迄今为止我所中的最垃圾,bt的病毒及清楚办法 关键词尾 exeroute

王朝other·作者佚名  2006-01-10
窄屏简体版  字體: |||超大  

关键词尾 exeroute,NtDhcp 的病毒---建议直接重装机器

这个后门共产生14个文件+3个快捷图标+2个文件夹。注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。附图即为中毒后,任意一个EXE文件的属性,留意黄圈部分,“应用程序”变成“EXE文件”

这个病毒释放了很多病毒文件,还修改了很多注册表信息,经过一番处理,现在推荐以下步骤操作:

1. 准备工作,下载SREng.exe,并改名为SREng.com

下载地址:

http://www.kztechs.com/sreng/download.html

2. 运行ProceXP结束%Windows%\services.exe病毒进程(最好也将ProceXP.exe改名为ProceXP.com再运行,如果不改也没有多大关系。病毒感染系统后把EXE文件关联到%Windows%\ExERoute.exe,运行ProceXP.exe后%Windows%\ExERoute.exe会被调用并运行%Windows%\services.exe,等%Windows%\ExERoute.exe自动退出后再结束%Windows%\services.exe即可)

注:要注意的是,结束的病毒进程是%Windows%\services.exe,不是System32\services.exe(系统进程),大家可以从路径和它们的图标来区分。

3. 运行SREng.com,在“系统修复”>>“文件关联”里勾选“.EXE”项,并“修复”,恢复EXE文件关联

4. 结束病毒进程后分别找到以下病毒文件和病毒生成的文件,删除它们:

C:\autorun.inf

%ProgramFiles%\Common Files\iexplore.pif

%ProgramFiles%\Internet Explorer\iexplore.com

%Windows%\1.com

%Windows%\ExERoute.exe

%Windows%\explorer.com

%Windows%\finder.com

%Windows%\MSWINSCK.OCX(VB库文件,可以不删除)

%Windows%\services.exe

%Windows%\Debug\DebugProgram.exe

%System%\command.pif

%System%\dxdiag.com

%System%\finder.com

%System%\MSCONFIG.COM

%System%\regedit.com

%System%\rundll32.com

开始菜单\程序\下的:

计算机安全中心.lnk

安全测试.lnk

系统信息管理器.lnk

注:直接从“我的电脑”或“资源管理器”里找,或者通过“搜索”查找,在那些病毒文件没有被删除之前,不要做其它任何多余的操作。

5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”

7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”

8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”

9. 删除病毒添加的文件关联信息和启动项:

[HKEY_CLASSES_ROOT\winfiles]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe 1"

改为

"Shell"="Explorer.exe"

10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:

HKEY_CLASSES_ROOT\MSWinsock.Winsock

HKEY_CLASSES_ROOT\MSWinsock.Winsock.1

HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有  導航