大家小心!‘最近发生在四川的惨安’的网页有灰鸽子木马病毒!

口哨清凉 · 发表于 2006-7-3 06:41

提示: 作者被禁止或删除内容自动屏蔽

口哨清凉 · 发表于 2006-7-3 08:02

提示: 作者被禁止或删除内容自动屏蔽

mddjc · 发表于 2006-7-3 12:20

杀毒软件报有一个疑似灰鸽子木马,还有一个smss.exe木馬病毒但是杀毒软件杀不了,我是手工查杀的1.灭掉进程smss.exe病毒程序在c:\windows\下( windows的系统进程中也含有关键进程smss.exe，不过它们存在于c:\windows\system 或\system32目录下) 2. 删除相关文件： C:\MSCONFIG.SYS %Windows%\1.com %Windows%\ExERoute.exe %Windows%\explorer.com %Windows%\finder.com %Windows%\smss.exe %Windows%\Debug\DebugProgram.exe %System%\command.pif %System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM %System%\regedit.com %System%\rundll32.com %ProgramFiles%\Internet Explorer\iexplore.com %ProgramFiles%\Common Files\iexplore.pif 3. 恢复EXE文件关联 删除[HKEY_CLASSES_ROOT\winfiles]项 4. 删除病毒启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Torjan Program"="%Windows%\smss.exe" 修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下 "shell"="Explorer.exe 1" 为 "shell"="Explorer.exe" 5. 恢复病毒修改的注册表信息： (1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe” (2)查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe” (3)查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe” (4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe” 在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”，编辑右边“Shell”的内容，修改为“Explorer.exe”。在进行过第二项操作后，如果exe关联出现了错误，每当开打exe执行文件的时候就会出现“执行操作关联”的对话框，   打开“文件夹选项”，在“关联里面”添加exe关联“应用程序”），接着就可以了                      或者复制WINDOWS目录下的regedit.exe到桌面并改名为regedit.com，然后打开注册表，找到下列分支：HKEY_CLASSES_ROOT\exefile\shell\open\command，双击右侧窗口中的             (默认) 值，设置为 "%1" %* [包含引号]             再找到:             HKEY_CLASSES_ROOT\.exe             双击右侧窗口中的 (默认) 值，设置为 exefile             然后退出注册表编辑器，重启电脑             方法三：复制WINDOWS\system32目录下的cmd.exe到桌面并改名为cmd.com             命令行中，依次执行以下命令：             ftype exefile="%1" %* [包含引号](回车)             assoc .exe=exefile             重启电脑。                                             system32下还有个a.exe也要删除！ 其中可能有几个找不到，没关系，还可以找相同时间的文件出来删之的方法（比如一木马的时间是2006-7-3日用系统搜索功能(注意打开隐藏文件)搜索所有2006-7-3创建的文件,删掉其中的.EXE  .COM之类的文件,注意分辨好是不是系统文件别删错了  如果没找到，那最好了，说明他已经不存在了。               ［此帖子已被 mddjc 在 2006-7-3 12:37:24 编辑过］

口哨清凉 · 发表于 2006-7-3 15:43

提示: 作者被禁止或删除内容自动屏蔽

		自动登录	找回密码
密码			注册社区

口哨清凉口哨清凉当前离线积分 1041 IP卡狗仔卡	发表于 2006-7-3 06:41 \| 显示全部楼层 \|阅读模式提示: 作者被禁止或删除内容自动屏蔽
口哨清凉口哨清凉当前离线积分 1041 IP卡狗仔卡
	回复使用道具举报提升卡置顶卡沉默卡喧嚣卡变色卡显身卡

口哨清凉口哨清凉当前离线积分 1041 IP卡狗仔卡	楼主\| 发表于 2006-7-3 08:02 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
口哨清凉口哨清凉当前离线积分 1041 IP卡狗仔卡
	回复支持反对使用道具举报显身卡

口哨清凉口哨清凉当前离线积分 1041 IP卡狗仔卡	楼主\| 发表于 2006-7-3 15:43 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
口哨清凉口哨清凉当前离线积分 1041 IP卡狗仔卡
	回复支持反对使用道具举报显身卡

大家小心!‘最近发生在四川的惨安’的网页有灰鸽子木马病毒!

Re:大家小心!‘最近发生在四川的惨安’的网页有灰鸽子木马病毒!