123   1  /  3  页   跳转

[原创] 锁定.exe程序的病毒及其查杀

收藏
本主题由 大版主 baohe 于 2010-1-17 14:02:40 执行 主题置顶/取消 操作
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-01-10 19:47 | 只看楼主 短消息 资料
字号: 1楼

锁定.exe程序的病毒及其查杀

病毒文件:kasmain.exe。
不知是哪个脑残写的病毒。
中招后,除了explorer.exe、IE浏览器、注册表编辑器以及taskmgr.exe外,其它.exe均不能运行。
如果冒然删除病毒写入的注册表项HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\RestrictRun而不做其它必要处理,重启系统后,估计该哭了。

瑞星22.29.06.02不报此毒。



中毒后的具体症状——除了explorer.exe、IE浏览器、注册表编辑器以外,点击任何.exe均出现下列系统报错:







手工杀毒流程:




1、点击“开始”。键入 regedit.exe,按回车。打开注册表编辑器。删除下列注册表键:



2、按Ctrl_Alt_Del,调出任务管理器,结束下列病毒进程:





3、删除下列病毒文件:





4、重启系统。


用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.2.15 Version/10.10
最后编辑baohe 最后编辑于 2010-01-10 19:52:49
分享到:
gototop
 
西藏耗牛
头像
飘泊而立狮
  • 帖子:568
  • 注册: 2009-08-02
  • 来自:火星,不解释
发表于: 2010-01-10 20:22 | 短消息 资料
字号: 2楼

回复:锁定.exe程序的病毒及其查杀

怎么那个ksamain.exe怎么看都像金山清理专家的那个程序
病毒模仿的么
掀起你的头盖骨来,让我看看你的眼~~
电信是个黑心厂商,一天劫持我几十遍
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2010-01-10 20:27 | 短消息 资料
字号: 3楼

回复:锁定.exe程序的病毒及其查杀

模仿的...
gototop
 
木马bbbb
头像
强壮不惑狮
  • 帖子:1168
  • 注册: 2008-02-26
  • 来自:瑞星火星用户
发表于: 2010-01-10 21:00 | 短消息 资料
字号: 4楼

回复:锁定.exe程序的病毒及其查杀

谢谢版主。学习了。
gototop
 
夲號ヱ被ジ盜
头像
叱咤花甲狮
  • 帖子:7083
  • 注册: 2008-08-21
  • 来自:昆仑琼华派
论坛8周年活动礼物就爱不长大论坛9周年纪念冰激凌10温馨圣诞十周年国庆61周年十一周年勋章
发表于: 2010-01-10 22:09 | 短消息 资料
字号: 5楼

回复:锁定.exe程序的病毒及其查杀

猫叔
样本捏?
gototop
 
幽冥残雪
头像
初生襁褓狮
  • 帖子:86
  • 注册: 2010-01-11
  • 来自:黑龙江大庆萨尔图沿湖城
发表于: 2010-01-11 11:01 | 短消息 资料
字号: 6楼

回复:锁定.exe程序的病毒及其查杀

绝对像金山
gototop
 
西藏耗牛
头像
飘泊而立狮
  • 帖子:568
  • 注册: 2009-08-02
  • 来自:火星,不解释
发表于: 2010-01-11 13:22 | 短消息 资料
字号: 7楼

回复:锁定.exe程序的病毒及其查杀

汗死
终于发现这是假的
掀起你的头盖骨来,让我看看你的眼~~
电信是个黑心厂商,一天劫持我几十遍
gototop
 
backway
头像
卡卡反病毒小组
  • 帖子:2473
  • 注册: 2008-11-20
  • 来自:
发表于: 2010-01-11 16:24 | 短消息 资料
字号: 8楼

回复: 锁定.exe程序的病毒及其查杀

没见到样本。。。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun右边窗口显示的exe是允许执行的,HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer右边应该还有个DWORD值RestrictRun吧,这也要删除....否则所有程序都运行不了了
最后编辑backway 最后编辑于 2010-01-11 16:26:08
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-01-11 17:05 | 只看楼主 短消息 资料
字号: 9楼

回复: 锁定.exe程序的病毒及其查杀



引用:
原帖由 backway 于 2010-1-11 16:24:00 发表
没见到样本。。。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun右边窗口显示的exe是允许执行的,HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer右边应该还有个



1、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer————删除此键即可。这个键下并无影响系统及应用程序运行的键值,且用户可以根据实际需要添加自己需要的键值。
2、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun右边窗口显示的exe是允许执行的——————没错。所以,有人中招后将SRENG改名为explorer.exe运行,然后用这个改名后的RSENG解决问题。
gototop
 
backway
头像
卡卡反病毒小组
  • 帖子:2473
  • 注册: 2008-11-20
  • 来自:
发表于: 2010-01-11 17:53 | 短消息 资料
字号: 10楼

回复 9F baohe 的帖子

恩,可以直接删除Explorer整个项,就不用找名为RestrictRun的子项和DWORD值了,只是之后Explorer下的有些配置信息要重新添加,像管理自动播放的NoDriveTypeAutoRun等等。
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT