易表在线答疑技术与交流用户社区 → 如何杀15osa病毒


  共有12800人关注过本帖树形打印复制链接

主题:如何杀15osa病毒
帅哥哟,离线,有人找我吗?
流光
   1楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:新手上路 帖子:233 积分:0 威望:0 精华:0 注册:2006/10/30 14:51:00 		  发帖心情 Post By:2006/11/22 19:47:00 [显示全部帖子]

实际为在 C:\Program Files\Common Files 下存在两个不可见隐藏文件 150SA.exe 15OFFICE.dll

病毒 注入iexplore.exe 导致ie不正常,收藏夹无法正常工作,屏蔽杀毒网站

修改的注册表包括 : HKEY_local_machinesoftware\microsoft\currentversion\explorer\shell folders
           
           \adsl ?(未知)
           
           HKEY_local_machine\system\currentcontrolset\control\safeboot,清空该项下的所有项目,导致进入安全模式蓝屏。
           
生成 以下服务:   HKEY_local_machine\system\currentcontrolset\services\15AnRegProt
         HKEY_local_machine\system\currentcontrolset\services\15MsOffTDI
         HKEY_local_machine\system\currentcontrolset\services\IsDrv118
         HKEY_local_machine\system\currentcontrolset\services\IsDrv120

在启动中添加 :   Microsoft Office 15.lnk
-------------------------------------------------------------------------------------------------------------------------
解决方法:

因为病毒导致 icesword无法运行,不能删除隐藏的150SA.exe。所以要将硬盘做从盘
或者 进入dos系统,删除

1、删除: 150SA.exe 15OFFICE.dll 15MsOffTDI.sys 15AnRegProt.sys dosa.exe doffice.dll \Temp\tmpins06.exe \Prefetch\*.pf (如果有这些文件的话,这些是反编后看到的,不一定都存在)
2、删除: 相关服务
3、删除: Microsoft Office 15.lnk
4、恢复安全模式: 将以下注册表导入

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@=


 回到顶部
帅哥哟,离线,有人找我吗?
流光
   2楼 | 信息 | 搜索 | 邮箱 | 主页 | UC


加好友 发短信
等级:新手上路 帖子:233 积分:0 威望:0 精华:0 注册:2006/10/30 14:51:00 		  发帖心情 Post By:2006/11/22 19:49:00 [显示全部帖子]

你可以安装矮人dos工具来进入dos模式

 回到顶部
RSS2.0 | Xhtml无图版 | Xslt无图版 Copyright ©2002 - 2005 egrid2000.com   Powered By Dvbbs Version 8.3.0
页面执行时间 0.03125 秒, 6 次数据查询