逐梦论坛's Archiver

shillan 发表于 2007-1-25 11:04

eraseme 病毒的清除

病毒名:backdoor.win32.sdbot.add  backdoor.sdbot.upj

[color=blue]现象:[/color]
中此病毒后,显示隐藏文件后,能在c:\windows\winnt目录下(2000系统),出现几个eraseme_****.exe的隐藏文件(***代表数字),还能发现一个taskmrg.exe的隐藏文件,将其删除,当时重启关机后都没有了,但是没多久又会自动生成。并在系统服务里添加以数字命名的服务。
[img]http://www.zhumeng.org/attachments/fileType/jpg.gif[/img]此主题相关图片
[url=http://www.zhumeng.org/attachments/2007/01/25/113509.jpg][img]http://www.zhumeng.org/attachments/2007/01/25/113509s.jpg[/img][/url]
[color=red]解决:[/color]
1、断开网络。结束病毒进程csrs.exe。这个病毒有进程守护功能,可用icesword“禁止进程创建”,然后再结束csrs.exe。也可直接进入安全模式。
2、开始-运行,输入services.msc打开服务,找到application layer gateway services、windows explorer和taskmrg,将它们停止并禁用。
  (注意:taskmgr.exe和taskmrg.exe进程的区别:taskmgr.exe是系统管理器的进程;taskmrg.exe是病毒的进程。)
3、删除c:\winnt\文件夹中的病毒文件csrs.exe;
   删除c:\winnt\alg.exe  c:\winnt\explore.exe(注意:不是explorer.exe)、c:\winnt\eraseme_*****.exe及c:\winnt\taskmrg.exe;
   系统盘中搜索并删除以下文件:rofl.sys(这个就是病毒的传播源)、apocx.exe、gcxsrvc.exe和psys32.exe。
4、清理注册表:hkey_local_machine\system\currentcontrolset\services 删除:wservtime;
   注册表里分别搜索explore.exe、taskmrg、rofl.sys(这个就是病毒的传播源)、apocx.exe、gcxsrvc.exe和psys32.exe并删除相关项。
5、如果不使用共享,可通过修改注册表关闭本地驱动器的共享:
    (1)开始---运行---regedit。
    (2)关闭c$、d$、e$一类的默认共享:找到[hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters],将右侧窗口中的dowrd值“autoshareserver”设置为“0”即可。(没有该键值就新建一个)
    (3)关闭admin$共享:找到[hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters],将右侧窗口中的dowrd值“autosharewks”设置为“0”即可。(没有该键值就新建一个)
    (4)关闭ipc$共享:打开[hkey_local_machine\system\currentcontrolset\control\lsa]分支,将右侧窗口中的dowrd值“restrictanonymous”设置值为“1”即可。(没有该键值就新建一个)
    (5)关闭注册表编辑器,重起电脑使设置生效。

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.