扫一扫
关注微信公众号

可疑进程(木马)的手动杀除方法合集
2007-05-17   赛迪网技术社区

csrss - csrss.exe - 进程信息

进程文件: csrss 或者 csrss.exe

进程名称: Microsoft Client/Server Runtime Server Subsystem

描述:

csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。 注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。

出品者: Microsoft Corp

属于: Microsoft Windows Operating System

系统进程: 是 后台程序:是 使用网络: 否 硬件相关: 否

常见错误: 未知N/A 内存使用:未知N/A ? 安全等级 (0-5): 0

间谍软件: 否 广告软件:否 病毒: 否 木马: 否



正常情况下在 Windows NT/2000/XP/2003 系统中只有一个 csrss.exe 进程,正常位于 System32 文件夹中,若以上系统中出现两个 csrss.exe 进程(其中一个位于 Windows 文件夹中),或在 Windows 9X/Me 系统中出现该进程,则是感染了病毒。真正的csrss.exe只有4k;位于C:\Windows\Syetem32下。csrss.exe木马,在C:\Windows下,大小52736字节;生成netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节,另两个大小也是52736字节。前两个位于C:\Windows\System32下,后两个在当前用户的Temp文件夹里。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值,注销重登录,该进程消失,再删除生成的文件。



explorer - explorer.exe - 进程信息

进程文件: explorer 或者 explorer.exe

进程名称: Microsoft Windows Explorer

描述:

explorer.exe是Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致Windows图形界面无法适用。注意:explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。该进程的安全等级是建议删除。

出品者: Microsoft Corp.

属于: Microsoft Windows Operating System

系统进程: 是 后台程序:是 使用网络: 否 硬件相关: 否

常见错误: 未知N/A 内存使用:未知N/A ? 安全等级 (0-5): 0

间谍软件: 否 广告软件:否 病毒: 否 木马: 否

这个木马进入计算机后,产生主要的三个文件是:interapi32.dll,interapi64.dll,exp1orer.exe特别狡猾的是容易和Explorer.exe混淆。它是数字1不是字母l。这个病毒入驻进程以后,会大量的消耗系统资源,并会跟着资源管理器一同启动。杀除方法如下:
1、关闭Xp系统的还原功能。具体的可以进入组策略查找或是右击我的电脑属性,关闭系统还原功能。
2、然后在运行键入regedit,打开注册表编辑器。删除以下键值
[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}]
@="hookmir"



[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}\\InprocServer32]
@="C:\\\\WINNT\\\\system32\\\\interapi64.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}\\ProgID]
@="interapi64.classname"
[HKEY_CLASSES_ROOT\\interapi64.classname]
@="hookmir"

[HKEY_CLASSES_ROOT\\interapi64.classname\\Clsid]
@="{081FE200-A103-11D7-A46D-C770E4459F2F}"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]
"{081FE200-A103-11D7-A46D-C770E4459F2F}"="hookmir"
3、重新启动系统,进入文件夹选项菜单,单击查看选项卡,显示隐藏的文件和文件夹,显示系统文件,扩展名。然后在Windows/WINNT(2000/NT)/system32下找到interapi32.dll,interapi64.dll,exp1orer.exe三个文件,将其删除就可以了。
(注:exp1orer.exe伪装成了jpg的图片格式图标。小心谨慎。还有文件夹选项卡在杀除病毒后可以自己把它改回到原来的状态) iexplore - iexplore.exe - 进程信息

进程文件: iexplore 或者 iexplore.exe

进程名称: Microsoft Internet Explorer

描述:

iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分,这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒,该病毒会终止你的反病毒软件,和一些Windows系统工具,该进程的安全等级是建议删除。

出品者: Microsoft Corp.

属于: Microsoft Internet Explorer

系统进程: 是 后台程序:否 使用网络: 是 硬件相关: 否

常见错误: 未知N/A 内存使用:未知N/A ? 安全等级 (0-5): 0

间谍软件: 否 广告软件:否 病毒: 否 木马: 否

现象:
1。系统进程中有iexplore.exe运行,注意,是小写字母
2。搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
解决方法::
1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。

2。到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion

\\Run “mssysint”= iexplore.exe,删除其键值


internat - internat.exe - 进程信息

进程文件: internat 或者 internat.exe

进程名称: Microsoft Input Locales

描述:

internat.exe是微软Windows多语言输入程序。这个程序对你系统的正常运行是非常重要的。internatt.exe也有可能是Win32.Lydra.a木马的一部分。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除。

出品者: Microsoft Corp.

属于: Microsoft Windows Operating System

系统进程: 是 后台程序:是 使用网络: 否 硬件相关: 否

常见错误: 未知N/A 内存使用:未知N/A ? 安全等级 (0-5): 0

间谍软件: 否 广告软件:否 病毒: 否 木马: 否



将监听程序伪装成Windows的启动文件internat.exe,将原System目录内的同名文件拷入 Windows目录,将本目录文件更名为smaxinte.exe ,从而实现启动隐身后台运行。Windows目录中的sqwin.ini是其运行记录文件。
启动:随系统启动,驻留后台运行。
外在表现:Windows目录下存在internat.exe和sqwin.ini文件,System目录下internat.exe长度为196KB(真实的internat.exe大概为32K),同时出现smaxinte.exe文件,长度大约37KB。



对策:删除Windows目录中的internat.exe和sqwin.ini文件,因System中的监听程序正在运行,所以无法直接删除,可用下列方式进行删除:
1、用内存管理程序移掉内存中的Internat,然后删除system中的internat.exe,将smaxinte.exe改名为internat.exe。

2、将internat.exe的系统属性改为普通,退到纯DOS下,再删除System中的internat.exe,将smaxinte.exe改名为internat.exe
kernel32 - kernel32.exe - 进程信息

进程文件:kernel32 或者 kernel32.exe

进程名称: Floodnet virus

描述: kernel32.exe是Floodnet病毒的一部分,通过Outlook发送邮件进行传播。这个进程的安全等级是建议立即进行删除。

出品者: 未知N/A

属于: Floodnet virus

系统进程: 否 后台程序:否 使用网络:是 硬件相关: 否

常见错误: 未知N/A 内存使用:未知N/A ? 安全等级 (0-5): 0

间谍软件: 否 广告软件:否 病毒: 否 木马: 否



冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:\Windows\system目录下生成Kernel32.exe和sy***plr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sy***plr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sy***plr.exe就会被激活,它将再次生成Kernel32.exe。
清除方法:
1.删除C:\Windows\system下的Kernel32.exe和Sy***plr.exe文件;

2.冰河会在注册表HKEY_LOCAL_ MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根,键值为C:\windows\system\Kernel32.exe,删除它;
3.在注册表的HKEY_LOCAL_ MACHINE\software\microsoft\windows\ CurrentVersion\Runservices下,还有键值为C:\windows\system\Kernel32.exe的,也要删除;
4.最后,改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,由表中木马后的C:\windows\system\Sy***plr.exe %1改为正常的C:\windows\notepad.exe %1,即可恢复TXT文件关联功能。


rundll - rundll.exe - 进程信息

进程文件: rundll 或者 rundll.exe

进程名称: Microsoft RunDLL

描述:

rundll.exe是Windows 95/98/Me系统的一部分。这个程序对你系统的正常运行是非常重要的。注意:rundll.exe也可能是LOXOSCAM和Backdoor.SchoolBus.B木马的一部分。该病毒会在Windows XP和2000中出现。该病毒允许攻击者访问你的计算机。该进程的安全等级是建议立即删除。

出品者: Microsoft

属于:Microsoft Windows 9x Operating System

系统进程: 是 后台程序:是 使用网络: 是 硬件相关: 否

常见错误: 未知N/A 内存使用:未知N/A ? 安全等级 (0-5): 0

间谍软件: 否 广告软件:否 病毒: 否 木马: 否

rundll32 - rundll32.exe - 进程信息

进程文件: rundll32 或者 rundll32.exe

进程名称: Microsoft Rundll32

描述:

rundll32.exe用于在内存中运行DLL文件,用于需要调用DLLs的程序。它们会在应用程序中被使用。这个程序对你系统的正常运行是非常重要的。注意:rundll32.exe也可能是W32.Miroot.Worm病毒。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。

出品者: Microsoft Corp.

属于:Microsoft Windows Operating System

系统进程: 是 后台程序:是 使用网络: 否 硬件相关: 否

常见错误: 未知N/A 内存使用:未知N/A ? 安全等级 (0-5): 0

间谍软件: 否 广告软件:否 病毒: 否 木马: 否

Rundll.exe,可以把它分成两部分,Run(运行)和DLL(动态数据库),所以,此程序的功能是运行那些不能作为程序单独运行的DLL文件。

Rundll32.exe则用来运行32位DLL文件。Windows 2000/XP都是NT内核系统,其代码都是纯32位的,所以在这两个系统中,就没有rundll.exe这个程序!!!!!!

相反,Windows 98代码夹杂着16位和32位,所以同时具有Rundll32.exe和Rundll.exe两个程序。这就是为什么Windows 98的System文件夹为主系统文件夹,而到了Windows 2000/XP时就变成System32为主系统文件夹(这时的System文件夹是为兼容16位代码设立的)。

无论是Rundll32.exe或Rundll.exe,独立运行都是毫无作用的,要在程序后面指定加载DLL文件。在Windows的任务管理器中,我们只能看到rundll32.exe进程,而其实质是调用的DLL。我们可以利用进程管理器等软件来查看它具体运行了哪些DLL文件。
有些木马是利用Rundll32.exe加载DLL形式运行的,但大多数情况下Rundll32.exe都是加载系统的DLL文件,不用太担心。另外要提起的是,有些病毒木马利用名字与系统常见进程相似或相同特点,瞒骗用户。所以,要确定所运行的Rundll32.exe是在%systemroot%\system32目录下的,注意文件名称也没有变化。


作者: nibapingping 2007-3-7 13:36   回复此发言

--------------------------------------------------------------------------------

4 回复:关于可以进程(木马)的手动杀除方法1(想加精)
lsass - lsass.exe - 进程信息

进程文件: lsass 或者 lsass.exe

进程名称: Local Security Authority Service

进程名称: lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。

出品者: Microsoft Corp.

属于: Microsoft Windows Operating System

系统进程: 是 后台程序:是 使用网络: 否 硬件相关: 否

常见错误: 未知N/A 内存使用:未知N/A ? 安全等级 (0-5): 0

间谍软件: 否 广告软件:否 病毒: 否 木马: 否

XP症状:
进程里同时有两个lsass.exe运行.其中一个大写的LSASS.EXE
启动项里有 ToP.exe 怎么都删不掉
开始菜单里的IE浏览器变成 INTEXPLORE
D:盘双击无法打开,里面有autorun.ini文件
1、进程管理器查看了一下进程,发现有二个lsass.exe,其中一个是系统正常进程,一个标记为可疑进程,先中断这个可疑进程LSASS.exe;
2、我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择“显示所有文件和文件夹”,并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是,至此就显示了所有的隐藏文件了。
3、删除以下几个文件(全部为病毒生成的文件,为隐藏属性的,放心删吧):
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
记住,以上缺一不可!
4、在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件。
5、删除注册表中的其他垃圾信息,这个病毒改写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。
将Windows目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目:
一、HKEY_CLASSES_ROOT\WindowFiles
二、HKEY_CURRENT_USER\Software\VB and VBA Program Settings
三、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的Check_Associations项
四、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
五、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP项
六、将HKEY_CLASSES_ROOT\.exe的默认值修改为 "exefile"(原来是windowsfile)
七、将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
的默认值修改为 "C:\Program Files\Internet Explorer\iexplore.exe" %1 (原来是intexplore.com)
八、将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
\shell\OpenHomePage\Command 的默认值修改为 "C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com)
九、将HKEY_CLASSES_ROOT\ftp\shell\open\command 的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

HKEY_CLASSES_ROOT\htmlfile\shell\open\command HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为

"C:\Program Files\Internet Explorer\iexplore.exe" –nohome

十一、将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)



重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,
重启电脑按F8进入带命令行的安全模式,
输入assoc(空格).exe=exefile(回车)
再重新启动就好了


services - services.exe - 进程信息

进程文件: services 或者 services.exe

进程名称: Windows Service Controller

描述:

services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。

出品者: Microsoft Corp.

属于:Microsoft Windows Operating System

系统进程: 是 后台程序:是 使用网络: 否 硬件相关: 否

常见错误: 未知N/A 内存使用:未知N/A ? 安全等级 (0-5): 0

间谍软件: 否 广告软件:否 病毒: 否 木马: 否

services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录),中毒后共产生14个文件+3个快捷图标+2个文件夹。注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。即为中毒后,任意一个EXE文件的属性,“应用程序”变成“EXE文件”



》》》》》快速解决方法:

(1)结束系统中进程名为:Services.exe和java.exe(在%windows%目录中)
(2)删除系统临时目录中的两个病毒数据文件:MLITGB.LOG和ZINCITE.LOG
(3)删除病毒键立的注册表键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
“JavaVM”=%WINDOWS%\java.exe
和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
“Services”=%WINDOWS%\Services.exe
注: %WINDOWS% 是指系统的windows目录,在Windows 9X/ME/XP下默认为:
C:\WINDOWS,Win2K下默认为:C:\WINNT



》》》》》》》》》彻底解决方案:

一、注册表:先使用注册表修复工具,或者直接使用regedit修正以下部分
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
shell = Explorer.exe 1 修改为shell = Explorer.exe
2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
Torjan Program----------C:\WINNT\services.exe删除
3. HKEY_Classes_root\.exe默认值 winfiles 改为exefile
4.删除以下两个键值:HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles
5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
9. 删除病毒添加的文件关联信息和启动项:
[HKEY_CLASSES_ROOT\winfiles]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
HKEY_CLASSES_ROOT\MSWinsock.Winsock
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
HKEY_CLASSES_ROOT\CLSID\
HKEY_CLASSES_ROOT\CLSID\
HKEY_CLASSES_ROOT\Interface\
HKEY_CLASSES_ROOT\Interface\
HKEY_CLASSES_ROOT\TypeLib\
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒!!!!!!!!!!!!

二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
c:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)
%programfiles%\common files\iexplore.pif
%programfiles%\Internat explorer\iexplore.com
%windir%\1.com
%windir%\exeroute.exe
%windir%\explorer.com
%windir%\finder.com
%windir%\mswinsck.ocx
%windir%\services.exe
%windir%\system32\command.pif
%windir%\system32\dxdiag.com
%windir%\system32\finder.com
%windir%\system32\msconfig.com
%windir%\system32\regedit.com
%windir%\system32\rundll32.com
删除以下文件夹:
%windir%\debug
%windir%\system32\NtmsData
spoolsv - spoolsv.exe - 进程信息

进程文件: spoolsv or spoolsv.exe

进程名称: Microsoft Printer Spooler Service

描述:

spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全级别是建议立即删除。

出品者: Microsoft Corp.

属于:Microsoft Windows 2000 and later

系统进程: 是 后台程序:是 使用网络: 否 硬件相关: 否

常见错误: 未知N/A 内存使用:未知N/A ? 安全等级 (0-5): 0

间谍软件: 否 广告软件:否 病毒: 否 木马: 否



根据病毒信息提供两种得查杀方法:
第一种:
1、在安全模式下进入系统目录system32删除文件夹spoolsv和miscn以及1116
2、开始菜单运行regedit打开注册表编辑器,找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 删除该项
3、在注册表中搜索spoolsv文件夹(注意是文件夹不是文件),删除
4、在注册表编辑器中打开下面的分支并使用组合键ctrl+f进行查找如下内容:
[HKEY_CLASSES_ROOT\CLSID\{0E674588-66B7-4E19-9D0E-2053B800F69F}
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1
[HKEY_CLASSES_ROOT\TypeLib\{8B200623-3FC5-4493-8B49-DC2AD4830AF4}
[HKEY_CLASSES_ROOT\Interface\{4A775183-9517-420E-9A13-D3DA47BB8A84}找到以后进行删除
5、运行注册表清里软件清理注册表,比如超级兔子,优化大师,恶意软件清理助手等都可以,此步骤也可以不执行。
第二种:
在桌面建一个TXT文件并显示扩展名,改名为spools.exe后将文件属性改为只读,将这个假的病毒覆盖c:\winnt\system32\spoolsv\的44K真病毒.。这种虽然方便但是遗留隐患。



svchost - svchost.exe - 进程信息

进程文件: svchost 或者 svchost.exe

进程名称: Microsoft Service Host Process

描述:

svchost.exe是一个属于微软Windows操作系统的系统程序,用于执行DLL文件。这个程序对你系统的正常运行是非常重要的。注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造缓冲区溢出,导致你计算机关机。该进程的安全等级是建议立即删除。

出品者: Microsoft Corp.

属于: Microsoft Windows Operating System

系统进程: 是

后台程序: 是

使用网络: 是

硬件相关: 否

常见错误: 未知N/A

内存使用: 未知N/A

安全等级 (0-5): 0

间谍软件: 否

Adware: 否

病毒: 否

木马: 否

svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

在命令提示行下输入Tasklist/svc,查看svchost后面的信息描述,如果有提示暂缺,一般就为木马进程(其他进程可以为暂缺),利用任务管理器查看进程的出现的地方,删除即可。

清除SVCHOST.exe和wauserv.exe病毒的方法!
第一步:拔掉网线,从开始菜单-------附件-------系统工具-----安全中心------windows防火墙,将tcp、tel。。等几个删掉;(这步本人认为可以不做)
第二步: ---进程管理器------结束svchost.exe(图标象VB的那个)和wauserv.exe;
第三步:开始菜单---运行---regedit;先找到下面的项:
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon
在左边点一下winlogon,然后在右边的Userinit双击,将Userinit.exe, 后面的全部删除!
然后再找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL;
在左边点一下SHOWALL,然后在右边双击checkedvalue,将0改为1即可。
按F5。
第四步:打开C盘,然后选择:工具----文件夹选项----查看-----将“隐藏受保护的操作系统文件”前面的对号去掉,选中“显示所有文件和文件夹”---应用----确定。然后进入windows---system32,找到system32下面的scvhost文件夹,将这个文件夹整个删除!然后在system32文件夹下右键点击“排列图标”---选择“按类型”,然后在system32文件夹的最下面你会发现两个扩展名为.reg的文件,将这两个东西全部删掉!,然后再在system32文件夹下面找到wauserv.exe,将其删除!!!
第五步:然后逐个右键打开,删除其下面的可疑文件!!!
winlogon - winlogon.exe - 进程信息

进程文件: winlogon or winlogon.exe

进程名称: Microsoft Windows Logon Process

描述:

WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意:winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建SMTP引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除。




该木马可能是落雪木马,可以使用落雪木马专杀工具查杀。


手动查杀方法:首先:
C:\Windows\system32 里,把cmd.exe文件复制出来,改名成cmd.com,然后双击这个COM文件(被木马搞坏掉了exe文件连接)
CMD 在命令符里面输入ntsd -c q -p PID编号(注意空格)(PID 在任务管理器里面——查看——选择列——PID 打勾) 强行结束winlogon.exe

输入以下命令:(注意空格)
assoc .exe=exefile
ftype exefile="%1" %*(在DOS下运行“ftype exefile=%1 %*”或“assoc .exe=exefile”命令也可以恢复EXE文件的关联,其他方法也可以:例如先将Windows目录下的注册表编辑器“Regedit.exe”改为“Regedit.com”,然后运行它,依次找到HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command,双击“默认”字符串,将其数值改为"%1" %*就可以了)

按照顺序删除下面这些文件(这个过程中关掉所有其他的程序也不要新开程序.时刻注意进程有没有增加):
(注意:看不到文件是因为没打开"隐藏受保护的系统文件".
xp下是在任意文件夹菜单上的
工具->文件夹选项->查看
把隐藏受保护的系统文件的勾取消.
还有.选上显示所有文件)
D:\autorun.inf (最好只用右键打开.双击的话D盘的autorun.inf文件会使病毒重新启动) D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com C:\WINDOWS\winlogon.exe C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com C:\WINDOWS\Exeroute.exe C:\WINDOWS\Debug\debugProgramme.exe
C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com C:\Windows\system32\regedit.com C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com C:\Windows\system32\finder.com

C:\Windows\system32\a.exe(也许没有)
打开注册表工具regedit.
具体是在开始->运行里输入regedit
然后再寻找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
有一个Torjan pragramme.删!
另一个[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"

热词搜索:

上一篇:保护重要数据 硬盘加密的几种方法
下一篇:挖掘杀软潜能 彻底清除DLL注入木马

分享到: 收藏