2007年10月2日

connect to病毒查殺辦法整理

前幾天中了connect to病毒，每次一上網(wǎng)不到5分鐘就彈出一個窗口，還有個十字架，開始菜單里面還有

一個d.上網(wǎng)馬上出現(xiàn)了 connect to的對話框，彈出”connect to”的連接窗口后，二級網(wǎng)頁就無法打開

，影響整個網(wǎng)速．
開始菜單上的 D 文件。在C盤目錄下多了一個十字架的圖標的EXE文件。
并且在重啟電腦登陸的時候老是提示我的存儲空間已滿，不能登陸。

病毒樣式：

于是，我就重啟電腦，按F8,進入帶網(wǎng)絡(luò)連接的安全模式，輸入密碼，進去了。

我用搜索引擎，搜索出來了一些解決辦法，幾經(jīng)折騰，終于搞定了。現(xiàn)在把這些辦法發(fā)給大家，以避免大

家多走彎路，浪費時間。

方法一：殺毒前請先單擊【開始】=》【運行】
在“運行”對話框中輸入“regedit”（不含引號）回車，檢查能否正常打開注冊表編輯器。
如果不能打開，請先按照置頂帖子http://www.dnbst.com/bbs/thread-1789-1-1.html的方法操作修復(fù)注

冊表。
注冊表修復(fù)完畢后或者注冊表編輯器能正常打開請繼續(xù)往下看！

請務(wù)必執(zhí)行以上步驟！否則病毒無法徹底查殺！

為了您方便快捷的對病毒進行根除，特編寫此特殺工具。
下載解壓后重啟系統(tǒng)，進入"安全模式"雙擊執(zhí)行即可！

請下載附件或是復(fù)制以下代碼, 新建個記事本文檔, 粘貼內(nèi)容進去,保存重新命名為*.cmd的文件即可.

CODE:
@echo off
echo ===============================================================================
echo *                       KV用戶系統(tǒng)病毒清理專用工具                            *
echo *                    江民社區(qū) 病毒求助專區(qū) yimike編寫                         *
echo *                         版本:rufeng1111.01                                  *
echo *                   電腦百事通論壇轉(zhuǎn)載 Www.Dnbst.Com/Bbs                      *
echo *                                                                             *
echo *                                使用說明                                     *
echo *   1.為了方便用戶的頑固病毒清理工作，特編寫此工具                            *
echo *   2.本工具具有局限性，不同版本適用于不同用戶不同狀態(tài)的系統(tǒng)                  *
echo *   3.本工具并非商業(yè)軟件，不具有盈利性質(zhì)，因為本工具或使用本工具帶來的任何    *
echo *     損失，本工具作者不負任何責任                                            *
echo *   4.請務(wù)必在安全模式下使用此工具，否則可能無法達到清理效果                  *
echo *   5.請在使用后再次使用Sreng掃描系統(tǒng)日志，發(fā)到江民論壇您的帖子后面作為反饋， *
echo *     這一步非常重要！希望您能夠配合！                                        *
echo *                                                                             *
echo *                                                                             *
echo ===============================================================================
echo 不同意此說明請點擊右上角“×”退出！
echo 已認真閱讀同意以上使用說明并要開始清理系統(tǒng)病毒，按任意鍵繼續(xù)！
pause
cls
echo.
echo *********************
echo 殺毒工作開始...
echo *********************
echo     終止相關(guān)進程...
taskkill /F /IM explorer.exe
echo *********************
echo     開始清理系統(tǒng)垃圾...
del /f /s /a /q %systemdrive%\*.tmp
del /f /s /a /q %systemdrive%\*._mp
del /f /s /a /q %systemdrive%\recycled\*.*
del /f /s /a /q %windir%\*.bak
del /f /s /a /q %windir%\prefetch\*.*
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
del /f /s /a /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /a /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /a /q "%userprofile%\recent\*.*"
echo *********************
echo   系統(tǒng)垃圾清理完畢！
echo *********************
echo     開始清理病毒體...
md "%userprofile%\桌面\！病毒備份！\"
echo 這個文件夾內(nèi)的病毒是您系統(tǒng)內(nèi)病毒的備份！◆◆◆！！！切勿雙擊執(zhí)行！！！◆◆◆>>說明.txt
echo 請將此文件夾使用Winrar加密碼virus壓縮后，使用電子郵件發(fā)送至virusesup@163.com 和

Virus@jiangmin.com>>說明.txt
echo.>>說明.txt
echo WinRAR給文件夾加密方法如下：>>說明.txt
echo 在該文件上點鼠標右鍵，選擇【添加到壓縮文件】=》轉(zhuǎn)到【高級】選項卡，點【設(shè)置密碼】=》以

“virus”（不含引號）作為密碼輸入=》【確定】=》【確定】  即開始壓縮文件。>>說明.txt
echo.>>說明.txt
echo 上傳完畢后即可將此文件夾刪除！>>說明.txt
echo.>>說明.txt
echo ★★★如果經(jīng)過確認您是第一個上報此類病毒的用戶，您將獲得一年的KV序列號一個！★★★>>說

明.txt
copy 說明.txt "%userprofile%\桌面\！病毒備份！\"
del 說明.txt
copy "C:\WINNT\system32\services.exe" "%userprofile%\桌面\！病毒備份！\"
copy "C:\WINNT\iexplore.exe" "%userprofile%\桌面\！病毒備份！\"
copy "C:\WINNT\SYSTEM32\WBEM\EBZBU.DLL" "%userprofile%\桌面\！病毒備份！\"
copy "%SystemRoot%\System32\drivers\ohpbqb.sys" "%userprofile%\桌面\！病毒備份！\"
del /f /a /q "C:\WINNT\system32\services.exe"
del /f /a /q "C:\WINNT\iexplore.exe"
del /f /a /q "C:\WINNT\SYSTEM32\WBEM\EBZBU.DLL"
del /f /a /q "%SystemRoot%\System32\drivers\ohpbqb.sys"
echo *********************
echo   病毒體清理完畢！
echo *********************
echo     開始清理病毒服務(wù)及驅(qū)動...
echo Windows Registry Ecitor Version 5.00>>svrfix.reg
echo.>>svrfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ohpbqb]>>svrfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ohpbqb]>>svrfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ohpbqb]>>svrfix.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ohpbqb]>>svrfix.reg
echo.>>svrfix.reg
start /wait regedit.exe /s svrfix.reg
del svrfix.reg
for %%q in (37762,38168,42643,61322,68828,80618,86104,C7CD4004,Messenger,SHipING,"Microsoft

Internet Explorer") do sc delete %%q
echo *********************
echo   病毒服務(wù)及驅(qū)動清理完畢！
echo *********************
echo     啟動相關(guān)進程...
start explorer.exe
echo *********************
echo 殺毒工作全部結(jié)束！
echo *********************
pause
echo.
cls
echo ******************************************
echo   請重啟系統(tǒng)到正常模式！為保護您的系統(tǒng)，重啟后請做以下2件事情：
echo   1.再次使用Sreng掃描系統(tǒng)，并將掃描日志反饋到江民論壇您的帖子里！
echo   2.打全系統(tǒng)補丁，升級KV2007至最新并進行全盤掃描！
echo ******************************************
pause
echo.

方法二： 設(shè)置顯示隱藏文件[雙擊我的電腦-工具-文件夾選項-查看選項卡-單擊選取"顯示隱藏文件或文

件夾"-取消"隱藏受保護的操作系統(tǒng)文件（推薦）"前的鉤。在提示確定更改時，單擊“是”-單擊“確定

”]
如果不行就試試這個再來操作一次吧  復(fù)制進去你得記事本保存為*.reg的  運行
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidde

n]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
  48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
  00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidde

n\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidde

n\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

方法三

用xdelbox(http://www.i170.com/Attach/51FD704F-C0BD-41E7-B0E9-60673A888FD6 下載)刪除下面文件

（可以批量復(fù)制下面路徑，在抑制再生前打鉤,在要刪除文件上點擊右鍵，選擇立刻重啟刪除）:
c:\winnt\regdll.exe

進到安全模式下[安全模式進入方法:重啟電腦時按住F8 選擇進入安全模式],
運行SREng-在"啟動項目->服務(wù)->"Win32服務(wù)應(yīng)用程序"選中"隱藏已認證的微軟服務(wù)" 然后將下面名稱的

服務(wù)刪除（選中有問題的服務(wù)后，點“刪除服務(wù)”，點“設(shè)置”按鈕即可。  注意彈出的窗口中要點

“NO 否”才是確認刪除服務(wù)）(不能刪除的就禁用:啟動類型改為disabled,點中修改啟動類型，點設(shè)置):
[78476 / 78476]    <\\192.168.45.222\Admin$\eraseme_53123.exe>
[Register DLL Driver / Register DLL Driver]    <"C:\WINNT\regdll.exe">

打全系統(tǒng)安全補丁,設(shè)置足夠強壯的密碼
方法四：

"這個是利用Windows默認共享傳播的蠕蟲病毒，建議關(guān)閉默認共享
這個病毒還會在 C:\Program Files\Common Files\ 下成一個隱藏文件夾，里面同樣有這個十字架的圖標

的EXE
目前我知道的只有卡巴能殺.國產(chǎn)的好象都殺不了.
局域網(wǎng)內(nèi)其他中毒機器最好一起處理，否則容易交叉感染.""

江民論壇鏈接：http://forum.jiangmin.com/dispbbs.asp?

boardid=2&star=2&replyid=1207762&id=486252&skin=0&page=1 ExtraKill下載：

http://forum.jiangmin.com/UploadFile/2007-6/200762121524257.zip

以上是解決connect to病毒的幾種辦法，供大家參考。