博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2421|回复: 0

与启动项病毒斗争小记

[复制链接]
发表于 2007-5-2 20:14:57 | 显示全部楼层 |阅读模式
starger 51cto技术博客
这张图里红色方框里的4个启动项无法删除,用过的方法有,兔子,WINDOWS优化大师,卡卡上网助手,还是失败,所有用软件删除启动项在重起电脑之后还是一样,删除的文件也会重新在相应的文件夹下生成
既然那么多软件都用不上,那就手动来删除,不信治不了它

以下是这些病毒程序的相关信息和修复方式
大部分信息来源于GOOGLE,BAIDU

NORTONS。EXE
我的电脑是用瑞星的,所以有个NORTON的启动项会非常奇怪

最后发现了这个病毒
Worm.P2P.Ariver
破坏方法:一个利用p2p软件共享进行传播的蠕虫病毒
病毒行为:
病毒运行后从注册表中查询出p2p软件的共享目录,并将自己复制
过去文件名为以下文件名:
Winamp 4.0 Full version.exe,Acrobat 6.0 Update.exe,ActSkin 4 Crack.exe
Carmagedon 4 no CD Crack.exe,Corel Draw 10 Frames Update.exe,Delphi 7 Download Setup.exe
Delphi 7 Key Generator.exe,Delphi Projects Free v1.0.exe,Duke Nuke Manhattan Project no CD Crack.exe
DVD Rip.exe,DVD Writer 1.0.exe,EartWorm Jim 3D Crack.exe,Fifa 2004 Crack no CD.exe
GTA 2 Cheats Enabler.exe,GTA 3 no CD Crack.exe,GTA 4 no CD Crack.exe,GTA 3 Full.exe
Memory Manager Full.exe,PhotoShop 8.0 KeyGen.exe,Plus! for XP Download Setup.exe
Resident Evil 4 no CD Crack.exe,Unreal Tournament 2003 no CD Crack.exe,Unreal Tournament 2003 full.exe
Winamp 4.1 Download Setup.exe,WinXp Update Pack 3.exe,WinXp Update Pack 4.exe,Write Crack in Delphi (Guide).exe
Writing BackDoors (Guide).exe,Pussy Request Full (Best).exe,Delphi 8 Trial.exe,Command Conquer 4.exe
Virus Maker 10.1.exe,WinXp Securit Update.exe,WinXp Block User v5.0.exe,Winamp Skin Maker 2.0.exe
Replicator 1.0.exe,VMware WorkStation 4.2.0 Full.exe,Block Hackers FireWall.exe
Requiem Avenging Angel 2 Full.exe,Need For Speed 6 Full.exe,Road Rash 3D 2.exe,Resident Evil 4 (The Dark Angel).exe
Rally 5.exe,Star Trek 4.exe,Mdk 3 (The Super Game).exe,Alien vs Predator 4 Full.exe,Mortal Kombat 5 (Full).exe
Jedi Knights 3 (The Plasma).exe,Corel Draw 11 Crack.exe,Medabots Animation 1.0.exe,Age of Empires III Full.exe
Tomb Raider 6 The Final Adventure.exe,Wing Commander Full.exe,Microsoft Icom Creator 2.0.exe,Microsoft Draw 3.exe
Microsoft Office XP 2003.exe,McAfee Firewall 4 Full.exe,McAfee ViruScan 7 With Serial.exe
McAfee Serialz for all products.exe,Norton AntiVirus 8 Full.exe,4000 Serialz.exe
Norton Clean 7.exe,Norton Disk Doctor 5 Full.exe,Serialz for all Nortons.exe
WinIso 7 full with Key Generator.exe,Nero Burning Room 7 Full.exe,Nero Burning Room key Generator.exe
Nero All Paths Update.exe,AcdSee 6.0 Download Setup.exe,AcdSee Serial for all version.exe
W32dasm 11 Full.exe,Red Hat Linux 8.1(Isos).exe,Windows 2000 Service Pack 3.exe,Red Light 7.0 Full.exe
Norton Ghost 2003.exe,Max Payne 2 Full.exe
以诱骗网络用户下载运行,达到传播目的。


参考资料:http://www.viruschina.com/news/Vdatabase_detail.asp?id=1322



mppds.exe

该病毒伴生多种病毒,因此各个中毒的情况是不完全一致的

清除步骤:
1、关闭系统还原(Win2000系统可以忽略):右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
清除IE的临时文件:打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、开始--运行--regedit,打开注册表,点注册表中的"我的电脑"—>点"编辑"—>查找,输入mppds.exe ,找到的项目就点右键--删除,按F3继续,直到查找完毕. (同样的方法查找并删除以下:iexp1ora.exe, winlog0a.exe,crasos.exe,iexpl0ra.exe,rundl13a.exe,Servera.exe, c0nima.exe,cftmoa.exe,3.exe,SystemKb.sys,respri.dll,iexpl0re.exe)

3、显示“受保护的操作系统文件”

删除以下文件:
C:\WINDOWS\winlog0a.exe
C:\WINDOWS\iexp1ora.exe
C:\WINDOWS\iexpl0ra.exe
C:\WINDOWS\Servera.exe
C:\WINDOWS\crasos.exe
C:\WINDOWS\rundl13a.exe
C:\WINDOWS\c0nima.exe
C:\WINDOWS\cftmoa.exe
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\WINDOWS\system32\respri.dll
C:\DOCUME~1\HUANGL~1\LOCALS~1\Temp\3.exe

4、重启计算机,病毒清除完毕。


cmdbcs.exe

trojan psw.win32是一个木马病毒,病毒通过记录键盘的动作来盗取用户传奇的密码,

并且该病毒具有对抗杀毒软件的一些行为,使用户更难发现和杀毒。
木马 cmdbcs.exe cmdbcs.dll 手工清除方法

一、病毒行为分析

木马运行后复制自身到系统目录:
Windows\cmdbcs.exe
释放System\cmdbcs.dll注入进程。
创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cmdbcs"="%Windows%\cmdbcs.exe"

二、手工清除步骤

1. 删除木马启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cmdbcs"="%Windows%\cmdbcs.exe"
2. 重新启动计算机
3. 删除木马文件和目录:
Windows\cmdbcs.exe
System 32\cmdbcs.dll


以上那些都是在GOOGLE或者百度上面可以找到的,我还有最完美的删除这4个未知启动项的方法:

强烈推荐一个小软件SREng(这个小程序对电脑的修复帮助很大)

操作方法:

安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng (就是你扫日志的软件)启动项目 注册表 删除如下项目 (如果有哪项你认识或者确认不是病毒 请不要删除)
[nortons][D:\WINDOWS\nortons.exe]
[mppds][D:\WINDOWS\mppds.exe]
[cmdbcs][D:\WINDOWS\cmdbcs.exe]
[yupxdnd][D:\DOCUME~1\xb\LOCALS~1\Temp\yupxdnd.exe]

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
96E3286E / 96E3286E 35541c4e


在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:

New0 / New0
XPROTECTOR / XPROTECTOR

双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
然后删除
C:\WINDOWS\System32\new.sys
C:\WINDOWS\system32\drivers\Oreans.sys
C:\WINDOWS\System32\mppds.dll
C:\WINDOWS\System32\cmdbcs.dll
C:\WINDOWS\System32\80E66A68.exe
C:\WINDOWS\System32\96E3286E.EXE
C:\WINDOWS\nortons.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\cmdbcs.exe
C:\DOCUME~1\xb\LOCALS~1\Temp下面所有文件
(如果你操作的时候发现某些文件不存在,说明你被感染的还不严重,不用太担心了,GOOD LUCK)

最后总结:
跟这几个启动项也斗争几天了,现在一下子没有它们了,还真有点舍不得,不知道我这个经历对于其他人是不是有帮助,不过还是想强烈推荐SRENG,以下是它的一些介绍
一、SREng 是什么?

SREng,全名System Repair Engineer(SREng):一般翻译为系统修复工程师,是世界上最先进的系统辅助分析工具之一。他的日志比hiJakcthis的更全(体现在hijackthis会遗漏一些启动项)另外 SREng的日志能提供更详细的诊断信息,方便清除QQ尾巴等顽固病毒。


------------- 如下封装的内容为官方网站的说明 ------------------

System Repair Engineer(SREng) 是一款全新的、强有力的、可扩充的用于调整和修复你系统的免费工具,在这个工具的帮助下,你可以察觉你的系统故障并能够很容易的修复他们。他的日志比 hiJakcthis的更全(体现在hijackthis会遗漏一些启动项)另外 SREng的日志能提供更详细的诊断信息,方便清除QQ尾巴等顽固病毒。

本工具的前身是 RegFix 注册表关键值修复工具,由于 RegFix 注册表关键值修复工具的局限性和当前系统环境的复杂性,我重新设计了一个新的软件,即 System Repair Engineer (SREng) 。

System Repair Engineer 的开发目的是:

★提供一个能够较快诊断出系统常见故障的工具。

★能够修复大多数常见的故障。

★能够生成一个扫描报告。

★能够运行于多种操作系统平台下,支持多语言界面。

★具备一定的自动检测修复能力。

★便于扩充并且能够以最小的代价进行扩充。

★System Adjust / Repair Utility 采用Microsoft Visual C++ .NET 2003 / MFC7.1开发,在MFC类库的基础上结合 Win32 API 做了适当的扩充以满足软件的需求。

★在 System Repair Engineer (SREng) 2.0版本里面,开放了近 20 项和系统维护相关的功能。System Repair Engineer

(SREng) 提供了以下一些功能:

★注册表启动组配置功能:能够允许/禁止注册表启动项是否随机启动。对于一些隐蔽启动组能够检测是否被篡改,如果默认值被篡改则会提示用户。

★常规启动组(使用启动文件夹启动的启动组)配置功能:能够允许/禁止文件夹启动项是否随机启动。

★WIN.INI、SYSTEM.INI、AUTOEXEC.BAT、CONFIG.SYS 配置功能:删除、新增、编辑项目。

★BOOT.INI配置功能:设置BOOT.INI默认启动项、设置延时时间,设置启动开关等。

★Win32服务配置功能:提供服务信息的枚举、禁用服务和删除服务功能。能够隐藏由 Microsoft Corp 发行的服务。

常见文件关联默认值自动检查修复功能

★Windows Shell 修复功能:修复常见的 Windows Shell 故障。

★Internet Explorer 修复功能:修复常见的 Internet Explorer 故障。

★浏览器加载项管理功能:包括BHO、工具栏、ActiveX、右键菜单项等。

★HOSTS文件配置功能:编辑、删除、新增HOSTS条目信息,

★Winsock Provider 配置功能:察看、删除Winsock Provider条目信息,

★智能扫描功能:智能扫描功能将扫描你的系统并给出一个详细的报告,在这个报告的帮助下,系统管理员能够发现一些你系统中存在的错误并告诉你如何使用 System Repair Engineer 或其他工具解决这些错误。

★我的扩展功能:以规则库的形式允许用户之间交换各自的配置,软件发行者也能够通过提供额外的规则库来增强软件的功能而不需要重新下载可执行文件。规则库的体积非常小巧,便于通过网络传输。

★内置的在线提示窗口:随时查看一些关键点的帮助信息。

★多语言自动切换功能或手工指定界面语言功能:想看什么语言界面就看什么语言界面,随心所欲。

大部分操作不需要重启或注销就能够立即生效功能:改变以往要使设置生效需要注销重新登陆的局面。

------------- 如上封装的内容为官方网站的说明 ------------------
二、SREng 如何修复

前提: SREng修复时,全部要求在安全模式下进行,以防止常规模式下清除不干净。

(安全模式是在重启电脑时按F8 选择进入“安全模式”)

1 注册表:

运行SREng主程序 点 启动 -->注册表 里找启动 ,找到有问题的,点“删除按钮”

并注意手动删除相关的文件。

2 服务:

SREng主程序 点 启动 -->服务 里找“服务”

(勾选 隐藏微软的服务),选中有问题的服务后,点“删除所选服务”按钮确定即可。

(操作同上面的删除服务)

SRENG的官方网站为 [url=http://www.kztechs.com/sreng]http://www.kztechs.com/sreng[/url]starger 51cto技术博客
starger 51cto技术博客
转自星辉博客
starger 51cto技术博客
出自 51CTO.COM博客
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-23 16:59 , Processed in 0.089914 second(s), 17 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表