致：“霄々”——关于SVOHOST的查杀 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛致：“霄々”——关于SVOHOST的查杀

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

致：“霄々”——关于SVOHOST的查杀

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-09-01 22:20 \| 只看楼主短消息资料字号：小中大 1楼致：“霄々”——关于SVOHOST的查杀你上传的附件是个蠕虫。卡巴斯基报：IM-Worm.Win32.Lewor.n 1、感染系统后的表现：（1）进程列表中出现病毒进程SVOHST.EXE。（2）在系统中创建以下病毒文件： C:\windows\svohost.exe C:\windows\system32\lsasa.exe C:\windows\system32\prnit.exe （3）注册表更改：将HKEY_CLASSES_ROOT\txtfile\shell\open\command分支改为@="C:\\windows\\system32\\lsasa.exe \"%1\"" 将HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main分支的以下键值更改为： "default_page_url"="http://www.joyiex.com" "Default_Search_URL"="http://www.joyiex.com" "First Home Page"="http://www.joyiex.com" "Local Page"="http://www.joyiex.com" "Search Bar"="http://www.joyiex.com" "Search Page"="http://www.joyiex.com" "SearchURL"="http://www.joyiex.com" "Start Page"="http://www.joyiex.com" 将HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs分支的键值改为： "url1"="http://www.joyiex.com" "url2"="http://www.joyiex.com" "url3"="http://www.joyiex.com" 将HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system "DisableTaskMgr"="0"改为"DisableTaskMgr"="1"（锁定任务管理器）。在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run分支下添加： "ctfnom.exe"="C:\\windows\\SVOHOST.exe" 将HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel下的 "HomePage"="0"改为"HomePage"="1" 将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon分支下的 "Shell"="Explorer.exe"改为"Shell"="Explorer.exe prnit.exe" （4）SVOHST.EXE进程时刻监视以下三个注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\"ctfnom.exe"="C:\\windows\\SVOHOST.exe" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"="Explorer.exe prnit.exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\\"DisableTaskMgr"="1" 2、查杀：（1）结束病毒进程SVOHST.EXE。（2）删除病毒文件（见附图）。（3）恢复上述被病毒更改的注册表键值。附件: 文件名:155847200591222016.jpg 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-9-1 22:20:16 描述: 2005-09-01 23:33:56
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

霄々初生襁褓狮帖子:20 注册: 2005-09-01 来自:	发表于： 2005-09-01 23:15 \| 短消息资料字号：小中大 2楼非常感谢，可是怎么改注册表啊
霄々初生襁褓狮帖子:20 注册: 2005-09-01 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-09-01 23:26 \| 只看楼主短消息资料字号：小中大 3楼【回复“霄々”的帖子】恢复被病毒更改的注册表键值。展开：HKEY_CLASSES_ROOT\txtfile\shell\open\command 将@="C:\\windows\\system32\\lsasa.exe \"%1\""改为@="C:\\windows\\system32\\notepad.exe\"%1\"" 将HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main分支的以下键值改为： "default_page_url"="http://www.microsoft.com" "Default_Search_URL"="http://www.microsoft.com" "First Home Page"="http://www.microsoft.com" "Local Page"="http://www.microsoft.com" "Search Bar"="http://www.microsoft.com" "Search Page"="http://www.microsoft.com" "SearchURL"="http://www.microsoft.com" "Start Page"="http://www.microsoft.com" 将HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs分支的键值改为： "url1"="http://www.microsoft.com" "url2"="http://www.microsoft.com" "url3"="http://www.microsoft.com" 将HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system "DisableTaskMgr"="1"改为"DisableTaskMgr"="0" 展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run：删除："ctfnom.exe"="C:\\windows\\SVOHOST.exe" 将HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel下的 "HomePage"="1"改为"HomePage"="0" 将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon分支下的 "Shell"="Explorer.exe prnit.exe"改为"Shell"="Explorer.exe"
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

霄々初生襁褓狮帖子:20 注册: 2005-09-01 来自:	发表于： 2005-09-01 23:32 \| 短消息资料字号：小中大 4楼斑竹真好！！！！！非常感激
霄々初生襁褓狮帖子:20 注册: 2005-09-01 来自:

Micahelf 初生襁褓狮帖子:8 注册: 2005-09-01 来自:	发表于： 2005-09-01 23:33 \| 短消息资料字号：小中大 5楼我的电脑也有这样的情况，怎么样改注册表啊？？
Micahelf 初生襁褓狮帖子:8 注册: 2005-09-01 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT