昨天删了一下午,是按照下面两种方法的综合做的……贴出来,让遭受过磨难的人们,学习一下……
转贴:
删除exeroute.exe名病毒过程,昨天亲自做的
1. 在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中
shell = Explorer.exe 1 修改为shell = Explorer.exe
2.将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的Torjan Program----------C:\WINNT\services.exe删除
3.用IceSword(改名为.com的后缀)结束病毒进程(是Windows\services.exe,不是System32\services.exe)
4.用安全专家IE修复,高级里面文件关联修复。
(或者用SREng.exe,改名SREng.com,运行它,在“系统修复”>>“文件关联”里勾选“.EXE”项,并“修复”,恢复EXE文件关联。)
5.搜索日期为:2005-8-19 大小:156KB的文件(这个是病毒生成的文件共同特性),可以搜索到如下文件:
program files\common files\iexplore.pif 2005-8-19 156kB
program files\Internat explorer\iexplore.com 2005-8-19 156kB
windows\1.com 2005-8-19 156kB
windows\exeroute.exe 2005-8-19 156kB
windows\explorer1.com 2005-8-19 156kB
windows\finder.com 2005-8-19 156kB windows\services.exe 2005-8-19 156kB
windows\system32\command.pif 2005-8-19 156kB
windows\system32\dxdiag.com 2005-8-19 156kB
windows\system32\finder.com 2005-8-19 156kB
windows\system32\msconfig.com 2005-8-19 156kB
windows\system32\regedit.com 2005-8-19 156kB
windows\system32\rundll32.com 2005-8-19 156kB
把它们都删除。
6.打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
中了个木马(Trojan Horse)
关键词尾 exeroute,NtDhcp 的病毒---建议直接重装机器
这个后门共产生14个文件+3个快捷图标+2个文件夹。
注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。这个病毒释放了很多病毒文件,还修改了很多注册表信息,经过一番处理,现在推荐以下步骤操作:
1. 准备工作,下载SREng.exe,并改名为SREng.com 下载地址: http://www.kztechs.com/sreng/download.html
2. 运行ProceXP结束%Windows%\services.exe病毒进程(最好也将ProceXP.exe改名为ProceXP.com再运行,如果不改也没有多大关系。病毒感染系统后把EXE文件关联到%Windows%\ExERoute.exe,运行ProceXP.exe后%Windows%\ExERoute.exe会被调用并运行%Windows%\services.exe,等%Windows%\ExERoute.exe自动退出后再结束%Windows%\services.exe即可) 注:要注意的是,结束的病毒进程是%Windows%\services.exe,不是System32\services.exe(系统进程),大家可以从路径和它们的图标来区分。
3. 运行SREng.com,在“系统修复”>>“文件关联”里勾选“.EXE”项,并“修复”,恢复EXE文件关联
4. 结束病毒进程后分别找到以下病毒文件和病毒生成的文件,删除它们:
C:\autorun.inf
%ProgramFiles%\Common Files\iexplore.pif
%ProgramFiles%\Internet Explorer\iexplore.com
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\MSWINSCK.OCX(VB库文件,可以不删除)
%Windows%\services.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
开始菜单\程序\下的: 计算机安全中心.lnk 安全测试.lnk 系统信息管理器.lnk
注:直接从“我的电脑”或“资源管理器”里找,或者通过“搜索”查找,在那些病毒文件没有被删除之前,不要做其它任何多余的操作。
5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
9. 删除病毒添加的文件关联信息和启动项:
[HKEY_CLASSES_ROOT\winfiles]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1" 改为 "Shell"="Explorer.exe"
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除: HKEY_CLASSES_ROOT\MSWinsock.Winsock HKEY_CLASSES_ROOT\MSWinsock.Winsock.1 HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D} HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒。