HolySword - 2005-8-20 20:36:00
| 引用: |
【末裔贵族的贴子】
两个程序应该是
瑞星只能够查出CSRSS。EXE,其实还有一个就是有传奇标志的程序在C:\WINDOWS\Debug下
至于帖图,就是发帖回帖是“文件上传”的那项,如果是从别的地方连接图片过来,就是在样式那行,最后一项“帖图”!
........................... |
问题解决了吗,我的问题有照旧了,就是你图上的家伙。有没有具体解决的方法阿
另外,我用木马克星可以轻易的查出这几个木马,但我没注册,没法杀,就等着瑞星能干它了
HolySword - 2005-8-20 20:40:00
| 引用: |
【明月映宇星的贴子】请问一下怎么把图片贴上来啊,用什么工具。
........................... |
标准模式 回复
用附件
我是只小菜鸟 - 2005-8-20 20:52:00
顶一下!!
末裔贵族 - 2005-8-20 21:27:00
| 引用: |
【HolySword的贴子】
问题解决了吗,我的问题有照旧了,就是你图上的家伙。有没有具体解决的方法阿
另外,我用木马克星可以轻易的查出这几个木马,但我没注册,没法杀,就等着瑞星能干它了
........................... |
给你个注册码
用户名:Anwil
注册码:1033063917
(如果喜欢软件,请购买正版)
你最好在安全模式下清除,然后,去掉C盘根目录下的Autorun.inf文件,再去掉启动项中c:\windows\csrss.exe
重起后,看看效果,顺便你再检测一下,直接双击C盘有问题吗?打开一些程序有问题吗?
HolySword - 2005-8-20 21:32:00
【回复“末裔贵族”的帖子】
谢谢啦
末裔贵族 - 2005-8-20 21:36:00
不客气,我现在暂时不出现那个问题了,只是双击C盘是提示“c:\应用程序无法在win32模式下运行”,你清楚完看看有没有这样的问题!
末裔贵族 - 2005-8-20 22:36:00
糟糕,我重起后,有来了!!!
末裔贵族 - 2005-8-21 11:55:00
还没有解决的可以看看下帖,如果看不懂,那就重装系统吧
http://forum.ikaka.com/topic.asp?board=28&artid=7040084
我用了一个很像那个帖子的方法,前后试了2、3遍,今天开机就好了,如果还是希望手工修改的朋友,跟帖一下,我可以把我修改的步骤发上来,大家交流一下!!
HolySword - 2005-8-21 12:35:00
我想手动修改
末裔贵族 - 2005-8-21 14:55:00
你病毒清除干净了吗?上面说的那个帖子看的懂吗?
末裔贵族 - 2005-8-21 22:04:00
修改方法如下:
1.进入带引导符的安全模式下,输入
assoc<空格>.exe=exefile
然后退出重起。(也可以用System Repair Engineer名字是SREng.exe 的软件修改关联,记得把软件后缀改为.com)
(以下可以在安全模式下进行)
结束病毒进程csrss.exe exerout.exe(不要结束system32下的)
2.通过“搜索”找到它们,删除它们:
C:\autorun.inf(注意不要用双击的方式进入C盘,否则又会激活)
%Programfiles%\Internet Explorer\iexplore.com
%Programfiles%\Common Files\iexplore.pif
%Windows%\1.com
%Windows%\csrss.exe
%Windows%\ExERoute.exe
%Windows%\explorer1.com
%Windows%\finder.com
%Windows%\MSWINSCK.OCX
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\msconfig.com
%System%\regedit.com
%System%\rundll32.com
“开始”>>“程序”\安全测试.lnk
“开始”>>“程序”\计算机安全中心.lnk
“开始”>>“程序”\系统信息管理器.ink
3.HKEY_Classes_root\.exe
默认值 winfiles 改为exefile
分别查找“finder.com”、“rundll32.com”、“command.pif”的信息,把找到值中的“finder.com”、“rundll32.com”、“command.pif”改为“rundll32.exe”
查找“iexplore.com”的信息,把找到值中的“iexplore.com”改为“iexplore.exe”;
查找“iexplore.pif”的信息,把找到值中类似“%ProgramFiles%\Common Files\iexplore.pif”的信息改为类似“%ProgramFiles%\Internet Explorer\iexplore.exe”
查找“explorer1.com”的信息,把找到值中的“explorer1.com”改为“explorer.exe”
4.最后删除病毒启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\CSRSS.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\CSRSS.exe"
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
删除[HKEY_CLASSES_ROOT\winfiles]项
重启!
注意:记得在修改的过程中,不要随便打开别的文件,因为这个病毒会修改许多格式文件的关联,而且记得在删除修改前,一定要结束csrss.exe exerout.exe进程,删除C:\autorun.inf时,最好打开资料管理器,从列表中进入C盘。
搜索文件时,要取消“隐藏受系统保护的文件”选项!
1234567111 - 2005-8-21 22:05:00
顶
© 2000 - 2026 Rising Corp. Ltd.