谁能看懂这些呀??【求助】 bbs.ikaka.com

伤心的帅哥 - 2005-8-8 23:45:00

转金山

处理：文件夹图标病毒 web.exe

病毒文件为文件夹图标的EXE文件，使用文件夹图标诱骗大家双击运行它，并修改注册表隐藏文件扩展名使之看上去更像一个“文件夹”。

病毒释放文件：
各分区根目录\web.exe（文件夹图标）
%Windows%\h00kdll.dll
%Windows%\assistse.exe（文件夹图标）
%Windows%\services.exe（文件夹图标）
%Windows%\uninstall.exe（文件夹图标）
%System%\share.txt

建立启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Net"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Net"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"Load"="%Windows%\assistse.exe"

修改[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]下边"HideFileExt"的值为1(dword:00000001)，隐藏文件扩展名。

尝试使用net stop和ntsd -c q -p命令停止反病毒软件服务、结束反病毒软件进程：
rfwmain.exe
rfwsrv.exe
RAVTIMER.EXE
RAVMON.EXE
KVSRVXP.EXE
KREGEX.EXE
TROJDIE.KXP
KVMONXP.KXP

处理清除

结束进程里的病毒进程：%Windows%\services.exe
注：不是%Windows%\System32\services.exe

删除病毒文件：
各分区根目录\web.exe（文件夹图标）
%Windows%\h00kdll.dll
%Windows%\assistse.exe（文件夹图标）
%Windows%\services.exe（文件夹图标）
%Windows%\uninstall.exe（文件夹图标）
%System%\share.txt

从“文件夹选项”里“查看”，去掉“隐藏已知文件类型的扩展名”勾选，显示出文件扩展名来；
或者到注册表编辑器修改[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]下边"HideFileExt"的值为0(dword:00000000)

删除病毒的启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Net"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Net"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"Load"="%Windows%\assistse.exe"

注：%Windows%\h00kdll.dll会插入一些进程，如果无法直接删除可将其改名，等重启计算机后再删除改名后的%Windows%\h00kdll.dll

谢谢了~~~

旋风于杰 - 2005-8-8 23:46:00

发到反病毒论坛去，这里解决不了这个的

文扬 - 2005-8-8 23:47:00

哪里不明白啊

文扬 - 2005-8-8 23:48:00

写的不都很清楚么?小宇啊,遇到什么问题了

天天泡泡 - 2005-8-8 23:49:00

很清楚啊，海色大姐每次的帖子总结得都很清晰啊

文扬 - 2005-8-8 23:51:00

哈哈,来了位反病毒的高手啊

旋风于杰 - 2005-8-8 23:57:00

引用:

【天天泡泡的贴子】很清楚啊，海色大姐每次的帖子总结得都很清晰啊
...........................

泡泡都不帮俺解决问题

没信心 - 2005-8-9 2:42:00

不懂

Susanna - 2005-8-9 4:53:00

应该发到反病毒论坛!

伤心的帅哥 - 2005-8-10 19:30:00

偶这是从那里得来的~~~

伤心的帅哥 - 2005-8-10 19:32:00

偶的机子中毒了~~~
这是答案,问题是我看不懂~~~~
病毒的人也不理我~~~~~

旋风于杰 - 2005-8-10 19:37:00

和俺一样，太菜了就没人理了

伤心的帅哥 - 2005-8-10 19:48:00

9494

bobo无极限 - 2005-8-10 20:00:00

这个病毒是在每个系统硬盘分区的根目录下创建web.exe文件夹
看楼主的主贴可以确定是中了Windows.Sfc.Mgr病毒

上面修改注册表的项楼主自己可以更改,或者去天天泡泡的个人空间
下载regfix这样的专用注册表修复工具来修复.

具体的方法步骤可以参考反病毒论坛baohe斑竹的贴子
http://forum.ikaka.com/topic.asp?board=28&artid=6891055

另外,以后遇到这样的问题,请楼主直接发送至反病毒论坛.

糖果水晶 - 2005-8-10 20:28:00

a 定上去吧

bobo无极限 - 2005-8-10 21:12:00

这里是吹牛论坛．

大雁飞过 - 2005-8-10 21:29:00

什么乱七八糟

帅哥坐车不用票 - 2005-8-10 23:13:00

不懂

瑞星卡卡安全论坛