[原创]troj.lmir2木马病毒及其解决方法
<p>troj.lmir2木马病毒(好象又叫传奇盗号木马或者落雪病毒?)</p><p>中毒特征是:</p><p>1、打开“我的电脑”,在菜单栏上,依次打开“工具/文件夹选项/查看”,</p><p> 把“隐藏受保护的操作系统文件”、“隐藏已知文件类型的扩展名”前的勾去掉;</p><p> 选中“显示所有文件和文件夹”。 </p><p>2、查找电脑中是否有以下文件:</p><p> 每个盘符下的 :autoexec.inf、pagefile.pif;</p><p> 系统文件夹下(一般是 C:\WINDOWS\ 下)的:1.com、ExERoute.exe、explorer.com、finder.com、WINLOGON.EXE;</p><p> 系统文件夹\SYSTEM32下(一般是 C:\WINDOWS\system32 下)的: command 快捷方式、dxdiag.com、finder.com、CONFIG.COM、regedit.com、rundll32.com ;</p><p> C:\Program Files\Internet Explorer的 iexplore.com 。</p><p> 如果有以上大多数文件存在,说明电脑已经中了该木马病毒。</p>[此贴子已经被作者于2006-12-17 19:44:39编辑过] <p>修复方法:</p><p>一:用IceSword(改名为.com的后缀)结束病毒进程(注意是Windows\services.exe,而不是System32\services.exe)</p><p>二:修改注册表:</p><p>--------------------------------------------------------------------------------------</p><p>1. 在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中<br/> shell = Explorer.exe 1 修改为 shell = Explorer.exe</p><p>2.将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的:</p><p> Torjan Program=C:\WINNT\services.exe 删除</p><p>3.删除以下两个无用键值:<br/> HKEY_Classes_root\winfiles<br/> HKEY_Local_machine\software\classes\winfiles</p><p>4,搜索 iexplore.com,改为 iexplore.exe,共有这几项:</p><p> HKEY_CLASSES_ROOT\htmlfile\Shell\open\command<br/> HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command<br/> HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command<br/> HKEY_CLASSES_ROOT\ftp\Shell\open\command</p><p>5,搜索 iexplore.pif 改为 %Program Files%\Internet Explorer\iexplore.exe,共有这几项: <br/> HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open\command<br/> HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command<br/> HKEY_CLASSES_ROOT\http\Shell\open\command</p><p>6. 搜索 explorer.com 改为 iexplore.exe,只有一项:</p><p> HKEY_CLASSES_ROOT\Drive\shell\find\command</p><p>7. 将以下键值的 No 修改为 Yes<br/> HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations</p><p>------------------------------------------------------------------------------------------------</p><p>三:用安全专家IE修复,高级里面文件关联修复。<br/> (或者用SREng.exe,改名SREng.com,运行它,在“系统修复”>>“文件关联”里勾选“.EXE”项,并“修复”,恢复EXE文件关联。)--我是用这个。</p><p>四:用上一贴的方法显示系统文件和隐藏文件,查找并删除以下文件:</p><p> 每个盘符下的 :autoexec.inf、pagefile.pif;</p><p> 系统文件夹下(一般是 C:\WINDOWS\ 下)的:1.com、ExERoute.exe、explorer.com、finder.com、WINLOGON.EXE;</p><p> 系统文件夹\SYSTEM32下(一般是 C:\WINDOWS\system32 下)的: command 快捷方式、dxdiag.com、finder.com、CONFIG.COM、regedit.com、rundll32.com ;</p><p> C:\Program Files\Internet Explorer的 iexplore.com </p><p> c:\program files\Common Files\iexplore快捷方式</p><p></p> 最近病毒很猖獗! 强,偶要中毒,中了,狼来杀,嘻嘻 <p>以下是引用贝贝在2007-1-4 21:17:00的发言:强,偶要中毒,中了,狼来杀,嘻嘻</p><p>没问题,部落的事,我责不旁贷,不过要看好小葵哦,别说我没提醒。</p>
页:
[1]