我中了Backdoor.Win32.Tompai.d病毒,先用瑞星在DOS下杀,又在网上找到了一种杀它的办法,可是都不好用.那个方法如下:
Backdoor.Tompai.b
破坏方法:
1.病毒启动后将自己安装到目录下
%WINDOWS%\SYSTEM\NTDLLF.EXE,%WINDOWS%\SYSTEM\MAINSV.EXE和%WINDOWS%\MAPSERVER.EXE,并且将自己注册为服务进程在后台隐藏运行
2.在注册表中添加下列键值已达到自启动的目的:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Cmpnt"=%WINDOWS%\SYSTEM\NTDLLF.EXE
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
"Ntcheck"=%WINDOWS%\MAPSERVER.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
\RunServices "Shell"=%WINDOWS%\SYSTEM\MAINSV.EXE
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\RunOnce
"Cmpnt"=%WINDOWS%\SYSTEM\MAINSV.EXE
3.病毒还会修改系统的注册表配置如下
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced "HideFileExt"=0X00000001
此项修改后,系统就会将已知的文件扩展名阴惨 (红桃jacker编辑:应该为隐藏)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced "Hidden"=0X00000000
此项修改后,系统会不显示具有隐藏属性的文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced "ShowSuperHidden"=0X00000000
此项修改后,系统会不显示具有系统保护属性的文件,此病毒在系统中的文件就具有隐藏和系统保护的属性。
4.病毒在后台运行,开一个TCP端口24007进行监听
5.此病毒会给远程客户端提供下列的控制功能
回去文件,目录列表
删除文件,
启动运行文件
建立目录
注销中毒计算机
重新系统中毒计算机,
关闭计算机
修改文件和目录的属性...等功能
建议到安全模式下对照清除注册表有关项,最后用瑞星自己的注册表清理工具修复一下。
可是我在注册表中根本没找到有那些程序,跪求各位仁兄帮帮忙啊!!!
