清除WINLOGIN.EXE、EXEROUTE.EXE(龍字传奇图标)木马
1、使用第三方进程管理软件结束进程:%windir%\winlogin.exe和%windir%\ExERoute.exe
2、将以下注册表键值的rundll32.comfinder.comcommand.pif修改为rundll32.exe
HKEY_CLASSES_ROOT\.lnk\ShellNew\\command
HKEY_CLASSES_ROOT\.bfc\ShellNew\\command
HKEY_CLASSES_ROOT\cplfile\Shell\cplopen\command
HKEY_CLASSES_ROOT\dunfile\Shell\open\command
HKEY_CLASSES_ROOT\file\Shell\open\command
HKEY_CLASSES_ROOT\htmlfile\Shell\Print\command
HKEY_CLASSES_ROOT\inffile\Shell\Install\command
HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command
HKEY_CLASSES_ROOT\scrfile\Shell\Install\command
HKEY_CLASSES_ROOT\telnet\Shell\open\command
HKEY_CLASSES_ROOT\InternetShortcut\Shell\open\command
HKEY_CLASSES_ROOT\scrfile\Shell\Install\command
HKEY_CLASSES_ROOT\scriptletfile\Shell\GenerateTypelib\command
HKEY_CLASSES_ROOT\Unknown\Shell\openas\command
HKEY_CLASSES_ROOT\dunfile\Shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\SharedTools\MSInfo\ToolSets\MSInfo\hdwwiz\\command
3、将以下键值的iexplore.com修改为iexplore.exe
HKEY_CLASSES_ROOT\htmlfile\Shell\open\command
HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command
HKEY_CLASSES_ROOT\ftp\Shell\open\command
4、将以下键值内容修改为%ProgramFiles%\InternetExplorer\iexplore.exe
HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command
HKEY_CLASSES_ROOT\http\Shell\open\command
5、将以下键值的explorer1.com改为iexplore.exe
HKEY_CLASSES_ROOT\Drive\Shell\find\command
6、将以下键值的默认修改为exefile
HKEY_CLASSES_ROOT\.exe
7、将以下键值的Explorer.exe1修改为Explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\Winlogon\\Shell
8、将以下键值的No修改为Yes
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\InternetExplorer\Main\\Check_Associations
9、删除病毒的注册表自启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"TorjanProgram"="%windir%\CSRSS.exe"
10、删除其他无用数据
HKEY_CLASSES_ROOT\winfiles
HKEY_CURRENT_USER\SOFTWARE\VBandVBAProgramSettings
11、删除以下文件文件都具有隐藏、系统属性请打开查看所有文件选项
%windir%\1.com
%windir%\winlogin.exe
%windir%\ExERoute.exe
%windir%\explorer1.com
%windir%\finder.com
%windir%\MSWINSCK.OCX
%windir%\Debug\DebugProgram.exe
%system%\command.pif
%system%\dxdiag.com
%system%\finder.com
%system%\MSCONFIG.com
%system%\regedit.com
%system%\rundll32.com
%ProgramFiles%\InternetExplorer\iexplore.com
%ProgramFiles%\CommonFiles\iexplore.pif
系统盘根目录:\AUTORUN.INF
计算机安全中心.lnk
安全测试.lnk
系统信息管理器.lnk
注意:
%windir%是指WINDOWS目录[9x/ME/XP/2003];WINNT目录[2000]
%system%是指SYSTEM32目录[2000/XP/2003];SYSTEM目录[9x/ME]
此病毒有可能导致D盘无法正常访问,双击后没有反映,其他盘正常。右键打开D盘,显示“找不到pagefile.pif,指定位置”。有此现象的请参阅下文:
相关文章:
- [2017年05月14日]勒索病毒肆虐,带给我们怎样的反思?
- [2014年03月06日]新电脑病毒“空气”传播近距离感染
- [2012年10月18日]盘点史上最火爆的五次黑客攻击
- [2012年06月05日]火焰病毒
- [2011年12月17日]警惕摆渡病毒:不知不觉窃走你的隐私
- [2011年11月18日]几种常见CAD lisp病毒查杀方法
- [2011年11月18日]关于lisp病毒的清除方法
- [2011年10月16日]病毒软件诈骗帝国:恐吓软件刺激疯狂销售
- [2011年08月28日]轻松搞定病毒之病毒的防治策略
- [2011年08月28日]“恶邮差”病毒死灰复燃 变种突袭杀毒软件