急求:电脑中了LSASS病毒
在网上搜索解决办法,我的电脑中除了系统的lsass进程外还有一个LSASS进程,这个进程是木马,在C:\WINDOWS下(正常的lsass在C:\WINDOWS\system32下),可是我搜索了我的机器不存在LSASS.exe文件,网上说的手工清楚方法也试了无效,用兔子查结果是:
在硬盘中找到以下可疑程序:
C:\WINDOWS\LSASS.EXE
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\REGEDIT.COM
可我的硬盘里根本就没有以上三个文件,我连隐藏文件都找了,不知道是怎么回事,用进程管理工具把LSASS.EXE杀掉后没多久又会自动出现,有了该进程我的内存就会被狂吃,网页速度很慢,杀掉该进程又会好一些,但没多久又出来了,求彻底的解决办法!100分相送!
问题点数:100、回复次数:15Top
1 楼shery1(shery)回复于 2006-07-18 15:42:59 得分 0
注:兔子也杀不掉Top
2 楼sergey(湮灭的思维)回复于 2006-07-18 15:47:08 得分 0
装个杀毒软件,KASPERSKY之类的,杀了就是了,杀了打上补丁Top
3 楼shery1(shery)回复于 2006-07-18 15:53:37 得分 0
杀毒软件也没用,找不出来,我装得还是正版的江民Top
4 楼sergey(湮灭的思维)回复于 2006-07-18 15:58:17 得分 0
那就装卡巴,SPYBOT或者木马克星Top
5 楼pingyou(裸男.NET)回复于 2006-07-18 16:05:40 得分 0
正版江民?抵个屁用,我TMD还是瑞星企业版,靠,对这种病毒孰视无睹,垃圾到家了!
手工杀毒吧,自己动手丰衣足食。
你中的这种病毒有几种变种,lsass.exe、winlogon.exe、crass.exe,这三个文件必然有一个存在c:\windows下面,而且是隐藏的,你除了要显示所有文件之外,还要显示系统文件,这样才能看到它们。
但是这些文件是系统关键文件,所以即使你在安全模式下也无法在任务管理器里中止它们,这得借助“冰刃”这款软件,这个软件真是个好东东啊。
网上有很多杀这个病毒的方法,自己看看吧,如果你不太会杀的话,最好是格式化重做系统。
http://www.baidu.com/s?wd=ExERoute.exe&cl=3
Top
6 楼scsker(短信彩信软件、短信彩信开发包http://blog.csdn.net/scsker)回复于 2006-07-18 21:02:39 得分 0
任何杀毒软件都不是万能的,没有杀毒软件是万万不能的,最主要是靠自己的安全意识。
LSASS.exe文件肯定是存在的,楼主竟然说找不到,唉,仔细搜索一下吧。这个是windows进程,你结束了这个进程,windows过一会儿肯定又会启动呀。
在硬盘中找到以下可疑程序:
C:\WINDOWS\LSASS.EXE(看,这不是存在吗?)
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\REGEDIT.COM(最后二个肯定有问题撒)
重启电脑,按F8进入安全模式,运行msconfig,找到启动 项,看有没有最后那2个程序,有则删除,点开始-运行 ,输入 regedit,查找那2个程序,删除相关键值,在删除前,请先备份好注册表。将整个注册表查找删除后,在硬盘上搜索那个文件,删除。最好记得打好系统补宁和经常升级杀毒软件的病毒库。
完了,唉,打字真累。Top
7 楼Purpleendurer(编程—>任是无情也动人^_^)回复于 2006-07-18 21:37:46 得分 0
从文件名上看,很可能是传奇木马(Trojan.PSW.Lmir)
http://endurer.blogchina.com/4634161.html
遭遇Trojan.PSW.Lmir等病毒(第4版)
关键词: 病毒,杀毒,Trojan.PS
endurer 原创
2006-03-16 第4版 补充Kaspersky对a.exe的反应。
2006-03-14 第3版 补充江民回复:setup.exe不是病毒。
2006-03-11 第2版 补充了具体处理过程
2006-03-10 第1版
昨天,一位朋友打电话来说,他的电脑出了问题,总提示出错,无法使用。
我教他进入安全模式检查看看。过了一会,他打电话来说已经在安全模式下用什么助手的系统修复功能,还是不行,让我帮忙看看。
朋友的电脑比较老,使用的是Win 98。进入桌面后不断提示Explorer.exe出错,想正常关机都不行。
按Reset按钮,强制重新启动,按F8键,选择Safe Mode,进入安全模式,不再提示Explorer.exe出错了。看来是开机启动项有问题。
好在以前帮朋友弄电脑时用的HijackThis还在,扫描log,发现如下可疑或需要修复的项目:
--------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 8:41:05, on 06-3-10
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2462.0000)
Running processes:
C:\WINDOWS\WINLOGON.EXE
R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRAM FILES\YAHOO!\ASSISTANT\ASSIST\YASBAR.DLL
O2 - BHO: EyeOnIE Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:\PROGRAM FILES\PCDOWNLOADER\BHOPLUGIN.DLL
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRAM FILES\YAHOO!\ASSISTANT\ASSIST\YASBAR.DLL
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\CNSHOOK.DLL
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRAM FILES\YAHOO!\ASSISTANT\ASSIST\YASBAR.DLL
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - (no file)
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - Global Startup: IE-BAR.lnk = C:\WINDOWS\rundll32.exe
O8 - Extra context menu item: !搜一搜(&S) - res://C:\PROGRAM FILES\YISOU\YISOU.DLL/232
O9 - Extra button: (no name) - {233A9694-667E-11d1-9DFB-006097D5040A} - (no file)
O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 -
{FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O11 - Options group: [!CNS] 上网助手-地址栏搜索
O16 - DPF: {9A578C98-3C2F-4630-890B-FC04196EF420} - http://jump.cnnic.cn/stat/stat?sid=0008&url=http://159.226.202.54/download/cnnic/mini/cdn.cab
O21 - SSODL: DLMon - {590498A3-4131-4D8F-BA4B-36791A0803B1} - C:\WINDOWS\SYSTEM\DLMain.dll
--------------------------------------------------------------------------------
原来朋友是用雅虎助手来修复的,真是“与虎谋皮”。
到控制面板的“添加删除程序”里想把雅虎助手卸载,不想这东东居然要在线卸载,而Win 98的安全模式是不连网的。先把IE-BAR等几个可疑的项目卸掉了。
在log中,进程C:\WINDOWS\WINLOGON.EXE出现的有点怪,因为安全模式下
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
这项不会被系统执行。
找到
--------------------------------------------------------------------------------
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\SYSTEM\rundll32.com
C:\WINDOWS\SYSTEM\regedit.com
C:\WINDOWS\SYSTEM\Msconfig.com
C:\WINDOWS\SYSTEM\finder.com
C:\WINDOWS\SYSTEM\dxdiag.com
C:\WINDOWS\TEMP\a.exe
C:\WINDOWS\TEMP\b.exe
C:\WINDOWS\finder.com
C:\WINDOWS\Internet.exe
C:\WINDOWS\system.exe
C:\WINDOWS\Winlogon.exe
--------------------------------------------------------------------------------
等可疑文件,为这些文件加上.bak或.del的扩展名。
还发现了远程控制程序remote administrator,打包备份后删除。
接着问题就来了,运行程序时提示找不到C:\WINDOWS\ExERoute.exe。
原来C:\WINDOWS\ExERoute.exe修改了.EXE文件关联。每次运行.EXE程序就会运行ExERoute.exe!
这个问题可以用瑞星或金山毒霸的注册表修复工具解决。但在Win 98的安全模式下无法上网下载。
机子老,无USB接口,用软盘拷来瑞星注册表修复工具,不料软驱读软盘出错!
只好手工到注册表里修改,把regedit.exe改成regedit.com,进入注册表编辑器,修复了EXE文件关联。
用HijackThis修复了前面所列的项目。
Top
8 楼Purpleendurer(编程—>任是无情也动人^_^)回复于 2006-07-18 21:38:21 得分 0
(续)
重新启动电脑,这次进入Windows不再提示explorer.exe出错了,
运行瑞星杀毒助手,使用瑞星在线免费扫描,发现35个染毒文件:
--------------------------------------------------------------------------------
文件名 病毒名
C:\WINDOWS\SYSTEM\rundll32.com Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\MSCONFIG.COM Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\finder.com Trojan.PSW.Lmir.jag(Kaserpersky报为Trojan-PSW.Win32.Lmir.aov)
C:\WINDOWS\SYSTEM\dxdiag.com Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\regedit.com Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\command.pif Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\rundll32.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\ca.exe>>b.EXE Trojan.PSW.Lmir.jbg(Kaspersky实时监控不报,手动扫描报为Trojan-PSW.Win32.Lmir.aoe)
C:\WINDOWS\SYSTEM\qq.exe.bak Trojan.PSW.LMir.jdc(Kaspersky报为Trojan-PSW.Win32.Lmir.aqo)
C:\WINDOWS\SYSTEM\DLMon.dll Trojan.DL.Agent
C:\WINDOWS\SYSTEM\DLMain.dll.del Trojan.DL.Agent(Kaspersky报为Trojan-Downloader.Win32.Agent.ue)
C:\WINDOWS\SYSTEM\regedit.com.bak Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\Msconfig.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\finder.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\dxdiag.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\TEMP\a.exe.bak Dropper.PSW.Lmir.agd(Kaspersky报为Trojan-PSW.Win32.Lmir.ash)
C:\WINDOWS\TEMP\b.exe.bak Trojan.PSW.Lmir.jje
C:\WINDOWS\Temporary Internet Files\Content.IE5\OHM7O5Y7\a[1].exe Dropper.PSW.Lmir.agd
C:\WINDOWS\Temporary Internet Files\Content.IE5\KBLFIAZT\qq[2].hta Script.Taorao.a (Kasersky报为Trojan-Dropper.VBS.Taorao)
C:\WINDOWS\Temporary Internet Files\Content.IE5\CE4B7TKT\9[1].exe Trojan.PSW.LMir.jdc
C:\WINDOWS\Temporary Internet Files\Content.IE5\CE4B7TKT\10[1].exe>>b.EXE Trojan.PSW.Lmir.jbg
C:\WINDOWS\Temporary Internet Files\Content.IE5\CE4B7TKT\11[1].exe Trojan.PSW.LMir.jdc
C:\WINDOWS\Temporary Internet Files\Content.IE5\SNXFUIN1\b[1].exe Trojan.PSW.Lmir.jje
C:\WINDOWS\72896.DLL Trojan.PSW.LMir.jdc
C:\WINDOWS\explorer.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\finder.com Trojan.PSW.Lmir.jag
C:\WINDOWS\explorer.com Trojan.PSW.Lmir.jag
C:\WINDOWS\1.com.bak Trojan.PSW.Lmir.jag
C:\WINDOWS\finder.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\Internet.exe.del Trojan.PSW.LMir.jdc
C:\WINDOWS\system.exe.del>>Unpack Trojan.Clicker.VB.cd(Kaspersky报为Trojan.Win32.VB.aat)
C:\WINDOWS\1.com Trojan.PSW.Lmir.jag
C:\WINDOWS\Winlogon.exe.del Trojan.PSW.Lmir.jag
C:\WINDOWS\ExERoute.exe.bak Trojan.PSW.Lmir.jag
C:\Program Files\Common Files\iexplore.pif Trojan.PSW.Lmir.jag
C:\Program Files\Internet Explorer\iexplore.com Trojan.PSW.Lmir.jag
--------------------------------------------------------------------------------
都用瑞星杀毒助手解决了。
发现原来被改名的病毒文件又出来了,看看关联了.EXE文件的ExERoute.exe每次运行时都会检查病毒文件,不存在则重新创建。
由于.com文件的运行优先级比.exe高,即当我们输入命令: msconfig时,系统运行的是病毒程序msconfig.com,则不是系统配置程序msconfig.exe!
看来以后运行系统内置命令还得指明扩展名。
另外,还得备以EXE文件关联修复程序备用。一般杀毒软件在启动时会检查并修复EXE文件关联。但在线查杀病毒是否也有这个功能还是未知数。
另外还发现一个可疑文件:setup.exe: AntiVir报为Dropper/DMSec.A dropper
【作者: endurer】【访问统计:4468】【2006年03月10日 星期五 23:28】【 加入博采】【打印】
Trackback
你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=4634161Top
9 楼samson_www(天天向上)回复于 2006-07-22 08:11:09 得分 0
自己手工删除吧,很麻烦的Top
10 楼zenner3000(海阔天空。)回复于 2006-07-22 12:17:55 得分 0
提供一手工清除法参考:
1、必须终止掉那些进程,用icesword查看开了陌生端口的进程,记住其进程ID,然后切换到进程列表中,看到了进程就干掉它,不过很多病毒了注入了系统的explorer进程,你就右键点击查看其模块信息,可以看到病毒的路径,一般在C:\Documents and Settings\你的用户名\Local Settings\Temp下,当然也不一定是,也可能是在system32下。然后卸掉它。
2、查看所有启动项,建议用ewido,因为本人发现有些启动项icesword还是无法发现的,发现陌生的未知的就删掉。最好是在安全模式下进行,然后在用超级兔子反复尝试清理几次,注意是反复。
3、用杀毒软件在查杀下……
4、再查看启动项……如果还发现不名者,再想其他办法。Top
11 楼aiirii(ari-http://spaces.msn.com/members/aiirii/)回复于 2006-07-22 12:23:06 得分 0
今天在单位,没事下载了几个软件看看,运行后马上发觉不对劲了,防火墙出现提示:EXPLORER.EXE要访问网络,右键菜单上的汇编工具全没了,我马上意思到,中招了,^^,调出任务管理器,发现多了一个LSASS.exe进程,对应的用户是Administrator,另外还有一个LSASS.exe进程,对应的用户是SYSTEM,呵呵,不对劲啊,Administrator这个绝对有问题,从安全库里操起兵刃,发现其对应路径是C:\WINDOWS\LSASS.exe,呵呵,这还不简单,结束进程,进入windows目录,将其喀嚓,然后打开注册表,找到启动项,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的TOP干掉,重启后再看看。
几分钟后,重新进入系统,发现LSASS.exe又回来了,注册表又恢复了,这下才知道,这玩意不是那么简单,时间不多,还要工作呢,操起百度搜索LSASS.exe,呵呵,找到一个相关的,仔细一看,原来是传奇木马啊,妈的,我又不玩游戏,给我种什么啊,按照网上介绍的方法,来个手工清除吧,郁闷
手工删除:
一、 结束病毒进程
鼠标右键点击“任务栏”,选择“任务管理器”。点击菜单“查看”->“选择列”,在弹出的对话框中选择“PID(进程标识符)”,并点击“确定”。
找到映象名称为“LSASS.exe”,并且用户名不是“SYSTEM”的一项,记住其PID号。
点击“开始”-》“运行”,输入“CMD”,点击“确定”打开命令行控制台。输入“ntsd –c q -p (PID)”,比如我的计算机上就输入“ntsd –c q -p 1464”。
二、 删除病毒文件
打开“我的电脑”,设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件:
C:\Program Files\Common Files\INTEXPLORE.pif、
C:\Program Files\Internet Explorer\INTEXPLORE.com、
C:\WINDOWS\EXERT.exe、
C:\WINDOWS\IO.SYS.BAK、
C:\WINDOWS\LSASS.exe、
C:\WINDOWS\Debug\DebugProgram.exe、
C:\WINDOWS\system32\dxdiag.com、
C:\WINDOWS\system32\MSCONFIG.COM、
C:\WINDOWS\system32\regedit.com
如果硬盘有其他分区,则在其他分区上点击鼠标右键,选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件。
三、删除注册表中的其他垃圾信息
这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。
将Windows目录下的“regedit.exe”改名为“regedit.com”并运行,删除以下项目:
HKEY_CLASSES_ROOT\WindowFiles、
HKEY_CURRENT_USER\Software\VB and VBA Program Settings、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项、
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项。
将HKEY_CLASSES_ROOT\.exe的默认值修改为“exefile”
将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command的默认值修改为“C:\Program Files\Internet Explorer\IEXPLORE.EXE”
将HKEY_CLASSES_ROOT\ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\htmlfile\shell\open\command和HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默认值修改为“IEXPLORE.EXE”。
重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕。
Top
12 楼b1998()回复于 2006-07-23 18:22:50 得分 0
用icesword和从www.sysinternals.com上下载的Autorun.exe彻底察看启动项
特别注意dll文件
可用Autorun察看
具体的你可以把病毒发给我
具体的回头给你
应该能杀
这两样是我的法宝
Top
13 楼Purpleendurer(编程—>任是无情也动人^_^)回复于 2006-07-23 21:11:15 得分 0
Autorun.inf这个文件现在的病毒利用得比较多.....Top
14 楼deny5()回复于 2006-07-23 22:05:10 得分 0
去木马杀客下载 落雪专杀Top
15 楼hhwlc(欧文)回复于 2006-07-24 10:48:23 得分 0
手工删除:
一、 结束病毒进程
鼠标右键点击“任务栏”,选择“任务管理器”。点击菜单“查看”->“选择列”,在弹出的对话框中选择“PID(进程标识符)”,并点击“确定”。
找到映象名称为“LSASS.exe”,并且用户名不是“SYSTEM”的一项,记住其PID号。
点击“开始”-》“运行”,输入“CMD”,点击“确定”打开命令行控制台。输入“ntsd –c q -p (PID)”,比如我的计算机上就输入“ntsd –c q -p 1464”。
二、 删除病毒文件
打开“我的电脑”,设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件:
C:\Program Files\Common Files\INTEXPLORE.pif、
C:\Program Files\Internet Explorer\INTEXPLORE.com、
C:\WINDOWS\EXERT.exe、
C:\WINDOWS\IO.SYS.BAK、
C:\WINDOWS\LSASS.exe、
C:\WINDOWS\Debug\DebugProgram.exe、
C:\WINDOWS\system32\dxdiag.com、
C:\WINDOWS\system32\MSCONFIG.COM、
C:\WINDOWS\system32\regedit.com
如果硬盘有其他分区,则在其他分区上点击鼠标右键,选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件。
三、删除注册表中的其他垃圾信息
这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。
将Windows目录下的“regedit.exe”改名为“regedit.com”并运行,删除以下项目:
HKEY_CLASSES_ROOT\WindowFiles、
HKEY_CURRENT_USER\Software\VB and VBA Program Settings、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项、
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项。
将HKEY_CLASSES_ROOT\.exe的默认值修改为“exefile”
将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command的默认值修改为“C:\Program Files\Internet Explorer\IEXPLORE.EXE”
将HKEY_CLASSES_ROOT\ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\htmlfile\shell\open\command和HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默认值修改为“IEXPLORE.EXE”。
重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕。
这个病毒是比较难删除。但按照以上方法是可以删除的。Top
