kylinxpz - 2006-2-18 15:31:00
这是最近新出来的一个WOW木马,会修改很多关联信息,和之前的几个传奇木马类似……
主要说一下如何处理:
1. 结束病毒的进程%Windows%\smss.exe
2. 删除相关文件:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
3. 恢复EXE文件关联
删除[HKEY_CLASSES_ROOT\winfiles]项
4. 删除病毒启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1"
为
"shell"="Explorer.exe"
5. 恢复病毒修改的注册表信息:
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
(2)查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe”
(3)查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe”
(4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”
注:在病毒文件没有删除之前所做的一些操作可能会调用激活病毒程序,所以在1和2步之间请尽量不要做多余的其它操作。顺利地删除病毒文件需要一点技巧,可在处理过程中慢慢体会。
我按上面的步骤操作完
还是有那木马在运行
我中的是它的变种吧!
以上说的那个是伪装成SMSS.EXE
而我中的是WINLOGON.EXE
找不到原文件/
哪位大虾帮一下啊
© 2000 - 2025 Rising Corp. Ltd.