桐城网

 找回密码
 我要注册

QQ登录

只需一步,快速开始

查看: 3535|回复: 2

几个最新病毒的杀除办法

[复制链接]

22

主题

65

回帖

133

积分

文都秀才

Rank: 2

积分
133
QQ
鲜花(0) 鸡蛋(0)
发表于 2006-9-19 18:41:10 | 显示全部楼层 |阅读模式
<P>此病毒后经上网查证得知名为"落雪"也有叫龙字传奇的~</P><P>主要功能应该是盗号吧?</P><P>貌似这个 </P><P>据说是一个变种,从上次的%Windows%&#92;services.exe变成这次的%Windows%&#92;csrss.exe。</P><P>这次又是%Windows%&#92;winlogon.EXE </P><P>先烦的直接下工具整理吧!</P><P>利用第三方工具了,如去下载瑞星的注册表修复器:<A target=_blank href="http://download.rising.com.cn/zsgj/RegClean.com">http://download.rising.com.cn/zsgj/RegClean.com</A>,利用它来修复一下文件关联。 </P><P>Exe文件修复 <BR><A target=_blank href="http://www.dougknox.com/xp/fileassoc/xp_exe_fix.zip">http://www.dougknox.com/xp/fileassoc/xp_exe_fix.zip</A> <BR>(测试可下,打开Zip包,双击文件导入) </P><P>System Repair Engineer 1.0.0.262 下载:<A target=_blank href="http://www.517d.com/Software/Catalog75/1030.html">http://www.517d.com/Software/Catalog75/1030.html</A> <BR>一款全新的、强有力的、可扩充的用于调整和修复你系统的免费工具,在这个工具的帮助下,你可以察觉你的系统故障并能够很容易的修复他们。本工具的前身是RegFix注册表关键值修复工具。<BR>_______________________________</P><P>关键词尾 exeroute,NtDhcp 的病毒---</P><P>这个后门共产生14个文件+3个快捷图标+2个文件夹。<BR>注册表部分,<BR>除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。<BR>附图即为中毒后,任意一个EXE文件的属性,留意黄圈部分,“应用程序”变成“EXE文件”</P><P>此病毒所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 <BR>所以要在文件夹选项里打开显示隐藏文件,然后逐个删除,注意不要双击以免运行它。</P><P>C:&#92;Program Files&#92;Internet Explorer&#92;iexplore.com <BR>C:&#92;Program Files&#92;Common Files&#92;iexplore.com <BR>C:&#92;WINDOWS&#92;1.com <BR>C:&#92;WINDOWS&#92;iexplore.com <BR>C:&#92;WINDOWS&#92;finder.com <BR>C:&#92;WINDOWS&#92;exeroute.exe(带有红色图标有传奇世界图标的) <BR>C:&#92;WINDOWS&#92;Debug&#92;*** Program.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的) <BR>C:&#92;Windows&#92;system32&#92;command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。 <BR>C:&#92;Windows&#92;system32&#92;msconfig.com <BR>C:&#92;Windows&#92;system32&#92;regedit.com <BR>C:&#92;Windows&#92;system32&#92;dxdiag.com <BR>C:&#92;Windows&#92;system32&#92;rundll32.com <BR>C:&#92;Windows&#92;system32&#92;finder.com <BR>C:&#92;Windows&#92;system32&#92;a.exe <BR>D:&#92;autorun.inf <BR>D:&#92;pagefile.com </P><P>另外还发现一个可疑文件:setup.exe: AntiVir报为Dropper/DMSec.A dropper</P><P>第一次尝试清除时删除..</P><P>这里要感谢一名为酷儿哥哥汉化的木马探测器 V3 </P><P>还有一个头号文件WINLOGON.EXE,一定得删除它!<BR>C:&#92;Windows&#92;WINLOGON.EXE </P><P>这个在进程里可以看得到,有两个,一个是真的,一个是假的。 <BR>真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM,<BR>而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会呆在你的进程里。可以用光盘启动进入DOS模式,把它的属性去掉然后删除它!</P><P>把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。<BR>到C:&#92;Windows&#92;system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com,然后运行可以进入到DOS下的命令提示符。</P><P>这里还有个要说的就是</P><P>ps:由于.com文件的运行优先级比.exe高,即当我们输入命令: msconfig时,系统运行的是病毒程序msconfig.com,则不是系统配置程序msconfig.exe!<BR>而此马生成文件居多为.com的.为其再次存活增加不少本钱~<BR>看来以后运行系统内置命令还得指明扩展名。</P><P>&nbsp; 另外,还得备以EXE文件关联修复程序备用。一般杀毒软件在启动时会检查并修复EXE文件关联。但在线查杀病毒是否也有这个功能还是未知数</P><P>再打入以下的命令: <BR>assoc .exe=exefile (assoc与.exe之间有空格) <BR>ftype exefile="%1" %* <BR>这样exe文件就可以运行了。 </P><P>运行regedit,进注册表,到<BR>HKEY_LOCAL_MACHINE&#92;SOFTWARE&#92;Microsoft&#92;Windows&#92;CurrentVersion&#92;Run<BR>里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!</P><P>开机进入系统时会跳出一个警告框,说文件"1"找不到。再运行“regedit”,打开注册表,在<BR>[HKEY_LOCAL_MACHINE&#92;SOFTWARE&#92;Microsoft&#92;Windows NT&#92;CurrentVersion&#92;Winlogon]<BR>中把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe" </P><P>大家也可以用RegFix恢复下~~</P>
【分享精彩·网聚未来】 我骄傲,我是桐城人! 桐城网宗旨:弘扬主旋律,讴歌真善美,传播正能量,彰显精气神。

22

主题

65

回帖

133

积分

文都秀才

Rank: 2

积分
133
QQ
鲜花(0) 鸡蛋(0)
 楼主| 发表于 2006-9-20 20:43:28 | 显示全部楼层

Re:几个最新病毒的杀除办法

<P>把你机器扫描发一份给我</P><P>我帮你看看</P>
【分享精彩·网聚未来】 我骄傲,我是桐城人! 桐城网宗旨:弘扬主旋律,讴歌真善美,传播正能量,彰显精气神。

71

主题

970

回帖

1145

积分

桐网贡生

Rank: 3Rank: 3

积分
1145
QQ
鲜花(4) 鸡蛋(0)
发表于 2006-9-20 14:28:08 | 显示全部楼层

Re:几个最新病毒的杀除办法

<P>密密麻麻的,我看不懂哦,我的机子入侵病毒了,我的QQ号被盗了呢,郁闷</P>
【分享精彩·网聚未来】 我骄傲,我是桐城人! 桐城网宗旨:弘扬主旋律,讴歌真善美,传播正能量,彰显精气神。
您需要登录后才可以回帖 登录 | 我要注册

本版积分规则

快速回复 返回顶部 返回列表