Kvsc3.exe,IGM.exe 病毒木马专杀
[转贴 2007-11-21 16:10:05]
清除方法:
1 强制删除如下涉及的文件 建议用xdelbox
2 SRENG操作 删除如下各项
启动项目
注册表
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
<wxClient><C:/WINDOWS/system32/Clsmn.exe> []
<NVDispDrv><C:/WINDOWS/NVDispDrv.exe> []
<AVPSrv><C:/WINDOWS/AVPSrv.exe> []
<GenProtect><C:/WINDOWS/GenProtect.exe> []
<WinForm><C:/WINDOWS/WinForm.exe> []
<upxdnd><C:/WINDOWS/upxdnd.exe> []
<MsIMMs32><C:/WINDOWS/MsIMMs32.exe> []
<Kvsc3><C:/WINDOWS/Kvsc3.exe> []
<cmdbcs><C:/WINDOWS/cmdbcs.exe> []
<WinSysM><C:/WINDOWS/IGM.exe> []
<WinSysW><C:/WINDOWS/swchost.exe> []
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{AAF3B135-E338-491A-B3CB-9D75DA02C5D1}><C:/Program Files/Internet Explorer/PLUGINS/NinSys74.Sys> []
<{383D0D27-789F-4543-9760-D4E199623476}><C:/WINDOWS/system32/djqxhntyekp.dll> []
<{5BD41097-3693-4133-820E-FDAC57AF00E2}><C:/Program Files/Internet Explorer/PLUGINS/NvSys74.Sys> []
<{09F8A0EB-ED61-4714-B0AD-7EAFF5361A8B}><C:/WINDOWS/system32/zhjtrx.dll> [] 本内容来源于54pe.com
如果要防御,按文件路径建立同名文件夹的方法。
如果存在文件名随机的话则比较麻烦,要一台一台的分析。
最后用windows清理助手或者金山清理专家等工具清理 。
问题现象:
中的是木马群,网吧主板自带三茗保护卡,大部分机器没事,有些机器开机就下载N多木马,有还原也没用,中毒机器一开机欣向 ARP扫描就提示,网吧用的是MSS软路由服务器,路由上和客户端都双向绑定IP MAC,下面客户端是开机执行MSS上的批处理绑定的,但是遇到ARP有的机器还是掉线,批处理里面已经添加类似:
md c:/WINDOWS/IGM.exe >nul 2>nul
>>%systemroot%/system32/drivers/etc/hostsecho 0.0.0.0 72.8.136.158
注册表里面也添加类似:[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/IGM.exe]
"Debugger"="c://病毒类.exe" 内容来自清除病毒
但是没什么效果,病毒照样运行,请问崔老师,这样的病毒该如何防范措施免疫?比如添加批处理命令,或客户机组策略绑定,谢谢!
1 强制删除如下涉及的文件 建议用xdelbox
2 SRENG操作 删除如下各项
启动项目
注册表
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
<wxClient><C:/WINDOWS/system32/Clsmn.exe> []
<NVDispDrv><C:/WINDOWS/NVDispDrv.exe> []
<AVPSrv><C:/WINDOWS/AVPSrv.exe> []
<GenProtect><C:/WINDOWS/GenProtect.exe> []
<WinForm><C:/WINDOWS/WinForm.exe> []
<upxdnd><C:/WINDOWS/upxdnd.exe> []
<MsIMMs32><C:/WINDOWS/MsIMMs32.exe> []
<Kvsc3><C:/WINDOWS/Kvsc3.exe> []
<cmdbcs><C:/WINDOWS/cmdbcs.exe> []
<WinSysM><C:/WINDOWS/IGM.exe> []
<WinSysW><C:/WINDOWS/swchost.exe> []
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
<{AAF3B135-E338-491A-B3CB-9D75DA02C5D1}><C:/Program Files/Internet Explorer/PLUGINS/NinSys74.Sys> []
<{383D0D27-789F-4543-9760-D4E199623476}><C:/WINDOWS/system32/djqxhntyekp.dll> []
<{5BD41097-3693-4133-820E-FDAC57AF00E2}><C:/Program Files/Internet Explorer/PLUGINS/NvSys74.Sys> []
<{09F8A0EB-ED61-4714-B0AD-7EAFF5361A8B}><C:/WINDOWS/system32/zhjtrx.dll> [] 本内容来源于54pe.com
如果要防御,按文件路径建立同名文件夹的方法。
如果存在文件名随机的话则比较麻烦,要一台一台的分析。
最后用windows清理助手或者金山清理专家等工具清理 。
问题现象:
中的是木马群,网吧主板自带三茗保护卡,大部分机器没事,有些机器开机就下载N多木马,有还原也没用,中毒机器一开机欣向 ARP扫描就提示,网吧用的是MSS软路由服务器,路由上和客户端都双向绑定IP MAC,下面客户端是开机执行MSS上的批处理绑定的,但是遇到ARP有的机器还是掉线,批处理里面已经添加类似:
md c:/WINDOWS/IGM.exe >nul 2>nul
>>%systemroot%/system32/drivers/etc/hostsecho 0.0.0.0 72.8.136.158
注册表里面也添加类似:[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/IGM.exe]
"Debugger"="c://病毒类.exe" 内容来自清除病毒
但是没什么效果,病毒照样运行,请问崔老师,这样的病毒该如何防范措施免疫?比如添加批处理命令,或客户机组策略绑定,谢谢!
现在病毒曾数不穷,木马屡次杀不尽!想想你们每个月有多少时间浪费在查杀木马上?其实用了FireFox火狐浏览器后你就会发现之前的时间是浪费的多么没必要!好处我就多说了,到处都能查到的!提供个下载地址,信不信由你!
Firefox火狐最新中文正式版下载:http://www.86txt.cn/firefox/index.htm
Kvsc3.exe,IGM.exe 病毒木马专杀 文章结束
标签: 病毒清理 
分类: 病毒清理
本文章引用通告地址(TrackBack Ping URL)为: 
本文章尚未被引用。
下一篇: 李铁军博文:“晕”安全