碧海潮声大学生网

标题: 删除loadie.exe病毒的方法 [打印本页]

作者: 路飞 时间: 2008-1-8 15:58
标题: 删除loadie.exe病毒的方法
一、运行后的表现：

　　1、在C:Program FilesInternet Explorer释放loadie.exe。在C:释放kao.reg。

　　在D:释放autorun.inf和command.exe。（我的系统只有C、D两个分区）

　　C:kao.reg的内容为：

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

　　"AutoRun"="C:\Program Files\Internet Explorer\loadie.EXE"

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings]

　　"SyncMode5"=dword:00000003

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]

　　"NoDriveTypeAutoRun"=dword:00000095

　　"CDRAutoRun"=dword:00000000

　　2、通过80端口访问网络：

　　64.94.110.11美国加州

　　12.158.80.10美国ATT用户

　　60.28.242.137未知地址

　　72.246.46.70未知地址

　　......

　　此后，58.48.154.37狂扫本机端口，但被Tiny一一拦截掉（图）。

　　3、每次启动系统，loadie.exe加载iexplore.exe以及系统驱动ipnat.sys。C:kao.reg调用regedit，将其中内容写入注册表。

　　4、未打开IE浏览器前，即可见iexplore.exe进程。

　　5、修改注册表多处：

　　在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats

　　添加：

　　{0055C089-8582-441B-A0BF-17B458C2A3A8}

　　{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

　　{47833539-D0C5-4125-9FA8-0819E2EAAC93}

　　{92780B25-18CC-41C8-B9BE-3C9C571A8263}

　　{AE7CD045-E861-484F-8273-0445EE161910}

　　{DEDEB80D-FA35-45D9-9460-4983E5A8AFE6}

　　{FB5F1910-F110-11D2-BB9E-00C04F795683}

　　在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

　　添加：

　　"CDRAutoRun"=dword:00000000

　　"NoDriveTypeAutoRun"=dword:00000095

　　在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　添加："AutoRun"="C:\Program Files\Internet Explorer\loadie.EXE"

　　二、查杀流程：

　　断网。

　　关闭IE浏览器。

　　1、清理注册表：

　　展开：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats

　　删除：

　　{0055C089-8582-441B-A0BF-17B458C2A3A8}

　　{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

　　{47833539-D0C5-4125-9FA8-0819E2EAAC93}

　　{92780B25-18CC-41C8-B9BE-3C9C571A8263}

　　{AE7CD045-E861-484F-8273-0445EE161910}

　　{DEDEB80D-FA35-45D9-9460-4983E5A8AFE6}

　　{FB5F1910-F110-11D2-BB9E-00C04F795683}

　　展开：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

　　删除：

　　"CDRAutoRun"=dword:00000000

　　"NoDriveTypeAutoRun"=dword:00000095

　　展开：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings

　　删除："SyncMode5"=dword:00000003

　　展开：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　删除："AutoRun"="C:\Program Files\Internet Explorer\loadie.EXE"

　　2、删除文件：

　　C:Program FilesInternet Explorerloadie.exe。

　　C:kao.reg。

　　D:autorun.inf。

　　D:command.exe。

作者: 咯咯骡子 时间: 2008-1-10 13:10
安全模式用瑞星看看吧

欢迎光临碧海潮声大学生网 (http://www.zjoubbs.com/)