好久没有过来了,这次把我手动杀两个病毒的方法发出来吧!
redhat.zf
---------------------------------------------
1. 我的相册.exe
//这个是U盘中病毒后产生的exe文件,如果你到别的未中毒的机器上运行它,呵呵,那台机器应该就......中毒没商量了
创建时间:2005年6月22日, 19:17:54
修改时间:2004年5月12日, 12:35:08
----------------
2.发现中毒,重启电脑,显示U盘无权限,U盘盘符H:也没有了(也就是找到U盘了)
----------------
3.用瑞星查毒,
显示结果:SVCH0ST.EXE >>c:\WINNT\system32\SVCHOST.EXE
Trojan.PSW.Krapsic(计量后院) 删除成功
此时系统出现安装OFFICE界面后消失(应该是调用了Office相关的文件关联了......)
----------------
4.win+F
看一下今天的文件或文件夹有哪些比较可疑
可疑结果:
1.C:\WINNT\Installer\{90280804-6000-11D3-8CFE-0050048383C9}
accicons.exe 创建时间:2005年9月8日, 19:53:24
修改时间:2005年10月3日, 9:11:32
只读,存档
cagicon.exe;
fpicon.exe;
graph.ico;
misc.exe;
opwicon.exe;
outicon.exe;
PEicons.exe;
pptico.exe;
unbndico.exe;
wordicon.exe;
xlicons.exe
2。C:\Documents and Settings\wm\Local Settings\Application
Data\Microsoft\FORMS
C:\Documents and Settings\wm\Local Settings\Application
Data\Microsoft\Outlook 2005年10月3日, 9:11:36
------------------------------------
C:\WINNT\ODBC.INI 修改时间:2005年10月3日, 9:11:34
创建时间:1999年8月29日, 19:42:20
[ODBC 32 bit Data Sources]
MS Access Database=Microsoft Access Driver (*.mdb) (32 λ)
Excel Files=Microsoft Excel Driver (*.xls) (32 λ)
Visual FoxPro Database=Microsoft Visual FoxPro Driver (32 λ)
Visual FoxPro Tables=Microsoft Visual FoxPro Driver (32 λ)
dBASE Files=Microsoft dBase Driver (*.dbf) (32 λ)
[MS Access Database]
Driver32=C:\WINNT\system32\odbcjt32.dll
[Excel Files]
Driver32=C:\WINNT\system32\odbcjt32.dll
[Visual FoxPro Database]
Driver32=C:\WINNT\system32\vfpodbc.dll
[Visual FoxPro Tables]
Driver32=C:\WINNT\system32\vfpodbc.dll
[dBASE Files]
Driver32=C:\WINNT\system32\odbcjt32.dll
------------------------
5。注册表中找"SVCH0ST"
[HKEY_CLASSES_ROOT\Applications\SVCH0ST.EXE]
[HKEY_CLASSES_ROOT\Applications\SVCH0ST.EXE\shell]
"FriendlyCache"="SVCH0ST"
"FriendlyCacheCTime"=hex:00,e6,01,81,da,37,c4,01
[HKEY_CLASSES_ROOT\Applications\SVCH0ST.EXE\shell\open]
[HKEY_CLASSES_ROOT\Applications\SVCH0ST.EXE\shell\open\command]
@="C:\\WINNT\\Help\\SVCH0ST.EXE"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
"View"=hex:2c,00,00,00,00,00,00,00,01,00,00,00,00,83,ff,ff,00,83,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,cc,00,00,00,56,00,00,00,cc,03,00,00,6c,02,00,00,d8,00,00,\
00,91,00,00,00,78,00,00,00,20,01,00,00,01,00,00,00
"FindFlags"=dword:0000000e
"LastKey"="我的电脑\\HKEY_CLASSES_ROOT\\Applications\\SVCH0ST.EXE"
[HKEY_USERS\S-1-5-21-602162358-1202660629-839522115-1002\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
"View"=hex:2c,00,00,00,00,00,00,00,01,00,00,00,00,83,ff,ff,00,83,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,cc,00,00,00,56,00,00,00,cc,03,00,00,6c,02,00,00,d8,00,00,\
00,91,00,00,00,78,00,00,00,20,01,00,00,01,00,00,00
"FindFlags"=dword:0000000e
"LastKey"="我的电脑\\HKEY_CLASSES_ROOT\\Applications\\SVCH0ST.EXE"
上面的这个应该是病毒的注册及调用,删了它吧,"C:\\WINNT\\Help\\SVCH0ST.EXE"这个是他的隐藏路径,
好,再到c:\\winnt\help下删了那个"SVCH0ST.EXE"
------------------------
[HKEY_CLASSES_ROOT\chm.file]
@="已编译的 HTML 帮助文件"
[HKEY_CLASSES_ROOT\chm.file\DefaultIcon]
@="C:\\WINNT\\hh.exe,0"
[HKEY_CLASSES_ROOT\chm.file\shell]
[HKEY_CLASSES_ROOT\chm.file\shell\open]
[HKEY_CLASSES_ROOT\chm.file\shell\open\command]
@="C:\\WINNT\\Help\\SVCH0ST.EXE"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.chm]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.chm\OpenWithList]
"a"="SVCH0ST.EXE"
"MRUList"="a"
上面的是病毒改了*.chm的关联,并也给出了它的隐藏地址,删了上面的反显示值!
注:这时HKEY_CLASSES_ROOT\Applications\hh.exe里的值应该也被改了,或
[HKEY_CLASSES_ROOT\chm.file\DefaultIcon]
@="C:\\WINNT\\hh.exe,0"的值不需改
时间关系,我没有注意它,呵呵......,如果打开*.chm时出问题,可以手工指定一下用c:\\winnt\hh.exe运行就可以了!
---------------------------
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@="C:\\WINNT\\system32\\SVCH0ST.EXE"
//把c:\\winnt\system32\SVCH0ST.EXE设为自动运行,这个也是此病毒的文件,删了它
--------------------------
6。好了,重启一次,U盘可以识别了,删了那个"我的相册.exe"
------------------
7.ok,上述的方法可以把"我的相册.exe"删除了,时间原因,没有找其它的关联文件,如果还有,请指出
3Q
by redhat.zf