怎么样能够处理中了Torjan program木马的问题?
呆在天津快一个月了.前天晚上回到北京.久别了,北京,呵呵.
今天来到公司,突然发现程序跑不起来了.昨天不是还好好的,怎么今天就不行了呢,我想,是不是系统又出现了什么问题.看了一下注册表.发现[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]里面多了个陌生进程"Torjan program",位置"C:/WINNT/WINLOGON.EXE",这个名称在卡巴斯基里是一个木马.我的电脑肯定中毒了.我刚用瑞星的扫描一遍电脑呢,没有发现问题。看来这个病毒能躲过瑞星的追杀。到网上查了一下资料,发现"Torjan program"这是个比较变态的传奇木马,会修改很多注册表的关联,有多个变种,包括csrss.exe、services.exe、smss.exe,svchost.exe、lsass.exe、winlogon.exe等都会感染.我这次被感染的是windogon.exe。没有手工杀毒经验的朋友还是建议重装系统,这样可能效果更好。
运行病毒文件之后创建以下文件:
C:/WINDOWS/Debug/DebugProgram.exe
C:/WINDOWS/system32/command.pif
C:/WINDOWS/system32/dxdiag.com
C:/WINDOWS/system32/finder.com
C:/WINDOWS/system32/MSCONFIG.COM
C:/WINDOWS/system32/regedit.com
C:/WINDOWS/system32/rundll32.com
C:/WINDOWS/1.com
C:/WINDOWS/ExERoute.exe
C:/WINDOWS/explorer.com
C:/WINDOWS/finder.com
C:/WINDOWS/services.exe
修改EXE文件关联。
添加到启动项:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
Torjan Program----------C:/WINDOWS/services.exe
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
Torjan Program----------C:/WINDOWS/services.exe
修改SYSTEM.INI 原始值应该为shell = Explorer.exe 修改为shell = Explorer.exe 1(实现启动加载Explore.exe后紧接着加载1)
各在磁盘根目录中添加文件autorun.inf,打开磁盘就会激活病毒。
多种方法来启动自己保护自己,比较难查杀。
查杀过程(被感染的文件不一样或是操作系统的版本不同,文件名称或是路径可能有点不同。不过按照这个方法来做,是可以解决问题的):
下载SREng.exe,并改名为SREng.com SRE的下载地址是:[url]http://www.kztechs.com/sreng/sreng.zip[/url] 运行SREng.com,在“系统修复”→“文件关联”里勾选“.EXE”项(如果EXE关联错误默认就会勾上的),并“修复”,恢复EXE文件关联 。然后打开IceSword(下载地址:[url]http://www.xfocus.net/tools/200509/IceSword_en1.12.rar[/url]),结束病毒的进程。注意进程里面有两个winlogon.exe,正常的为C:/WINDOWS/system32/winlogon.exe,那么另外一个就是病毒的进程了。结束了病毒进程之后在IceSword里面打开文件,找到并删除病毒所创建的文件(文章开头列出了这些文件)。打开注册表(开始-运行-regedit) 找到:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
删除其中的Torjan Program----------C:/WINDOWS/winlogon.exe
再找到:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
把其中shell的值改回为shell = Explorer.exe
然后在每个盘的根目录中找autorun.inf文件(先显示隐藏文件和系统文件),找到就删除。
重启之后病毒就不会再出现了。
另外可能病毒杀死后会出现双击IE浏览器系统提示找不到iexplorer.com文件,这个时候你直接选浏览,然后找到iexplorer.exe,确定就可以了。
(附:没试过,看了就感觉比较麻烦)
Torjan program病毒手工查杀过程
病毒现象:
自启动项中 Torjan program(c:/windows/services.exe)
系统多了进程c:/windows/services.exe
金山毒吧,咔吧司机不能运行
杀毒过程:
1、杀掉services.exe进程。(注意不要误杀系统services.exe 它在windows/system32文件夹下,如果误杀,会出现倒记时关机提示,可以在命令行下输入shutdown -a终止关机操作)杀掉以后发现该进程马上自动启动,考虑到一定有其他进程在守护它,但看进程列表里面并没有其他异常进程,服务里面也没有其他异常服务。于是考虑一定是系统启动时调用了dll格式的木马文件!但手边无工具,无法判断dll格式木马文件位置。
2、用98光盘重启,attrib修改c:/windows/services.exe c:/windows/1.com的属性,删除。重启至安全模式。
3、发现系统进程里还是存在c:/windows/services.exe,但是可以杀死了。完了后直接删除。试着可以启动咔吧司机,升级之,提示发现 木马,是78234.dll文件(几个dll文件,现在记不得了)。。。但不能删除。记下名字,用98光盘启动删除之。再删除c:/windows/services.exe 1.com(没删除dll文件之前,这两个文件系统启动就自动生成。)
4、但重启系统后发现双击exe文件提示对指定设备,路径和文件访问被拒绝。咔吧司机也不能启动
5、打开“我的电脑”,进入菜单“工具”→“文件夹选项”→“文件类型”,单击“新建”弹出“新建扩展名”对话框,在“文件扩展名”框中填入“exe”,接着单击“高级”,在“关联的文件类型”下拉框中选择“应用程序”,单击“确定”返回,最后单击“应用”后关闭对话框。如果还不行,再将Windows目录下的注册表编辑器“Regedit.exe”改为“Regedit.com”,然后运行它,依次找到HKEY_CLASSES_ROOT/exefile/shell/open/command,双击“默认”字符串,将其数值改为"%1" %*就可以了。
6、exe格式文件可以运行。看到已无异常进程。启动咔吧司机,做做扫尾工作,把“我的电脑”都扫描一遍。
本文地址:http://www.45fan.com/dnjc/68582.html