 |
| 等 级:资深长老 |
| 经 验 值:12482 |
| 魅 力 值:724 |
| 龙 币:11803 |
| 积 分:8895.7 |
| 注册日期:2002-12-05 |
| |
|
|
|
看看是不是这个病毒
(以下内容来源:该网址不再展示 )
处理:文件夹图标病毒 web.exe
病毒文件为文件夹图标的EXE文件,使用文件夹图标诱骗大家双击运行它,并修改注册表隐藏文件扩展名使之看上去更像一个“文件夹”。
病毒释放文件:
各分区根目录\web.exe(文件夹图标)
%Windows%\h00kdll.dll
%Windows%\assistse.exe(文件夹图标)
%Windows%\services.exe(文件夹图标)
%Windows%\uninstall.exe(文件夹图标)
%System%\share.txt
建立启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Net"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Net"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"Load"="%Windows%\assistse.exe"
修改[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]下边"HideFileExt"的值为1(dword:00000001),隐藏文件扩展名。
尝试使用net stop和ntsd -c q -p命令停止反病毒软件服务、结束反病毒软件进程:
rfwmain.exe
rfwsrv.exe
RAVTIMER.EXE
RAVMON.EXE
KVSRVXP.EXE
KREGEX.EXE
TROJDIE.KXP
KVMONXP.KXP
处理清除
结束进程里的病毒进程:%Windows%\services.exe
注:不是%Windows%\System32\services.exe
删除病毒文件:
各分区根目录\web.exe(文件夹图标)
%Windows%\h00kdll.dll
%Windows%\assistse.exe(文件夹图标)
%Windows%\services.exe(文件夹图标)
%Windows%\uninstall.exe(文件夹图标)
%System%\share.txt
从“文件夹选项”里“查看”,去掉“隐藏已知文件类型的扩展名”勾选,显示出文件扩展名来;
或者到注册表编辑器修改[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]下边"HideFileExt"的值为0(dword:00000000)
删除病毒的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Net"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Net"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"Load"="%Windows%\assistse.exe"
注:%Windows%\h00kdll.dll会插入一些进程,如果无法直接删除可将其改名,等重启计算机后再删除改名后的%Windows%\h00kdll.dll。
|
| |
|
|
2005-08-08 13:22:12
