|
| 关于”msn.com、msn.dll“木马解决方法 |
| 作者 网络vs浪子 查看 2361 发表时间 2006/9/9 03:02 【论坛浏览】 |
|
这个木马还真有点BT,如果你先修复它所修改的“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon”的"Userinit"="C:\WINDOWS\system32\userinit.exe,,C:\Program Files\winrar\msn.com";就会出现重新启动后,即出现不能进入系统的情况,具体现象为输入用户名和密码,登录后立即注销,再次输入登录则再次注销,如此循环下去。安全模式依然如此!还有就是你的WINRAR解压缩文件没默认安装或没安装就可能不会中此病毒!yeimwt 瑞星报为“Trojan.DL.Delf.czg”诡秘下载者,但偶觉得这是一个变种下载者~yeimwt yeimwt yeimwt 如出现自动注销问题请参考:http://www.20lz.com/Show.asp?id=1805&BoardID=10&TB=1yeimwt yeimwt 查杀方法!yeimwt yeimwt 打任务管理器(Ctrl+Alt+Delete)结束“explorer.exe”进程,这时桌面没有了,然后依次打开“文件-新任务运行-浏览”找到以下可能存在的文件,右击删除!yeimwt yeimwt yeimwt 具体请看二楼![/COLOR]yeimwt yeimwt yeimwt Re:关于”msn.exe、msn.dll“木马解决方法yeimwt 关于这个病毒,今晚偶再次测试了一下终于发现了这么多文件!yeimwt yeimwt 首先偶运行样本里的KKK.EXE,生成如下文件:yeimwt C:\Program Files\WinRAR\msn.comyeimwt C:\Program Files\WinRAR\msn.dllyeimwt C:\Program Files\WinRAR\internat1.exeyeimwt C:\Program Files\WinRAR\internat5.exe (自我删除了)yeimwt C:\Program Files\WinRAR\1.txtyeimwt C:\Program Files\WinRAR\2.txtyeimwt yeimwt %WINDIR%\system32\integer.exeyeimwt %WINDIR%\system32\explore.exeyeimwt %WINDIR%\system32\myrx.dllyeimwt %WINDIR%\system32\myztr.dllyeimwt yeimwt 并修改注册表yeimwt [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]yeimwt "Userinit"="c:\windows\system32\userinit.exe,,C:\Program Files\WinRAR\msn.com"yeimwt yeimwt 也可能在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]添加两个键值,yeimwt yeimwt "rx"="C:\WINDOWS\system32\explore.exe"yeimwt yeimwt "zt"="C:\WINDOWS\system32\integer.exe"yeimwt yeimwt yeimwt 并在电脑共享文件夹内根下生成“_desktop.ini”文件(所有的目录都有)!yeimwt yeimwt yeimwt 手工完全查杀方法!yeimwt yeimwt 断网,yeimwt (1)打开任务管理器(Ctrl+Alt+Delele)结束Explorer.exe,这时桌面没有了,点文件-新任务运行-浏览!(记住文件类型要选为所有文件!)yeimwt (2)删除以上文件!并清空IE临时文件夹!(因为它在%USERPROFILE%\admin\Local Settings\Temporary Internet Files\Content.IE5\KLI7O1U3\文件夹内也生成了几个文件,可能是自我删除了,不过清空一下比较安稳~_~)yeimwt 并再运行一下Explorer.exeyeimwt (3)然后打开CMD命令行(开始-运行-cmd.exe),cd 到C:\Program Files\目录下,输入 attrib -s -h winraryeimwt 重启电脑[/COLOR]yeimwt (4)修复注册表,(开始-运行-regedit),打开到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”yeimwt 在右边的窗口找Userinit,右击把它的值改成“c:\windows\system32\userinit.exe,”(就是去掉后面的“,C:\Program Files\WinRAR\msn.com”!并删除以上说的两个键值~yeimwt 看你是否有共享目录,去目录根下删除“_desktop.ini”(隐藏、系统文件!搜索不到的,用偶们的眼睛去找了-_-,记住是所有目录,里面的内容是日期,比如2006/9/10这样的,可能会让你的打印机自动打这些内容!!或者把以下命令保存为.bat文件运行更简单:yeimwt @echo offyeimwt echo 清除_desktop.ini文件开始yeimwt del c:\_desktop.ini /s /f /q /ayeimwt del d:\_desktop.ini /s /f /q /ayeimwt del e:\_desktop.ini /s /f /q /ayeimwt echo 清除完毕,按任任意键退出&pauseyeimwt exityeimwt [有几个盘自已加上,如果你没有使用共享,直接再exit前面再加上一句 net stop Server)yeimwt yeimwt yeimwt 这样就算杀毒成功啦!! |
| 序号 | 评论者 | 共有评论 4 【论坛浏览】 【发表评论】 | 评论时间 |
| 1 | 爱丽舍 | 回复:关于”msn.exe、msn.dll“木马解决方法 莫非现在有用户出现的启动--重启---重启,就是这个原因 |
2006/10/7 05:47 |
| 2 | 飘摇3616 | 回复:关于”msn.exe、msn.dll“木马解决方法 确实如此.如果你的系统已经出现反复注销的情况,请使用ghost备份进行回复。如果之前没有做备份,请进入纯DOS模式下从安装盘里恢复该文件,命令如下。其中x:为你光驱的盘符。 copy x:\i386\userinit.ex_ c:\windows\system32\userinit.exe /y 如果恢复该文件并不能解决问题,请检查是否有备份的注册表文件,如果有的话在DOS下恢复注册表,实在不行覆盖安装系统,可在不损失任何数据的基础上解决该问题。 |
2006/10/10 06:52 |
| 3 | 爱丽舍 | 回复:关于”msn.exe、msn.dll“木马解决方法 dos下如何恢复注册表呢,什么命令?印象中dos下是不能打开注册表 |
2006/10/14 18:28 |
| 4 | 罂粟摇曳 | 回复:关于”msn.com、msn.dll“木马解决方法 现在病毒这么多 偶上来一会就要切断一会.怕啊~ |
2006/10/17 04:14 |
共有评论数 4 每页显示 10
|
|||
