手动清除后门程序Iexplores.exe
生活随笔
收集整理的這篇文章主要介紹了
手动清除后门程序Iexplores.exe
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
今天下午,一個偶然的機會發現自己的計算機感染了后門程序病毒,江民殺毒好幾次都不能清除干凈,就是在安全模式下殺毒也是無能為力。每次都能查殺出幾個病毒,主要分布在c:\windows\system\目錄(我用的是winXP,win2000下的目錄是c:\winnt\system\),以及除C盤以外的其它盤符根目錄。顯示殺毒成功后,再雙擊打開除C盤外的其它盤符,就會出現系統提示:無法找到程序Iexplores.exe,正是江民軟件顯示的后門病毒程序。
通過google收集了一些出現類似情況的處理對策,得知原來是在盤符根目錄下的autorun.inf程序在作怪。又通過個人的幾次嘗試,終于發現了解決辦法。
首先,打開任務管理器,停止非法進程,可能的非法進程包括ntdllf.exe、netcompt.exe、comptnt.exe和ptsnopt.exe。
其次,更改注冊表設置,具體為:開始-》運行-》regedit進入注冊表,在HKEL_LOCAL_MACHINE\software\microsoft\windows\currentVersion\Run項目中,刪除系統啟動時加載的非法項目,可能的項為:Cmpnt(名稱)/REG_SZ(類型)/c:\windows\driver.com(鍵值),或者其他名稱的非法項目。同時查找RunOnce、RunService等currentVersion目錄下名字含Run的目錄,檢查是否有非法鍵值,如shell(名稱)、mainsv.exe(鍵值)。接著,檢查HKEL_LOCAL_MACHINE\SYSTEM\controlSetool\control\Session Manager項目,刪除非法項,如PendingFileRenameOperations(名稱)/REG_MULTI_SZ(類型)/"\??\c:\windows\system\loadms.exe"(鍵值)。
再次,刪除c:\windows\system\目錄下的病毒執行文件,我所遇到的文件名稱有:ntdllf.exe、mainsv.exe、netcompt.exe、netcomptnt.exe、ptsnopt.exe、loadms.exe和loadmsnt.exe,一般為.exe文件,能夠比較明顯的分辯出來。(因為此目錄文件多為.dll形式)
最后,在dos環境下刪除各盤符下的autorun.inf和Iexplores.exe文件,具體命令為:
D:\>attrib autorun.inf -s -h -r (去掉該文件的系統、隱藏、只讀屬性)
D:\>del autorun.inf
D:\>attrib Iexplores.exe -s -h -r
D:\>del Iexplores.exe
D:\>dir /a (查看目錄下所有文件,此時將看不到以上兩個文件了!^_^)
至此,病毒清除完畢。
windows無法找到Iexplores.exe或者雙擊活動硬盤無法打開的這類問題應該這樣來解決:
如果你的活動硬盤是F盤,則將注冊表中
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\F\Shell 項刪除,這樣就解決了!
問題解決了,分析一下原因吧。造成雙擊磁盤打不開,出現“windows無法找到Iexplores.exe”的原因是這樣的:
首先你的活動硬盤感染了Win32.Hack.Tompai.b.65024這種病毒。在金上毒霸的網站上對于它是這么解釋的:
這個病毒使用了后門,后門種植者通過該后門,秘密控制受感染機器,這個病毒工作于Windows 32平臺。
(http://db.kingsoft.com/c/2005/03/24/181620.shtml)
通過分析,我發現Tompai病毒會在活動硬盤的根目錄生成Iexplores.exe文件,這個文件的作用是:當你雙擊活動硬盤的盤符時,系統會調用Iexplores.exe文件自動播放活動硬盤的內容,作為傳播病毒的一種方式。
當你將活動硬盤接到某個主機上時,這臺主機上可能裝有金山毒霸,瑞星等殺毒工具,這些殺毒工具可以將活動硬盤根目錄的病毒文件Iexplores.exe直接刪除掉。
但是,病毒在注冊表中留下的信息沒有被清除掉,所以當你再準備雙擊打開活動硬盤時,系統仍然會按照注冊表的描述去調用Iexplores.exe來播放活動硬盤的內容,由于這時文件已被刪除,所以提示windows無法找到Iexplores.exe。
從你的截圖看來,機子中毒了,手動查殺Iexplores.exe病毒后門的方法!
首先,打開任務管理器,停止非法進程.可能的非法進程包括ntdllf.exe、
netcompt.exe、comptnt.exe和ptsnopt.exe。對xp用戶,也可在cmd下,tasklist
列出系統的進程,然后用tskill分別對上述非法進程殺之.
其次,更改注冊表設置,具體為:開始-》運行-》regedit進入注冊表,
在HKEL_LOCAL_MACHINE\software\microsoft\windows\currentVersion\Run
項目中,刪除系統啟動時加載的非法項目,可能的項為:Cmpnt(名稱)
/REG_SZ(類型)/c:\windows\driver.com(鍵值),或者其他名稱的非法項目。
同時查找RunOnce、RunService等currentVersion目錄下名字含Run的目錄,
檢查是否有非法鍵值,如shell(名稱)、mainsv.exe(鍵值)。接著,檢查
HKEL_LOCAL_MACHINE\SYSTEM\controlSet001\control\Session Manager項目,
刪除非法項,如PendingFileRenameOperations(名稱)/REG_MULTI_SZ(類型)
/"??c:\windows\system\loadms.exe"(鍵值)。
再次,刪除c:\windows\system目錄下的病毒執行文件,可能的文件名稱有:
ntdllf.exe、mainsv.exe、netcompt.exe、netcomptnt.exe、ptsnopt.exe、
loadms.exe和loadmsnt.exe,一般為.exe文件,能夠比較明顯的分辯出來。
(因為此目錄文件多為.dll形式)
最后,在dos環境下刪除各盤符下的autorun.inf和Iexplores.exe文件,
具體命令為:
D:>attrib autorun.inf -s -h -r (去掉該文件的系統、隱藏、只讀屬性)
D:>del autorun.inf
D:>attrib Iexplores.exe -s -h -r
D:>del Iexplores.exe
D:>dir /a (查看目錄下所有文件,此時將看不到以上兩個文件了!^_^)
當然你也可以各盤符下在工具欄---文件夾選項--查看下,選顯示所有文件
和文件夾,同時去除隱藏受保護的系統文件前的勾,顯示出上面的兩個文件,
殺之!病毒即可清除!
通過google收集了一些出現類似情況的處理對策,得知原來是在盤符根目錄下的autorun.inf程序在作怪。又通過個人的幾次嘗試,終于發現了解決辦法。
首先,打開任務管理器,停止非法進程,可能的非法進程包括ntdllf.exe、netcompt.exe、comptnt.exe和ptsnopt.exe。
其次,更改注冊表設置,具體為:開始-》運行-》regedit進入注冊表,在HKEL_LOCAL_MACHINE\software\microsoft\windows\currentVersion\Run項目中,刪除系統啟動時加載的非法項目,可能的項為:Cmpnt(名稱)/REG_SZ(類型)/c:\windows\driver.com(鍵值),或者其他名稱的非法項目。同時查找RunOnce、RunService等currentVersion目錄下名字含Run的目錄,檢查是否有非法鍵值,如shell(名稱)、mainsv.exe(鍵值)。接著,檢查HKEL_LOCAL_MACHINE\SYSTEM\controlSetool\control\Session Manager項目,刪除非法項,如PendingFileRenameOperations(名稱)/REG_MULTI_SZ(類型)/"\??\c:\windows\system\loadms.exe"(鍵值)。
再次,刪除c:\windows\system\目錄下的病毒執行文件,我所遇到的文件名稱有:ntdllf.exe、mainsv.exe、netcompt.exe、netcomptnt.exe、ptsnopt.exe、loadms.exe和loadmsnt.exe,一般為.exe文件,能夠比較明顯的分辯出來。(因為此目錄文件多為.dll形式)
最后,在dos環境下刪除各盤符下的autorun.inf和Iexplores.exe文件,具體命令為:
D:\>attrib autorun.inf -s -h -r (去掉該文件的系統、隱藏、只讀屬性)
D:\>del autorun.inf
D:\>attrib Iexplores.exe -s -h -r
D:\>del Iexplores.exe
D:\>dir /a (查看目錄下所有文件,此時將看不到以上兩個文件了!^_^)
至此,病毒清除完畢。
windows無法找到Iexplores.exe或者雙擊活動硬盤無法打開的這類問題應該這樣來解決:
如果你的活動硬盤是F盤,則將注冊表中
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\F\Shell 項刪除,這樣就解決了!
問題解決了,分析一下原因吧。造成雙擊磁盤打不開,出現“windows無法找到Iexplores.exe”的原因是這樣的:
首先你的活動硬盤感染了Win32.Hack.Tompai.b.65024這種病毒。在金上毒霸的網站上對于它是這么解釋的:
這個病毒使用了后門,后門種植者通過該后門,秘密控制受感染機器,這個病毒工作于Windows 32平臺。
(http://db.kingsoft.com/c/2005/03/24/181620.shtml)
通過分析,我發現Tompai病毒會在活動硬盤的根目錄生成Iexplores.exe文件,這個文件的作用是:當你雙擊活動硬盤的盤符時,系統會調用Iexplores.exe文件自動播放活動硬盤的內容,作為傳播病毒的一種方式。
當你將活動硬盤接到某個主機上時,這臺主機上可能裝有金山毒霸,瑞星等殺毒工具,這些殺毒工具可以將活動硬盤根目錄的病毒文件Iexplores.exe直接刪除掉。
但是,病毒在注冊表中留下的信息沒有被清除掉,所以當你再準備雙擊打開活動硬盤時,系統仍然會按照注冊表的描述去調用Iexplores.exe來播放活動硬盤的內容,由于這時文件已被刪除,所以提示windows無法找到Iexplores.exe。
從你的截圖看來,機子中毒了,手動查殺Iexplores.exe病毒后門的方法!
首先,打開任務管理器,停止非法進程.可能的非法進程包括ntdllf.exe、
netcompt.exe、comptnt.exe和ptsnopt.exe。對xp用戶,也可在cmd下,tasklist
列出系統的進程,然后用tskill分別對上述非法進程殺之.
其次,更改注冊表設置,具體為:開始-》運行-》regedit進入注冊表,
在HKEL_LOCAL_MACHINE\software\microsoft\windows\currentVersion\Run
項目中,刪除系統啟動時加載的非法項目,可能的項為:Cmpnt(名稱)
/REG_SZ(類型)/c:\windows\driver.com(鍵值),或者其他名稱的非法項目。
同時查找RunOnce、RunService等currentVersion目錄下名字含Run的目錄,
檢查是否有非法鍵值,如shell(名稱)、mainsv.exe(鍵值)。接著,檢查
HKEL_LOCAL_MACHINE\SYSTEM\controlSet001\control\Session Manager項目,
刪除非法項,如PendingFileRenameOperations(名稱)/REG_MULTI_SZ(類型)
/"??c:\windows\system\loadms.exe"(鍵值)。
再次,刪除c:\windows\system目錄下的病毒執行文件,可能的文件名稱有:
ntdllf.exe、mainsv.exe、netcompt.exe、netcomptnt.exe、ptsnopt.exe、
loadms.exe和loadmsnt.exe,一般為.exe文件,能夠比較明顯的分辯出來。
(因為此目錄文件多為.dll形式)
最后,在dos環境下刪除各盤符下的autorun.inf和Iexplores.exe文件,
具體命令為:
D:>attrib autorun.inf -s -h -r (去掉該文件的系統、隱藏、只讀屬性)
D:>del autorun.inf
D:>attrib Iexplores.exe -s -h -r
D:>del Iexplores.exe
D:>dir /a (查看目錄下所有文件,此時將看不到以上兩個文件了!^_^)
當然你也可以各盤符下在工具欄---文件夾選項--查看下,選顯示所有文件
和文件夾,同時去除隱藏受保護的系統文件前的勾,顯示出上面的兩個文件,
殺之!病毒即可清除!
轉載于:https://www.cnblogs.com/cy163/archive/2006/05/22/406620.html
總結
以上是生活随笔為你收集整理的手动清除后门程序Iexplores.exe的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 关于如何存储便于网上浏览的电子书籍
- 下一篇: C++, C#, Java, VB.NE