去除木马msconfig.exe以及www.go2000.com and www.qq5.comt的方法

2009年11月5日星期四 | 标签: , , , , | |

清除msconfig.exe木马病毒

清除msconfig.exe木马病毒
下载了一个雨林木风的xp sp3系统,装完后又装了些常用软件,在开机时发现瑞星报告发现病毒,清除后重启依然出现病毒提示,而且浏览器主页被改成www。qq5。 com,ie属性里还有www。go2000。com,注册表启动项中添加指向c:\windows\system32\msconfig.exe的启动项,msconfig.exe是系统文件应该在C:\WINDOWS\pchealth\helpctr\binaries下,用360和瑞星扫描未发现异常,到安全模式下替换msconfig,重启后问题依据,不知道是系统里带的还是哪个软件捆绑的,这个是不是就是传说中的ie插件吧,有些人靠这个插件给自己网站每天带来很大流量,在网上搜索了下,有这问题的不少,但没发现有好的办法,看到有个人说用卡巴斯基2009,将Heuristic scan(启发式扫描)和Rookit scan都设置为deep scan, 然后对system32目录进行扫描,发现3个病毒,meassrv.exe,mcvcea.exe,msconfig.exe
但我用的是瑞星,于是将瑞星里查杀设置,设为自定义级别,将自定义里的所有扫描选项全部勾选,扫描system32目录,只发现一个 autocow.exe文件为病毒,还不是上面那个3个,查看system32目录只有mcvcea.exe这个文件,其它2个文件都没有,将这个病毒杀掉,重启电脑,不在弹出病毒警告,ie首页也没有在被更改。

还有:you2000.net这种网站看上去还可以,病毒营销很恶心,并且修改主页的功夫越来越强大了,只要重启动一下,主页就被它改了, 按照一般方法,将它清除掉之后,过两天又回来的。究其原因,就是没有清除干净。

结合网上所谈,以及个人经验,说说我的方法:

1. 删除:
c:\windows\system32\msconfig.exe
c:\windows\system32\msexch28.dll
c:\windows\system32\runassrv.exe
c:\windows\system32\wupnmg.exe

注:现在很难发现上面的msexch28.dll、runassrv.exe、wupnmg.exe文件;因为它变种了,所以还要查找并删除以下两项:

c:\windows\system32\mcvcea.exe ,

c:\windows\system32\mswxct.dll

2. 注册表删除
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
右侧的
"wz"="http://www.you2000.net"

也可以直接在注册表中查找,只要有you2000修改的,都将它还原或者干掉。

3. 如果发现msconfig.exe还在WINDOWS\SYSTEM32这个文件夹里面,立刻删除.
并复制一个正常的msconfig.exe到此处

4. 禁用并删除如下服务:

     [Remote Access / Remote Access]    <C:\WINDOWS\system32\mmutilse.exe runsrv /name:"Remote Access" /prinum:"32" /cmdline:"C:\WINDOWS\system32\mcvcea.exe">

该服务名有很多变种,有的叫 Network IP服务,

在注册表中删除与之相关的相!

 
我的QQ空间
破解无线路由密码 - - 好像比较实用
发完就睡觉..哈...看到这个标题,好像比较有用..先备份一下....
 

0 评论:


所有文章收集于网络,如果有牵扯到版权问题请与本站站长联系。谢谢合作![email protected]