 打印本文  关闭窗口 |
| 清除WINLOGIN.EXE、EXEROUTE.EXE(龍字传奇图标)木马 |
| 时间:2006/8/4 2:33:46 |
|
|
1、使用第三方进程管理软件结束进程:%windir%\winlogin.exe和%windir%\ExERoute.exe 2、将以下注册表键值的rundll32.comfinder.comcommand.pif修改为rundll32.exe HKEY_CLASSES_ROOT\.lnk\ShellNew\\command HKEY_CLASSES_ROOT\.bfc\ShellNew\\command HKEY_CLASSES_ROOT\cplfile\Shell\cplopen\command HKEY_CLASSES_ROOT\dunfile\Shell\open\command HKEY_CLASSES_ROOT\file\Shell\open\command HKEY_CLASSES_ROOT\htmlfile\Shell\Print\command HKEY_CLASSES_ROOT\inffile\Shell\Install\command HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command HKEY_CLASSES_ROOT\scrfile\Shell\Install\command HKEY_CLASSES_ROOT\telnet\Shell\open\command HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command HKEY_CLASSES_ROOT\scrfile\Shell\Install\command HKEY_CLASSES_ROOT\scriptletfile\Shell\GenerateTypelib\command HKEY_CLASSES_ROOT\Unknown\Shell\openas\command HKEY_CLASSES_ROOT\dunfile\Shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SharedTools\MSInfo\ToolSets\MSInfo\hdwwiz\\command 3、将以下键值的iexplore.com修改为iexplore.exe HKEY_CLASSES_ROOT\htmlfile\Shell\open\command HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command HKEY_CLASSES_ROOT\ftp\Shell\open\command 4、将以下键值内容修改为%ProgramFiles%\InternetExplorer\iexplore.exe HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command HKEY_CLASSES_ROOT\http\Shell\open\command 5、将以下键值的explorer1.com改为iexplore.exe HKEY_CLASSES_ROOT\Drive\Shell\find\command 6、将以下键值的默认修改为exefile HKEY_CLASSES_ROOT\.exe 7、将以下键值的Explorer.exe1修改为Explorer.exe HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\Winlogon\\Shell 8、将以下键值的No修改为Yes HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\InternetExplorer\Main\\Check_Associations 9、删除病毒的注册表自启动项 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "TorjanProgram"="%windir%\CSRSS.exe" 10、删除其他无用数据 HKEY_CLASSES_ROOT\winfiles HKEY_CURRENT_USER\SOFTWARE\VBandVBAProgramSettings 11、删除以下文件文件都具有隐藏、系统属性请打开查看所有文件选项 %windir%\1.com %windir%\winlogin.exe %windir%\ExERoute.exe %windir%\explorer1.com %windir%\finder.com %windir%\MSWINSCK.OCX %windir%\Debug\DebugProgram.exe %system%\command.pif %system%\dxdiag.com %system%\finder.com %system%\MSCONFIG.com %system%\regedit.com %system%\rundll32.com %ProgramFiles%\InternetExplorer\iexplore.com %ProgramFiles%\CommonFiles\iexplore.pif 系统盘根目录:\AUTORUN.INF 计算机安全中心.lnk 安全测试.lnk 系统信息管理器.lnk 注意: %windir%是指WINDOWS目录[9x/ME/XP/2003];WINNT目录[2000] %system%是指SYSTEM32目录[2000/XP/2003];SYSTEM目录[9x/ME] 此病毒有可能导致D盘无法正常访问,双击后没有反映,其他盘正常。右键打开D盘,显示“找不到pagefile.pif,指定位置”。有此现象的请参阅下文: |