逐梦论坛's Archiver

shillan 发表于 2006-1-13 06:39

清除Iexplores.exe 病毒 Backdoor.Win32.Tompai.e 病毒 Win32.Hack.Tompai.b.650

[color=red]文章一:[/color]

[color=blue]win32.hack.tompai.b.65024:[/color]

win32.hack.tompai.b.65024 病毒作用机理分析:
这是一个典型的基于移动存储设备(尤其是优盘)传播的病毒,
中毒后的症状会在每一个分区根目录生成autorun.inf,并将病毒体释放到每个分区的根目录,文件名是:iexplores.exe
在c:\windows\system目录下释放若干病毒体,
修改四处注册表为病毒添加自启动项目,
病毒体激活状态下,某些杀毒软件杀毒可能会造成“无法清除”的现象,
因此我提供一个批处理来完成杀毒的全部过程,
由于这个批处理工具仅适用于 windows xp / 2003 环境
注意:该病毒通过移动存储设备交叉感染,使用这个批处理以前请插入感染病毒的优盘
使用办法如下:

1.打开记事本,输入以下文字:

@echo.
@echo 清除当前激活的病毒体……
@c:
@cd c:\windows\system
@for %%x in (cmpku.exe netcompt.exe loadms.exe ptsnopt.exe mainsv.exe ntdllf.exe ptsnoptnt.exe) do @taskkill /f /im %%x /t & attrib -a -s -r -h %%x & del %%x /f
@cd ..
@for %%x in (mapserver.exe mswinsck.ocx) do @taskkill /f /im %%x /t & attrib -a -s -r -h %%x & del %%x /f
@echo ……完成!
@echo.
@echo 清除所有分区根目录下的病毒体及自动运行配置文件……
@for %%x in (a b c d e f g h i j k l m n o p q r s t u v w x y z) do @if exist %%x:\ @echo 删除%%x:\autorun.inf …… & @%%x: & @cd \ & if exist autorun.inf attrib -a -s -r -h autorun.inf & del autorun.inf & if exist iexplores.exe attrib -a -s -r -h iexplores.exe & del iexplores.exe & @echo ……完成! & @echo.
@echo ……完成!
@echo.
@echo 清除系统自启动项……
@reg delete hklm\software\microsoft\windows\currentversion\run /v cmpnt /f
@reg delete hklm\software\microsoft\windows\currentversion\runservices /v cmpnt /f
@reg delete hkcu\software\microsoft\windows\currentversion\run /v ntcheck /f
@reg delete hkcu\software\microsoft\windows\currentversion\runonce /v shell /f
@echo ……完成!
@echo.
@echo.
@echo 您已经成功完成上述操作
@echo 谢谢使用 !
@echo.
@pause
@exit

2.保存为后缀*.bat的文件,例如:kill_tompai.bat

3.双击运行即可清除 win32.hack.tompai.b.65024


[table][color=blue]《批处理:清除病毒残留的autorun.inf》[/color]
[align=left][/align][align=left][color=#6600ff][b][img]http://zplinux.go3.icpcn.com/img/heading_01.gif[/img]问题的提出:[/b][/color][/align][align=left]有些病毒通过autorun.inf启动,并通过移动存储设备(优盘、软盘等)传播。近期流行的这类型病毒有:[color=#ff0000]win32.joke.happy.73728[/color]、[color=#ff0000]win32.hack.tompai.b.65024[/color]。这类型病毒有这共同的特征:病毒激活状态下,会自动在每一个分区根目录下释放病毒体,并生成autorun.inf加载病毒体。假设病毒体文件名称是1.exe,那么在autorun.inf中必然会有这样一行:open=1.exe。[color=#6600ff][b](图01)[/b][/color][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_501.gif[/img][/align][align=left]双击这个分区不是打开该分区,而是会通过autorun.inf运行病毒,从而使病毒交叉感染。细心的朋友一定会发现,在该分区上右键菜单中多出了一个项目“自动播放”。[color=#6600ff][b](图02)[/b][/color][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_502.gif[/img][/align][align=left]利用杀毒软件查杀以后,一般情况下都能够把这类型病毒杀掉。但是由于病毒残留的autorun.inf文件不具备病毒特征,因此不会被杀毒软件清除,这类型的文件可以称之为“病毒残留文件”。直接导致的结果是:右键菜单中依然有“自动播放”项目、双击该分区并不会激活病毒(病毒已经杀掉了),但是会跳出下图所示的对话框:[color=#6600ff][b](图03)[/b][/color][/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_503.gif[/img][/align][align=left][b][color=#6600ff][img]http://zplinux.go3.icpcn.com/img/heading_02.gif[/img][/color][/b][color=#6600ff][b]问题的解决途径:[/b][/color]

文件夹选项——显示隐藏文件/显示系统文件——到每个分区根目录下删除autorun.inf。

累不累啊?当你的硬盘分区比较多的时候,我想你一定很累。如果你是电脑新手,你还可能会问我:“文件夹选项”在哪里?怎么“显示隐藏文件/显示系统文件”?

由于这类型病毒比较典型,传播比较广泛。因此我专门为此写了一个批处理文件来清除各分区根目录下的autorun.inf文件。也不需要改什么设置了,运行这个批处理以后,全部搞定!

下面就跟着我来做:

1.打开记事本,输入下面的文字:

@echo.
@echo 清除各分区根目录下autorun.inf ……
@echo.
@for %%m in (a b c d e f g h i j k l m n o p q r s t u v w x y z) do @if exist %%m:\ @%%m: & @cd \ & @if exist autorun.inf @attrib -a -s -r -h autorun.inf & @del autorun.inf & @echo 清除 %%m:\autorun.inf ……完成!
@echo.
@echo 您已经成功完成上述操作
@echo 谢谢使用 !
@echo.
@pause
@exit

2.将上述文本内容保存为*.bat文件,例如del_autorun.bat。

3.双击运行就可以了。效果图如下:[color=#6600ff][b](图04)[/b][/color][/align][align=left][b][color=#6600ff][img]http://zplinux.go3.icpcn.com/img/article_05_504.gif[/img][/color][/b]
[/table]



[color=red]文章二:[/color]

先把一些可疑的进程结束掉,然后用记事本把下面的东西另存为reg后缀的注册表文件,然后双击导入到注册表windows registry editor version 5.00

[hkey_local_machine\software\microsoft\windows\currentversion\run]
"cmpnt"=-

[hkey_local_machine\software\microsoft\windows\currentversion\runservices]
"shell"=-

[hkey_current_user\software\microsoft\windows\currentversion\run]
"ntcheck"=-

[-hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints\d\shell]
[-hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints\e\shell]
[-hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints\g\shell]
[-hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints\h\shell]
[-hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints\i\shell]
[-hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints\j\shell]
-------------------------------------------------

再把下面的内容另存为bat后缀的批处理文件,然后双击运行
---------------------------
@echo off
del c:\winnt\system\netcompt.exe /f/ah
del c:\winnt\system\ntdllf.exe /f/ah
del c:\winnt\system\ntdllfnt.exe /f
del c:\winnt\system\netcomptnt.exe /f
del c:\winnt\system\mainsv.exe /f/ah
del c:\winnt\mapserver.exe /f/ah
del d:\autorun.inf /f/ah
del d:\iexplores.exe /f/ah
del e:\autorun.inf /f/ah
del e:\iexplores.exe /f/ah
del f:\autorun.inf /f/ah
del f:\iexplores.exe /f/ah
del g:\autorun.inf /f/ah
del g:\iexplores.exe /f/ah
del h:\autorun.inf /f/ah
del h:\iexplores.exe /f/ah
del i:\autorun.inf /f/ah
del i:\iexplores.exe /f/ah
del j:\autorun.inf /f/ah
del j:\iexplores.exe /f/ah
regedit -s c:\killvir.reg
echo on

---------------------
[color=red]文章三:[/color]

[color=blue]手动清除后门程序iexplores.exe[/color]

      计算机感染了后门程序病毒,江民杀毒好几次都不能清除干净,就是在安全模式下杀毒也是无能为力。每次都能查杀出几个病毒,主要分布在c:\windows\system\目录(我用的是winxp,win2000下的目录是c:\winnt\system\),以及除c盘以外的其它盘符根目录。显示杀毒成功后,再双击打开除c盘外的其它盘符,就会出现系统提示:无法找到程序iexplores.exe,正是江民软件显示的后门病毒程序。

通过google收集了一些出现类似情况的处理对策,得知原来是在盘符根目录下的autorun.inf程序在作怪。又通过个人的几次尝试,终于发现了解决办法。

首先,打开任务管理器,停止非法进程,可能的非法进程包括ntdllf.exe、netcompt.exe、comptnt.exe和ptsnopt.exe。对xp用户,也可在cmd下,tasklist列出系统的进程,然后用tskill分别对上述非法进程杀之。

其次,更改注册表设置,具体为:开始-》运行-》regedit进入注册表,在hkel_local_machine\software\microsoft\windows\currentversion\run项目中,删除系统启动时加载的非法项目,可能的项为:cmpnt(名称)/reg_sz(类型)/c:\windows\driver.com(键值),或者其他名称的非法项目。同时查找runonce、runservice等currentversion目录下名字含run的目录,检查是否有非法键值,如shell(名称)、mainsv.exe(键值)。接着,检查hkel_local_machine\system\controlsetool\control\session manager项目,删除非法项,如pendingfilerenameoperations(名称)/reg_multi_sz(类型)/"\??\c:\windows\system\loadms.exe"(键值)。

再次,删除c:\windows\system\目录下的病毒执行文件,我所遇到的文件名称有:ntdllf.exe、mainsv.exe、netcompt.exe、netcomptnt.exe、ptsnopt.exe、loadms.exe和loadmsnt.exe,一般为.exe文件,能够比较明显的分辩出来。(因为此目录文件多为.dll形式)

最后,在dos环境下删除各盘符下的autorun.inf和iexplores.exe文件,具体命令为:

d:\>attrib autorun.inf -s -h -r (去掉该文件的系统、隐藏、只读属性)

d:\>del autorun.inf

d:\>attrib iexplores.exe -s -h -r

d:\>del iexplores.exe

d:\>dir /a (查看目录下所有文件,此时将看不到以上两个文件了!^_^)

      当然你也可以各盘符下在工具栏---文件夹选项--查看下,选显示所有文件和文件夹,同时去除隐藏受保护的系统文件前的勾,显示出上面的两个文件,杀之!病毒即可清除。
至此,病毒清除完毕。

windows无法找到iexplores.exe或者双击活动硬盘无法打开的这类问题应该这样来解决:
如果你的活动硬盘是f盘,则将注册表中
hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints\f\shell 项删除,这样就解决了!

问题解决了,分析一下原因吧。造成双击磁盘打不开,出现“windows无法找到iexplores.exe”的原因是这样的:
首先你的活动硬盘感染了win32.hack.tompai.b.65024这种病毒。在金上毒霸的网站上对于它是这么解释的:
这个病毒使用了后门,后门种植者通过该后门,秘密控制受感染机器,这个病毒工作于windows 32平台。
([url=http://db.kingsoft.com/c/2005/03/24/181620.shtml]http://db.kingsoft.com/c/2005/03/24/181620.shtml[/url])

通过分析,我发现tompai病毒会在活动硬盘的根目录生成iexplores.exe文件,这个文件的作用是:当你双击活动硬盘的盘符时,系统会调用iexplores.exe文件自动播放活动硬盘的内容,作为传播病毒的一种方式。
当你将活动硬盘接到某个主机上时,这台主机上可能装有金山毒霸,瑞星等杀毒工具,这些杀毒工具可以将活动硬盘根目录的病毒文件iexplores.exe直接删除掉。

但是,病毒在注册表中留下的信息没有被清除掉,所以当你再准备双击打开活动硬盘时,系统仍然会按照注册表的描述去调用iexplores.exe来播放活动硬盘的内容,由于这时文件已被删除,所以提示windows无法找到iexplores.exe。

[/align]

longqian 发表于 2006-1-16 22:54

hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints\f  下没有shell啊
请问怎么办啊
谢谢
急[EM03]

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.