。
查杀以下杀毒软件和监控软件的进程:
ravmon
passwordguard
EGhost
mailmon
kavsvcui
vptray
隐藏在后台运行,查找"传奇客户端"窗体并枚举其子窗体试图窃取游戏"传奇"的信息。如果窃取信息成功病毒将会把窃取到的信息发送到指定的邮箱。
清除建议:
1、使用第三方进程管理软件结束进程:%windir%\CSRSS.exe 和 %windir%\ExERoute.exe
2、将以下注册表键值的 rundll32.com finder.com command.pif 修改为 rundll32.exe
HKEY_CLASSES_ROOT\.lnk\ShellNew\\command
HKEY_CLASSES_ROOT\.bfc\ShellNew\\command
HKEY_CLASSES_ROOT\cplfile\Shell\cplopen\command
HKEY_CLASSES_ROOT\dunfile\Shell\open\command
HKEY_CLASSES_ROOT\file\Shell\open\command
HKEY_CLASSES_ROOT\htmlfile\Shell\Print\command
HKEY_CLASSES_ROOT\inffile\Shell\Install\command
HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command
HKEY_CLASSES_ROOT\scrfile\Shell\Install\command
HKEY_CLASSES_ROOT\telnet\Shell\open\command
HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command
HKEY_CLASSES_ROOT\scrfile\Shell\Install\command
HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
HKEY_CLASSES_ROOT\Unknown\Shell\openas\command
HKEY_CLASSES_ROOT\dunfile\Shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Shared Tools\MSInfo\ToolSets\MSInfo\hdwwiz\\command
3、将以下键值的 iexplore.com 修改为 iexplore.exe
HKEY_CLASSES_ROOT\htmlfile\Shell\open\command
HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command
HKEY_CLASSES_ROOT\ftp\Shell\open\command
4、将以下键值内容修改为 %Program Files%\Internet Explorer\iexplore.exe
HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command
HKEY_CLASSES_ROOT\http\Shell\open\command
5、将以下键值的 explorer1.com 改为 iexplore.exe
HKEY_CLASSES_ROOT\Drive\Shell\find\command
6、将以下键值的 默认 修改为 exefile
HKEY_CLASSES_ROOT\.exe
7、将以下键值的 Explorer.exe 1 修改为 Explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Winlogon\\Shell
8、将以下键值的 No 修改为 Yes
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations
9、删除病毒的注册表自启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Torjan Program"="%windir%\CSRSS.exe"
10、删除其他无用数据
HKEY_CLASSES_ROOT\winfiles
HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings
11、删除以下文件 文件都具有隐藏、系统属性 请打开查看所有文件选项
%windir%\1.com
%windir%\CSRSS.exe
%windir%\ExERoute.exe
%windir%\explorer1.com
%windir%\finder.com
%windir%\MSWINSCK.OCX
%windir%\Debug\DebugProgram.exe
%system%\command.pif
%system%\dxdiag.com
%system%\finder.com
%system%\MSCONFIG.com
%system%\regedit.com
%system%\rundll32.com
%Program Files%\Internet Explorer\iexplore.com
%Program Files%\Common Files\iexplore.pif
系统盘根目录:\AUTORUN.INF
计算机安全中心.lnk
安全测试.lnk
系统信息管理器.lnk
注意:
%windir% 是指 WINDOWS 目录 [9x/ME/XP/2003];WINNT 目录 [2000]
%system% 是指 SYSTEM32 目录 [2000/XP/2003];SYSTEM 目录 [9x/ME]
PS:由于病毒天天在变,不排除其他变种的出现,在杀毒过程中,大家可以结合本站发布的三篇文章,对其他文件进行观察,以此判断是否应该删除 ^0^特别是那些隐藏文件,最好到网上查一查他的资料,看看到底是不是系统文件,这样病毒就无所盾形啦~~
另外
用瑞星的16.26.01 以上版本可以查杀。
热心网友
时间:2024-06-25 20:36
热心网友
时间:2024-06-25 20:35
打全windows 的补丁
http://soft.pdsu.edu.cn/list.asp?id=430
这个地址去下载一个 微软的安全补丁检测工具
看看自己是不是还有好多安全补丁没有打上
热心网友
时间:2024-06-25 20:33
热心网友
时间:2024-06-25 20:31
从你描述的情况看,估计你是只格式化了C盘重装的系统,所以这个木马的下载器还在你的电脑里。而你重装好系统后却没有进行全面的杀毒,所以导致了马上又被感染!
另外,系统重装后,有许多软件是需要重新安装后才能打开其快捷方式的!
目前你可以这样来解决
1.能重装系统则最好,但记住重装完了之后不要访问系统盘之外的任何分区,并马上装杀毒软件,并将杀毒软件装在C盘(或你格式化之后装系统的那个分区),然后杀毒。
2.你也可以下这个软件在安全模式下对电脑进行扫描清理(安装位置和上面一样):
木马杀客5.2绿色免安装版:
http://www.mmsk.cn/Down.html
以后记住,上网时记得开启一个杀毒软件、防火墙、木马防火墙、另外需要玩网游的话,最好开启相应的监视功能(瑞星防火墙里有)。
