Search in uioop.blogspot.com

Blog Archive

Sunday, November 18, 2007

kangen.exe病毒

手动杀毒方法

1、进入safemode..
在 windows/system/里,删除 winword.exe 和 winlog.dat
进 regedit
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
delete 掉 "OSA" = "%System%\winword.exe" 和 "LoadService" = "Rest In Peace"
洗掉 HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Pradana
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
洗掉"DisableRegistryTools" = "1" 和 "DisableTaskMgr" = "1"

2、
1.先在任务管理器中结束所有winword.exe的进程,特别是你没有打开任何word文档,却有这个进程时。
2.然后搜索所有名为kangen的文件,找到后全都删除。还有在c:\windows\prefetch这个文件夹中也删了。
3.然后就没问题了。
其实大家也发现,无论是软件杀毒,还是手动杀毒,总还是有问题存在,症状如各帖所说。不管那么多,
怎么都好,我们杀了这万恶的kangen再说。要注意,有的杀毒软件会询问你是否删除被感染文件,
当你有重要的word文档时,这个选项慎重对待。另外,杀毒最好进安全模式下杀,有的杀毒软件是纯Dos杀毒
(上网找资料,我找了没搞懂),据说这种比较好,杀得比较彻底。无论是软件还是手动,至少要确保你去
掉了这两个东西:winword.exe 和 winlog.dat。随便说一句,我用的是麦咖啡,在C盘system下杀出二十几个
东东,而用别的杀不出来。

然后再解决各种症状:1、防火墙的问题,在运行中输入msconfig,点启动标签,把所有选项去掉,再开机发现
就不会不断重启了。2、注册表与任务管理器被禁用的问题,进安全模式,发现有两个(或两个以上)的用户,
选管理员(系统自带)的用户,里面是可以用注册表的。进控制面板,点用户帐户,把不能用注册表的帐户删掉
,另建一个新的。当然,这样做会丢失一些东西甸(如桌面,我的文档等),你可以先用原帐户备份,我不能确定
我那个用户没有被感染的文件,所以全不要了。这样使用新帐户,注册表就可以用了。
简单说来就是杀毒,去掉启动项,去掉不能用注册表的用户

还有一种手动杀毒的方法,具体和上面大同小异:
开机进入按F5或F8,选择进入安全模式。
然后在你系统盘里找到X:\windows/ststem和system32下找winword.exe 和 winlog.dat找到后删除。
然后打开开始菜单-运行:输入regedit后回车,打开注册表编辑器,
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下删除 "OSA" = "%System%\winword.exe" 和 "LoadService" = "Rest In Peace"两个键值。
同样删除HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Pradana
和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下的这两个值。
然后看看%Windir%下是否有eksplorasi.exe 名字,有的话删除。
还有%System%下“你的用户名”'s Setting.scr文件,有的话删除。
在%UserProfile%\Local Settings\Application Data\ 下如果有以下名字的,删除。
csrss.exe
inetinfo.exe
lsass.exe
services.exe
smss.exe
winlogon.exe
删除在 %UserProfile%\Start Menu\Programs\Startup\ 的Empty.pif 文件
删除在 %UserProfile%\Templates\ 的Brengkolang.com 文件。
删除在 %Windir%\ShellNew\ 下sempalong.exe文件。
删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下的
"Bron-Spizaetus" = ""%Windir%\ShellNew\sempalong.exe""
"Tok-Cirrhatus" = "%UserProfile%\Local Settings\Application Data\smss.exe""
删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的
"Shell" = "Explorer.exe "%Windir%\eksplorasi.exe""

No comments:

AVG Internet Security 2013

Total Pageviews

Contributors