cuiyi's blog(崔毅 crazycy)
          

          記錄點滴 鑒往事之得失 以資于發展 
          

          

          


          		
	
          

          

          
	
          
		
			
          
				數據加載中……
			
          
		          		
		
			
          
				
					
	
          
		
          
			oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe : 通過移動設備引發的血案
		
          
		
          
		用了2天的時間,終于把這一系列病毒殺光光,方法總結如下,以饗后中招者。
          

          
1 采用ProcessExplorer殺掉如下進程這個是最有效的方式
          
   要采用"kill process tree"項
          

          severe
          
kabuwj
          
conime
          

          
          注解:
          
          

          ProcessExplorer是由Sysinternals 公司出品的優秀的進程查看工具,雖然它不能顯示隱藏進程,但是由于它直觀、清晰的進程查看方式,成為了在分析問題的時候使用率頗高的軟件. 
          
 
          
2 采用autoruns刪掉被病毒屏蔽的軟件
          

          

          

          

severe
          
kabuwj          

          

          

          

          
同時,把autoruns的HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下的所有進程全部刪掉
          

          
注解:
          
Sysinternals公司出品,可查看、刪除注冊表及Win.ini文件等處的自啟動項目。如果懷疑有木馬或病毒或者系統啟動太慢,用本工具看看自啟動項吧。 此新版中,可查看各個用戶的啟動項,而且刪除 Userinit 項目時會發出安全警告,以及其它一些改進,推薦更新! 
          

          
3 采用killbox刪掉進程對應的文件
          

          

          

          

c:
>
windows\system32\severe.exe
          
c:          
>
windows\system32\kabuwj.exe
          
c:          
>
windows\system32\kabuwj.dll 
          
c:          
>
windows\system32\conime.exe
          
如果刪除不掉的如dll,請選擇重起時刪除的選項
          
          

          

          

          

          
4在開始菜單的運行中輸入regedit啟動注冊表
          

          
利用查找功能刪除severe.exe、oso.exe、kabuwj.exe、conime.exe
          
注意:如果出現諸如C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL OSO.exe 之類的,請刪除OSO.exe
          

          
5運行usbcleaner再次殺毒
          

          
          6系統修復與清理
          

          
在注冊表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
          
建議將原CheckedValue鍵刪除,再新建正常的鍵值:"CheckedValue"=dword:00000001
          

          


          
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]  
          
NoDriveTypeAutoRun鍵的值,是否要改,要改為什么,視乎各人所需,一般默認為91(十六進制的)此鍵的含義,請搜索網上資料,在此不再贅述          

          

          
HOSTS文件的清理可以用記事本打開%systemroot%\system32\drivers\etc\hosts,清除被病毒加入的內容,正確的文件如下:
          
127.0.0.1       localhost          


          
          

          

		
          
		
          
			posted on 2007-03-15 21:35 crazycy 閱讀(2498) 評論(2)  編輯  收藏  所屬分類: 常用工具插件 
		
          
	
          
	
	


	


          
	    
    


          

          評論
          
	
	
			
          
				
          
					# re: oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe : 通過移動設備引發的血案  回復  更多評論
					  
				
          
				13日中過一次,上網只有兩個帖子,沒有辦法,重裝。

          19日又中了,上網搜到了這個帖子,按照方法一步一步操作,殺毒成功。

          感謝樓主分享經驗,謝謝!
				
          
					2007-03-19 12:51 | thunderson
				
          
			
          
		
			
          
				
          
					# re: oso & kabuwj & severe & conime & 美女病毒 & 重要文件.exe : 通過移動設備引發的血案[未登錄]  回復  更多評論
					  
				
          
				謝謝樓主的高招呵呵!還有個問題咨詢一下,我根據這幾個步驟查殺了病毒,但一不小心不知把哪個系統文件刪除了,現在控制面板的“外觀和主題”的修改“顯示”功能無法使用,每次點擊都跳出一個空的“C:\WINDOWS\system32\rundll32.exe”文件夾,請問該怎樣解決阿,再次感謝:)
				
          
					2007-04-12 19:04 | 新手上路
				
          
			
          
		

          





          








          

				
			
          
		          		
	
          
	
          
		
			

		
	
          

          


    







          
        
	




主站蜘蛛池模板:
盖州市|
南溪县|
德江县|
从江县|
阿巴嘎旗|
祁东县|
靖边县|
柞水县|
南宁市|
海阳市|
晋江市|
桃园县|
浪卡子县|
沾化县|
嵊泗县|
旅游|
铅山县|
建昌县|
鹤山市|
富锦市|
环江|
大足县|
玛沁县|
忻州市|
灵璧县|
宁乡县|
深圳市|
宽甸|
乌审旗|
黎城县|
玉环县|
平原县|
栾川县|
沁阳市|
铅山县|
怀来县|
保定市|
弥渡县|
高州市|
汾西县|
资阳市|