Torjan program
不知道到是不是这个病毒
上次中了 看了这篇文章后就弄好了
这是个变态的传奇木马。没有手工杀毒经验的朋友还是建议重装系统,这样可能效果更好。
运行病毒文件之后创建以下文件:
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\1.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\explorer.com
C:\WINDOWS\finder.com
C:\WINDOWS\services.exe
修改EXE文件关联。
添加到启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Torjan Program----------C:\WINDOWS\services.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Torjan Program----------C:\WINDOWS\services.exe
修改SYSTEM.INI 原始值应该为shell = Explorer.exe 修改为shell = Explorer.exe 1(实现启动加载Explore.exe后紧接着加载1)
各在磁盘根目录中添加文件autorun.inf,打开磁盘就会激活病毒。
多种方法来启动自己保护自己,比较难查杀。
查杀过程:
下载SREng.exe,并改名为SREng.com SRE的下载地址是:
http://www.kztechs.com/sreng/sreng.zip 运行SREng.com,在“系统修复”→“文件关联”里勾选“.EXE”项(如果EXE关联错误默认就会勾上的)
,并“修复”,恢复EXE文件关联 。然后打开IceSword(下载地址:
http://www.xfocus.net/tools/200509/IceSword_en1.12.rar)
,结束病毒的进程。注意进程里面有两个services.exe,正常的为C:\WINDOWS\system32\services.exe,那么另外一个就是病毒的进程了
。结束了病毒进程之后在IceSword里面打开文件,找到并删除病毒所创建的文件(文章开头列出了这些文件)。打开注册表(开始-运行-regedit) 找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除其中的Torjan Program----------C:\WINDOWS\services.exe
再找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
把其中shell的值改回为shell = Explorer.exe
然后在每个盘的根目录中找autorun.inf文件(先显示隐藏文件和系统文件),找到就删除。
重启之后病毒就不会再出现了。
另外可能病毒杀死后会出现双击IE浏览器系统提示找不到iexplorer.com文件,这个时候你直接选浏览,然后找到iexplorer.exe,确定就可以了。
