| 关于CSRSS.exe或services.exe 木马 |
摘之:bbs.mmsk.cn 手工清除方法如下:
1,首先结束病毒进程(由于病毒关联了exe文件,运行exe文件会激活病毒,需要用第三方进程管理软件并改名运行来结束病毒进程,如冰刃,将其主文件*.exe改名为*.com运行)
结束进程:
&Windows%\CSRSS.exe(或services.exe、winlogon.exe、lsass.exe 等等)
%Windows%\ExERoute.exe
2,点击下载Regfix.rar将里边的 Regfix.exe改名为Regfix.com后运行并修复exe关联.
3,还原被病毒修改的注册表内容:
注册表打开方法:开始----运行----输入 regedit --点确定
打开注册表编辑器,需要修改以下内容:
HKEY_CLASSES_ROOT\.lnk\ShellNew\\command
HKEY_CLASSES_ROOT\.bfc\ShellNew\\command
HKEY_CLASSES_ROOT\cplfile\Shell\cplopen\command\\
HKEY_CLASSES_ROOT\dunfile\Shell\open\command\\
HKEY_CLASSES_ROOT\file\Shell\open\command\\
HKEY_CLASSES_ROOT\htmlfile\Shell\Print\command\\
HKEY_CLASSES_ROOT\inffile\Shell\Install\command\\
HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command\\
HKEY_CLASSES_ROOT\scrfile\Shell\Install\command\\
HKEY_CLASSES_ROOT\telnet\Shell\open\command\\
HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command\\
HKEY_CLASSES_ROOT\scrfile\Shell\Install\command\\
HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command\\
HKEY_CLASSES_ROOT\Unknown\Shell\openas\command\\
HKEY_CLASSES_ROOT\dunfile\Shell\open\command\\
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Shared Tools\MSInfo\ToolSets\MSInfo\hdwwiz\\command
将以上注册表键值下的"rundll32.com","finder.com","command.pif"改为"rundll32.exe"
HKEY_CLASSES_ROOT\htmlfile\Shell\open\command\\
HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command\\
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command\\
HKEY_CLASSES_ROOT\ftp\Shell\open\command\\
将以上键值下的"iexplore.com"改为"iexplore.exe"
HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command\\
HKEY_CLASSES_ROOT\http\Shell\open\command\\
将以上键值下内容修改为"%SystemRoot%\Program Files\Internet Explorer\iexplore.exe"
HKEY_CLASSES_ROOT\Drive\Shell\find\command\\
将以上键值下的"explorer1.com"改为"iexplore.exe"
HKEY_CLASSES_ROOT\.exe\\
将以上键值下的"(默认)"修改为"exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Winlogon\\Shell
将以上键值下的"Explorer.exe 1"修改为"Explorer.exe"
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations
将以上键值下的"No"修改为"Yes"
删除HKCR\winfiles
删除病毒自启动项和病毒信息:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\RUN\\Torjan Program
"%Windows%\CSRSS.exe" (或services.exe)
HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings
删除HKLM\SOFTWARE\MICROSOFT\Windows\CURRENT VERSION子键(注意不是CURRENTVERSION子键,删中间有空格的那个,别删错了!)
4,最后删除病毒文件:
C:\WINDOWS\finder.com
C:\WINDOWS\explorer.com
C:\WINDOWS\1.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\regedit.com
D:\autorun.inf
D:\pagefile
D:\command.com
c:\windows\winlogon.exe
C:\Program Files\Internet Explorer\iexplore.com
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\MSWINSCK.OCX
C:\Program Files\Common Files\iexplore.pif
D:\command.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\LSASS.exe
以上操作请按步骤操作 找到即删 找不到跳过
|
| 发布于:2006-9-18 已被阅读:
次 |
|