zoukankan      html  css  js  c++  java
  • 手动清除后门程序Iexplores.exe

    今天下午,一个偶然的机会发现自己的计算机感染了后门程序病毒,江民杀毒好几次都不能清除干净,就是在安全模式下杀毒也是无能为力。每次都能查杀出几个病毒,主要分布在c:\windows\system\目录(我用的是winXP,win2000下的目录是c:\winnt\system\),以及除C盘以外的其它盘符根目录。显示杀毒成功后,再双击打开除C盘外的其它盘符,就会出现系统提示:无法找到程序Iexplores.exe,正是江民软件显示的后门病毒程序。

    通过google收集了一些出现类似情况的处理对策,得知原来是在盘符根目录下的autorun.inf程序在作怪。又通过个人的几次尝试,终于发现了解决办法。

    首先,打开任务管理器,停止非法进程,可能的非法进程包括ntdllf.exe、netcompt.exe、comptnt.exe和ptsnopt.exe。

    其次,更改注册表设置,具体为:开始-》运行-》regedit进入注册表,在HKEL_LOCAL_MACHINE\software\microsoft\windows\currentVersion\Run项目中,删除系统启动时加载的非法项目,可能的项为:Cmpnt(名称)/REG_SZ(类型)/c:\windows\driver.com(键值),或者其他名称的非法项目。同时查找RunOnce、RunService等currentVersion目录下名字含Run的目录,检查是否有非法键值,如shell(名称)、mainsv.exe(键值)。接着,检查HKEL_LOCAL_MACHINE\SYSTEM\controlSetool\control\Session Manager项目,删除非法项,如PendingFileRenameOperations(名称)/REG_MULTI_SZ(类型)/"\??\c:\windows\system\loadms.exe"(键值)。

    再次,删除c:\windows\system\目录下的病毒执行文件,我所遇到的文件名称有:ntdllf.exe、mainsv.exe、netcompt.exe、netcomptnt.exe、ptsnopt.exe、loadms.exe和loadmsnt.exe,一般为.exe文件,能够比较明显的分辩出来。(因为此目录文件多为.dll形式)

    最后,在dos环境下删除各盘符下的autorun.inf和Iexplores.exe文件,具体命令为:

    D:\>attrib autorun.inf -s -h -r (去掉该文件的系统、隐藏、只读属性)

    D:\>del autorun.inf

    D:\>attrib Iexplores.exe -s -h -r

    D:\>del Iexplores.exe

    D:\>dir /a (查看目录下所有文件,此时将看不到以上两个文件了!^_^)

    至此,病毒清除完毕。

    windows无法找到Iexplores.exe或者双击活动硬盘无法打开的这类问题应该这样来解决:
    如果你的活动硬盘是F盘,则将注册表中
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\F\Shell 项删除,这样就解决了!

    问题解决了,分析一下原因吧。造成双击磁盘打不开,出现“windows无法找到Iexplores.exe”的原因是这样的:
    首先你的活动硬盘感染了Win32.Hack.Tompai.b.65024这种病毒。在金上毒霸的网站上对于它是这么解释的:
    这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于Windows 32平台。
    (http://db.kingsoft.com/c/2005/03/24/181620.shtml)

    通过分析,我发现Tompai病毒会在活动硬盘的根目录生成Iexplores.exe文件,这个文件的作用是:当你双击活动硬盘的盘符时,系统会调用Iexplores.exe文件自动播放活动硬盘的内容,作为传播病毒的一种方式。
    当你将活动硬盘接到某个主机上时,这台主机上可能装有金山毒霸,瑞星等杀毒工具,这些杀毒工具可以将活动硬盘根目录的病毒文件Iexplores.exe直接删除掉。

    但是,病毒在注册表中留下的信息没有被清除掉,所以当你再准备双击打开活动硬盘时,系统仍然会按照注册表的描述去调用Iexplores.exe来播放活动硬盘的内容,由于这时文件已被删除,所以提示windows无法找到Iexplores.exe。


    从你的截图看来,机子中毒了,手动查杀Iexplores.exe病毒后门的方法!

    首先,打开任务管理器,停止非法进程.可能的非法进程包括ntdllf.exe、
    netcompt.exe、comptnt.exe和ptsnopt.exe。对xp用户,也可在cmd下,tasklist
    列出系统的进程,然后用tskill分别对上述非法进程杀之.

    其次,更改注册表设置,具体为:开始-》运行-》regedit进入注册表,
    在HKEL_LOCAL_MACHINE\software\microsoft\windows\currentVersion\Run
    项目中,删除系统启动时加载的非法项目,可能的项为:Cmpnt(名称)
    /REG_SZ(类型)/c:\windows\driver.com(键值),或者其他名称的非法项目。
    同时查找RunOnce、RunService等currentVersion目录下名字含Run的目录,
    检查是否有非法键值,如shell(名称)、mainsv.exe(键值)。接着,检查
    HKEL_LOCAL_MACHINE\SYSTEM\controlSet001\control\Session Manager项目,
    删除非法项,如PendingFileRenameOperations(名称)/REG_MULTI_SZ(类型)
    /"??c:\windows\system\loadms.exe"(键值)。

    再次,删除c:\windows\system目录下的病毒执行文件,可能的文件名称有:
    ntdllf.exe、mainsv.exe、netcompt.exe、netcomptnt.exe、ptsnopt.exe、
    loadms.exe和loadmsnt.exe,一般为.exe文件,能够比较明显的分辩出来。
    (因为此目录文件多为.dll形式)

    最后,在dos环境下删除各盘符下的autorun.inf和Iexplores.exe文件,
    具体命令为:
    D:>attrib autorun.inf -s -h -r (去掉该文件的系统、隐藏、只读属性)

    D:>del autorun.inf

    D:>attrib Iexplores.exe -s -h -r

    D:>del Iexplores.exe

    D:>dir /a (查看目录下所有文件,此时将看不到以上两个文件了!^_^)

    当然你也可以各盘符下在工具栏---文件夹选项--查看下,选显示所有文件
    和文件夹,同时去除隐藏受保护的系统文件前的勾,显示出上面的两个文件,
    杀之!病毒即可清除!
  • 相关阅读:
    std::bind 详解及参数解析
    c++ 静态类成员函数(static member function) vs 名字空间 (namespace)
    继续进发
    lua闭包
    Mysql按时间段分组查询来统计会员的个数
    linux安装配置sendmail实现邮件发送
    Javascript验证用户输入URL地址是否正确
    php返回json数据函数例子
    ArrayList与List对象用法与区别
    java 获取数组(二维数组)长度实例程序
  • 原文地址:https://www.cnblogs.com/cy163/p/406620.html
Copyright © 2011-2022 走看看