我的电脑中标了C:\WINDOWS\SYSTEM32\REG.EXE 这是什么木马啊怎么办
2个回答
展开全部
我建议你清除一下多余启动项,
复制双横线下面的内容,粘贴到一个文本文档中,再将文档命名为“清理多余启动项.bat”
===============================================================
@ ECHO OFF
@ ECHO.
@ ECHO. 说 明
@ ECHO --------------------------------------------------------------
@ ECHO 本批处理会自动清理所有非必要的启动项目,仅保留输入法(ctfmon)。
@ ECHO 目的是减少不必要的资源占用,使系统运行顺畅。但清理掉的项目不作
@ ECHO 备份,请小心使用。 《一叶》作者编。
@ ECHO --------------------------------------------------------------
PAUSE
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /va /f
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /va /f
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v ctfmon.exe /d C:\WINDOWS\system32\ctfmon.exe
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1" /v command /d ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1" /v hkey /d HKLM
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1" /v inimapping /d 0
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1" /v item /d IMJPMIG
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1" /v key /d SOFTWARE\Microsoft\Windows\CurrentVersion\Run
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A" /v command /d "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A" /v hkey /d HKLM
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A" /v inimapping /d 0
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A" /v item /d TINTSETP
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A" /v key /d SOFTWARE\Microsoft\Windows\CurrentVersion\Run
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync" /v command /d ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync" /v hkey /d HKLM
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync" /v inimapping /d 0
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync" /v item /d TINTSETP
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync" /v key /d SOFTWARE\Microsoft\Windows\CurrentVersion\Run
del "C:\Documents and Settings\All Users\「开始」菜单\程序\启动\*.*" /q /f
del "C:\Documents and Settings\Default User\「开始」菜单\程序\启动\*.*" /q /f
del "%userprofile%\「开始」菜单\程序\启动\*.*" /q /f
start C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
=======================================
ie136ve28 2009-10-21 23:52:10 这是一个U盘病毒!
用USBCleaner6.0 可以完全灭杀!
USBCleaner6.0
它除了基本查毒功能之外还有保护时间
恢复被病毒隐藏的文件、安全卸载移动盘符
修复注册表修复安全模式等等...
最新版的
USBCleaner V6.0 Build 20070824 完全版(病毒数337)
ishare.iask.sina/cgi-bin/fileid.cgi?fileid=2145798(病毒数337)
ishare.iask.sina/cgi-bin/fileid.cgi?fileid=2070500(病毒数324)
详细可以看看这里:
cidian.iask.sina/cidian/browse.php?name=移动物质中的的autorun.inf文件
这个病毒有点奇怪,是一个宣传性质的病毒,主要是推广那个“军军”笔记本专卖。中毒后最显著的症状就是,再“我的电脑”图标上右键单击,选择“属性”,在出现的系统属性对话框中,“常规”项下会有关于“军军”的宣传信息和图片。只要有着两个信息,就证明已经中了病毒。此外,在任务管理器中还可以看到jun.exe病毒进程。
二、行为分析:
生成文件:
C:\WINDOWS\system32\jun.exe 765603
C:\WINDOWS\system32\oeminfo.ini 524
C:\WINDOWS\system32\oemlogo.bmp 40374
X:\autorun.inf
X:\jun.exe
修改注册表项,添加自启动:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<jun><c:\windows\system32\jun.exe>
oeminfo.ini的内容:
三、手动解决方法:
1、结束进程jun.exe
2、依次删除:
C:\WINDOWS\system32\jun.exe
C:\WINDOWS\system32\oeminfo.ini
C:\WINDOWS\system32\oemlogo.bmp
将各盘符下的autorun.inf,jun.exe删除
3、删除注册表启动项目:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<jun><c:\windows\system32\jun.exe>
可以记住生成文件路径--显示隐藏文件--结束病毒进程--强行删除
<font color=#0556A3>参考文献:</font>.cisko/virus/virus/200707/476.html<BR/>附件:<a href="/browse/download.php?path=/81/94/01/1290819401.10343778.rar&filename=auto病毒解决方案附件.rar" target="_blank">auto病毒解决方案附件.rar</a>
复制双横线下面的内容,粘贴到一个文本文档中,再将文档命名为“清理多余启动项.bat”
===============================================================
@ ECHO OFF
@ ECHO.
@ ECHO. 说 明
@ ECHO --------------------------------------------------------------
@ ECHO 本批处理会自动清理所有非必要的启动项目,仅保留输入法(ctfmon)。
@ ECHO 目的是减少不必要的资源占用,使系统运行顺畅。但清理掉的项目不作
@ ECHO 备份,请小心使用。 《一叶》作者编。
@ ECHO --------------------------------------------------------------
PAUSE
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /va /f
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /va /f
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v ctfmon.exe /d C:\WINDOWS\system32\ctfmon.exe
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1" /v command /d ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1" /v hkey /d HKLM
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1" /v inimapping /d 0
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1" /v item /d IMJPMIG
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1" /v key /d SOFTWARE\Microsoft\Windows\CurrentVersion\Run
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A" /v command /d "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A" /v hkey /d HKLM
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A" /v inimapping /d 0
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A" /v item /d TINTSETP
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A" /v key /d SOFTWARE\Microsoft\Windows\CurrentVersion\Run
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync" /v command /d ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync" /v hkey /d HKLM
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync" /v inimapping /d 0
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync" /v item /d TINTSETP
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync" /v key /d SOFTWARE\Microsoft\Windows\CurrentVersion\Run
del "C:\Documents and Settings\All Users\「开始」菜单\程序\启动\*.*" /q /f
del "C:\Documents and Settings\Default User\「开始」菜单\程序\启动\*.*" /q /f
del "%userprofile%\「开始」菜单\程序\启动\*.*" /q /f
start C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
=======================================
ie136ve28 2009-10-21 23:52:10 这是一个U盘病毒!
用USBCleaner6.0 可以完全灭杀!
USBCleaner6.0
它除了基本查毒功能之外还有保护时间
恢复被病毒隐藏的文件、安全卸载移动盘符
修复注册表修复安全模式等等...
最新版的
USBCleaner V6.0 Build 20070824 完全版(病毒数337)
ishare.iask.sina/cgi-bin/fileid.cgi?fileid=2145798(病毒数337)
ishare.iask.sina/cgi-bin/fileid.cgi?fileid=2070500(病毒数324)
详细可以看看这里:
cidian.iask.sina/cidian/browse.php?name=移动物质中的的autorun.inf文件
这个病毒有点奇怪,是一个宣传性质的病毒,主要是推广那个“军军”笔记本专卖。中毒后最显著的症状就是,再“我的电脑”图标上右键单击,选择“属性”,在出现的系统属性对话框中,“常规”项下会有关于“军军”的宣传信息和图片。只要有着两个信息,就证明已经中了病毒。此外,在任务管理器中还可以看到jun.exe病毒进程。
二、行为分析:
生成文件:
C:\WINDOWS\system32\jun.exe 765603
C:\WINDOWS\system32\oeminfo.ini 524
C:\WINDOWS\system32\oemlogo.bmp 40374
X:\autorun.inf
X:\jun.exe
修改注册表项,添加自启动:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<jun><c:\windows\system32\jun.exe>
oeminfo.ini的内容:
三、手动解决方法:
1、结束进程jun.exe
2、依次删除:
C:\WINDOWS\system32\jun.exe
C:\WINDOWS\system32\oeminfo.ini
C:\WINDOWS\system32\oemlogo.bmp
将各盘符下的autorun.inf,jun.exe删除
3、删除注册表启动项目:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<jun><c:\windows\system32\jun.exe>
可以记住生成文件路径--显示隐藏文件--结束病毒进程--强行删除
<font color=#0556A3>参考文献:</font>.cisko/virus/virus/200707/476.html<BR/>附件:<a href="/browse/download.php?path=/81/94/01/1290819401.10343778.rar&filename=auto病毒解决方案附件.rar" target="_blank">auto病毒解决方案附件.rar</a>
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
