|
|
主题: 急救!各位快来帮我看看,我电脑坏了
|
karat
职务:普通成员
等级:1
金币:0.0
发贴:4
|
|
我本無情
职务:普通成员
等级:2
金币:4.0
发贴:590
|
#22004/12/31 13:10:06
你叙述得不太清楚,我分两点解答:
利用MSN Messenger和QQ传播的蠕虫“funny”正在流传。互联网上出现了一个利用MSN Messenger和QQ传播的蠕虫,目前在国内的传播面比较大。由于该蠕虫修改了重要的注册表键值,不恰当地清除蠕虫可能导致系统无法登陆。
该蠕虫在系统上运行后,会进行以下动作:
1、将自身拷贝为:
%SystemRoot%\rundll32.exe
%SystemRoot%\system32\IEXPLORE.EXE
%SystemRoot%\system32\explorer.exe
%SystemRoot%\system32\userinit32.exe
2、修改注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的“Userinit”修改为指向%SystemRoot%\system32\userinit32.exe。在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加运行%SystemRoot%\rundll32.exe的项。
3、修改%system32%\drivers\etc\hosts文件,将大量域名指向222.89.98.219,这样,用户访问这些域名的时候,实际访问的是222.89.98.219。
4、蠕虫会同时运行自身的多个拷贝,如果其中一个进程被中止,则其余进程会立即将它再运行。
5、如果系统运行了QQ或者MSN Messenger,蠕虫会向每一个联系人发送一条消息,包括一句话和一个指向http://www.78p.com/的链接,并试图将自身以文件“funny.exe”传输。
解决方法:
检查是否被感染:检查系统中是否存在文件%SystemRoot%\system32\userinit32.exe,如果存在,则说明可能已经被蠕虫感染。
清除:
对于Windows 2000/XP,请按照下面步骤进行:
1、在命令提示符中输入下列命令,将蠕虫改名:
ren %SystemRoot%\system32\IEXPLORE.EXE IEXPLORE.EXE.vir
ren %SystemRoot%\system32\explorer.exe explorer.exe.vir
ren %SystemRoot%\system32\userinit32.exe userinit32.exe.vir
ren %SystemRoot%\rundll32.exe rundll32.exe.vir
2、修改注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的%SystemRoot%\system32\userinit32.exe修改为%SystemRoot%\system32\userinit.exe。
3、重启系统
4、在命令提示符中输入下列命令,删除蠕虫文件:
del %SystemRoot%\system32\IEXPLORE.EXE.vir
del %SystemRoot%\system32\explorer.exe.vir
del %SystemRoot%\system32\userinit32.exe.vir
del %SystemRoot%\system32\bsfirst2.log
del %SystemRoot%\rundll32.exe.vir
5、修改注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"MMSystem"项。
6、在命令提示符中输入下列命令,修复hosts文件:
type %SystemRoot%\system32\drivers\etc\hosts|find /v "222.89.98.219" > hosts.tmp
copy /Y hosts.tmp %SystemRoot%\system32\drivers\etc\hosts
del hosts.tmp
如果已经不恰当地删除了蠕虫,并导致系统无法正常登陆。请按照如下步骤进行:
1、用Windows 2000(或者Windows XP/2003)安装光盘引导系统,在“欢迎使用安装程序”的界面上按“R”键,选择修复。
2、然后按“C”键选择使用故障恢复控制台。
3、键入一个数字,选择某个Windows 安装,通常是“1”。然后输入管理员密码。
4、进入system32目录,输入命令:
deluserinit32.exe
copy userinit.exe userinit32.exe
5、重启系统,将上面介绍的清除蠕虫的办法再进行一遍。
|
我本無情
职务:普通成员
等级:2
金币:4.0
发贴:590
|
#32004/12/31 13:10:30
二、清除"恶邮差"病毒:
1、使用资源管理器查看进程,注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒(或由病毒生成的后门软件),甚至其它的一切不常见的进程都有可能是,如果不能确定,找一台服务器上的进程来观察(服务器应该不会被感染)。
2、将病毒程序(后门)的进程结束掉,对于不能结束的,可以使用附件中的pskill.exe结束掉(命令格式“pskill 进程名”)。
3、打开“服务”,在服务列表中将没有“描述”服务进行筛选,查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务,依次删掉注册表中的
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BRWWTELK]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prom0n.exe]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Extension]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window Remote Service]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run(Run Services]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(Run Services]……的相关的健值(还有WinVNC的进程,没有记住是什么健值)
4、删掉[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg]
[HKEY_CLASSES_ROOT\Applications\winrpc.exe]的健值,
5、并修改[HKEY_CLASSES_ROOT\txtfile\shell\open\command]的右侧的默认健值为” %SystemRoot%\system32\NOTEPAD.EXE %1”,此时,.txt的文件无法正常打开,可以点击文本文件的右键选择其它方式,选择使用Notepad即可。
6、删掉系统system32目录下的以下程序(大部分可执行程序的大小都为78,848字节): winrpcsrv.exe 、 winrpc.exe 、 wingate.exe 、 syshelp.exe 、 rpcsrv.exe 、 iexplore.exe 、 prom0n.exe(注意中间的是数字0) 、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、 winvnc.exe
7、清空“C:\Documents and Settings\Default User(或Default Uesr..WINNT)\Local Settings\Temporary Internet Files\Content.IE5”目录下除了“desktop.ini”的所有文件,该路径下,发现有一些后门软件。
8、关闭所有目录的完全共享!――这是关闭了该程序还可以通过网络感染的途径。
9、重新启动计算机,观察是否还有类似进程出现,尤其是irftpd.exe,这个程序是由上述第3步的“服务”程序自动生成的。
|
我本無情
职务:普通成员
等级:2
金币:4.0
发贴:590
|
#42004/12/31 13:11:29
还有两种可能和解决方法:
1.正常卸载或者在硬盘上全部删除、然后到注册表里查找11.22bisa的一切关联删除.
2.iexplore.exe如果只有一个而且关闭IE浏览后会自动消失,也不会出“iexplore.exe”这个进程。
编辑历史:[此帖最近一次被 我本無情 编辑过(编辑时间:2004-12-31 13:17:54)]
|
karat
职务:普通成员
等级:1
金币:0.0
发贴:4
|
#52004/12/31 17:44:00
我本無情在上个帖子中说 引用:
还有两种可能和解决方法:
1.正常卸载或者在硬盘上全部删除、然后到注册表里查找11.22bisa的一切关联删除.
2.iexplore.exe如果只有一个而且关闭IE浏览后会自动消失,也不会出“iexplore.exe”这个进程。
哦,知道了,可是你上面讲的我不是很懂,我现在开机时就是桌面上的图标和工具条都没有,右击时什么反应也没有
|
未来
职务:版主
等级:5
金币:10.0
发贴:2730
|
#62004/12/31 18:44:45
中了病毒,先把硬盘挂在别的电脑上杀病毒
|
旭日东升
职务:普通成员
等级:2
金币:1.0
发贴:408
|
#72005/1/1 8:50:37
在任务管理器里运行新的任务,然后在系统盘里找到EXPLPRER。EXE文件
运行它,桌面就回出现,然后再解决其他问题!!
|
