该木马会盗取用户各种密码,暂未被最新卡巴病毒库查杀!哪宏
该木马的主文件是winlogon.exe,exeRoute.exe是木马生成与死而复生程序!exeRoute.exe文件修改系统exe文件关联,创建新的关联winfiles,并把exe的关联指向该winfiles新关联。还会生成所有系统常用程序的com同名文件,如regedit.com,explorer.com,msconfig.com等等,并生成1.com,2.com,winlogon.exe,这样使用主木马winlogon.exe潜在无数处复活的机会!其作者可谓用尽心机!
该木马由于跟exe关联,即意味着每运行一个exe就得运行exeroute.exe木汪如马程序,故而对系统资源消耗较大,并造成系统极不稳定!
清除方法1:
清除CSRSS.EXE、EXEROUTE.EXE(龙字传奇图标)木马病毒
清除CSRSS.EXE、EXEROUTE.EXE(龙字传奇图标)木马病毒
这是个变种,这个的变化好像是一个病毒文件名改了,从上次的%Windows%services.exe变成这次的%Windows%csrss.exe。
1、使用第三方进程管理软件结束进程:%windir%CSRSS.exe 和 %windir%ExERoute.exe
2、将以下注册表键值的 rundll32.com finder.com command.pif 修改为 rundll32.exe
HKEY_CLASSES_ROOT.lnkShellNewcommand
HKEY_CLASSES_ROOT.bfcShellNewcommand
HKEY_CLASSES_ROOTcplfileShellcplopencommand
HKEY_CLASSES_ROOTdunfileShellopencommand
HKEY_CLASSES_ROOTfileShellopencommand
HKEY_CLASSES_ROOThtmlfileShellPrintcommand
HKEY_CLASSES_ROOTinffileShellInstallcommand
HKEY_CLASSES_ROOTInternetShortcutShellopencommand
HKEY_CLASSES_ROOTscrfileShellInstallcommand
HKEY_CLASSES_ROOTtelnetShellopencommand
HKEY_CLASSES_ROOTInternetShortcutShellopencommand
HKEY_CLASSES_ROOTscrfileShellInstallcommand
HKEY_CLASSES_ROOTscriptletfileShellGenerate Typelibcommand
HKEY_CLASSES_ROOTUnknownShellopenascommand
HKEY_CLASSES_ROOTdunfileShellopencommand
HKEY_LOCAL_MACHINESOFTWAREMICROSOFTShared ToolsMSInfoToolSetsMSInfohdwwizcommand
3、将以下键值的 iexplore.com 修改为 iexplore.exe
HKEY_CLASSES_ROOThtmlfileShellopencommand
HKEY_CLASSES_ROOTApplicationsiexplore.exeShellopencommand
HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}ShellOpenHomePagecommand
HKEY_CLASSES_ROOTftpShellopencommand
4、将以下键值内容修改为 %Program Files%Internet Exploreriexplore.exe
HKEY_CLASSES_ROOThtmlfileShellopennewcommand
HKEY_CLASSES_ROOThttpShellopencommand
5、将以下键值的 explorer1.com 改为 iexplore.exe
HKEY_CLASSES_ROOTDriveShellfindcommand
6、将以下键值的 默认 修改为 exefile
HKEY_CLASSES_ROOT.exe
7、将以下键值的 Explorer.exe 1 修改为 Explorer.exe
HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWS NTCURRENTVERSIONWinlogonShell
8、将以下键值的 No 修改为 Yes
HKEY_CURRENT_USERSOFTWAREMICROSOFTInternet ExplorerMainCheck_Associations
9、删除病毒的注册表自启动项
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Torjan Program"="%windir%CSRSS.exe"
10、删除其他无用数据
HKEY_CLASSES_ROOTwinfiles
HKEY_CURRENT_USERSOFTWAREVB and VBA Program Settings
11、删除以下文件 文件都具有隐藏、系统属性 请打开查看所有文件选项
%windir%1.com
%windir%CSRSS.exe
%windir%ExERoute.exe
%windir%explorer1.com
%windir%finder.com
%windir%MSWINSCK.OCX
%windir%DebugDebugProgram.exe
%system%command.pif
%system%dxdiag.com
%system%finder.com
%system%MSCONFIG.com
%system%regedit.com
%system%rundll32.com
%Program Files%Internet Exploreriexplore.com
%Program Files%Common Filesiexplore.pif
系统盘根目录:AUTORUN.INF
计算机安全中心.lnk
安全测试.lnk
系统信息管理器.lnk
注意:
%windir% 是指 WINDOWS 目录 [9x/ME/XP/2003];WINNT 目录 [2000]
%system% 是指 SYSTEM32 目录 [2000/XP/2003];SYSTEM 目录 [9x/ME]
变种:
在temp目录删除 传世文件.exe , 梦幻文件.exe 文件
在%system% 删除 temp329.exe temp339.exe 好像是这个名字
在 %Program Files%Internet Explorer 下, 有INTEXPLORE.com
删除 c:windowsWINLOGON.EXE
清除方法2:
1.准备工作,下载SREng.exe,并改名为SREng.com下载地址:http://www.kztechs.com/sreng/download.html
2.运行ProceXP结束%Windows%\services.exe病毒进程(最好也将ProceXP.exe改名为ProceXP.com再运行,如果不改也没有多大关系。病毒感染系统后把EXE文件关联到%Windows%\ExERoute.exe,运行ProceXP.exe后%Windows%\ExERoute.exe会被调用并运行%Windows%\services.exe,等%Windows%\ExERoute.exe自动退出后再结束%Windows%\services.exe即可)注:要注意的是,结束的病毒进程是%Windows%\services.exe,不是System32\services.exe(系统进程),大家可以从路径和它们的图标来区分。
3.运行SREng.com,在“系统修复”>>“文件关联”里勾选“.EXE”项,并“修复”,恢复EXE文件关联
4.结束病毒进程后分别找到以下病毒文件和病毒生成的文件,删除它们:C:\autorun.inf
%ProgramFiles%\CommonFiles\iexplore.pif
%ProgramFiles%\InternetExplorer\iexplore.com
%Windows%\1.com%Windows%\ExERoute.exe%Windows%\explorer.com%Windows%\finder.com%Windows%\MSWINSCK.OCX(VB库文件,可以不删除)
%Windows%\services.exe%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
开始菜单\程序\下的:计算机安全中心.lnk安全测试.lnk系统信息管理器.lnk注:直接从“我的电脑”或“资源管理器”里找,或者通过“搜索”查找,在那些病毒文件没有被删除之前,不要做其它任何多余的 *** 作。
5.打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
6.查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
7.查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
8.查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\CommonFiles\iexplore.pif”的信息,把这内容改为“C:\ProgramFiles\InternetExplorer\iexplore.exe”
9.删除病毒添加的文件关联信息和启动项:
[HKEY_CLASSES_ROOT\winfiles][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"TorjanProgram"="%Windows%\services.exe"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]"TorjanProgram"="%Windows%\services.exe"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]"Shell"="Explorer.exe1"改为"Shell"="Explorer.exe"
10.这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:HKEY_CLASSES_ROOT\MSWinsock.WinsockHKEY_CLASSES_ROOT\MSWinsock.Winsock.1HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的 *** 作,以免激活病毒。
这样的情况你可以使用360系统急救箱来处理。具体步骤如下:1、双击360系统急救箱,然后单击“开始系统急救”。 2、系统引擎初始化完成后,单击“修复宴迟册”,勾旦毁选需要修复晌宏的类型,然后单击“立即修复”,完成后重新启动电脑。如果你不知道属于哪一类故障不懂得应该修复哪一类可以使用系统推荐的修复级别,不用选择而直接单击“立即修复”,或者勾选“全选”然后直接单击“立即修复”。三种方法,一个一个的试适用于win2000/xp
1、重新启动电脑按F8进入带命令提示行的安全模式;
2、执行这个命令 assoc .exe=exefile(注意:assoc与.exe之间有一空格),屏幕显示“.exe=exefile”。
3、现在关闭命令提示符窗口,按[Ctrl+Alt+Del]组合键调出“Windows安全”窗口,按[关机]按钮后选择“重新启动”选配桐项,按正常模式启动后, 所有的EXE文件都能正常运行了
只要能进入"我的电脑",这样:
工具->文件夹选项->文件类型
点"新建",输入"exe"(无分号),点高级,选"应用程序",确定.
你可以到其锋简它的电银卖裤脑上面同一个系统下,搜索一下这个文件,将其拷贝到你的电脑中的同一个文件夹中看一下,应该可以解决!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)