[原创]troj.lmir2木马病毒及其解决方法

天狼星 · 发表于 2006-12-17 21:45:00

收到

SQ · 发表于 2006-12-17 21:21:00

[em04]狼来帮Q杀！

天狼星 · 发表于 2006-12-17 19:42:00

troj.lmir2木马病毒（好象又叫传奇盗号木马或者落雪病毒？）

中毒特征是：

1、打开“我的电脑”，在菜单栏上，依次打开“工具/文件夹选项/查看”，

　　把“隐藏受保护的操作系统文件”、“隐藏已知文件类型的扩展名”前的勾去掉；

　　选中“显示所有文件和文件夹”。

2、查找电脑中是否有以下文件：

　　每个盘符下的：autoexec.inf、pagefile.pif；

　　系统文件夹下（一般是 C:\WINDOWS\ 下）的：1.com、ExERoute.exe、explorer.com、finder.com、WINLOGON.EXE；

　　系统文件夹\SYSTEM32下（一般是 C:\WINDOWS\system32 下）的： command 快捷方式、dxdiag.com、finder.com、CONFIG.COM、regedit.com、rundll32.com ；

　　C:\Program Files\Internet Explorer的 iexplore.com 。

　　如果有以上大多数文件存在，说明电脑已经中了该木马病毒。

[此贴子已经被作者于2006-12-17 19:44:39编辑过]

天狼星 · 发表于 2006-12-17 19:59:00

修复方法：

一：用IceSword(改名为.com的后缀)结束病毒进程(注意是Windows\services.exe,而不是System32\services.exe)

二：修改注册表：

--------------------------------------------------------------------------------------

1. 在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中
　　shell = Explorer.exe 1 修改为　shell = Explorer.exe

2.将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的：

　　Torjan Program＝C:\WINNT\services.exe　删除

3.删除以下两个无用键值：
HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles

4，搜索 iexplore.com，改为 iexplore.exe，共有这几项：

　　HKEY_CLASSES_ROOT\htmlfile\Shell\open\command
　　HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command
　　HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command
　　HKEY_CLASSES_ROOT\ftp\Shell\open\command

5，搜索 iexplore.pif 改为 %Program Files%\Internet Explorer\iexplore.exe，共有这几项：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open\command
　　HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command
　　HKEY_CLASSES_ROOT\http\Shell\open\command

6. 搜索 explorer.com 改为 iexplore.exe，只有一项：

　　HKEY_CLASSES_ROOT\Drive\shell\find\command

7. 将以下键值的 No 修改为 Yes
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations

------------------------------------------------------------------------------------------------

三：用安全专家IE修复，高级里面文件关联修复。
　　(或者用SREng.exe[System Repair Engineer]，改名SREng.com，运行它，在“系统修复”>>“文件关联”里勾选“.EXE”项，并“修复”，恢复EXE文件关联。)--我是用这个。

四：用上一贴的方法显示系统文件和隐藏文件，查找并删除以下文件：

　　每个盘符下的：autoexec.inf、pagefile.pif；

　　系统文件夹下（一般是 C:\WINDOWS\ 下）的：1.com、ExERoute.exe、explorer.com、finder.com、WINLOGON.EXE；

　　系统文件夹\SYSTEM32下（一般是 C:\WINDOWS\system32 下）的： command 快捷方式、dxdiag.com、finder.com、CONFIG.COM、regedit.com、rundll32.com ；

　　C:\Program Files\Internet Explorer的 iexplore.com

　　c:\program files\Common Files\iexplore快捷方式

阿猪 · 发表于 2007-1-7 00:34:00

账号		自动登录	找回密码
密码			注册