0824 木马 病毒 Exp1orer.exe mouser

Exp1orer.exe木马杀除方法
个木马杀除比较棘手,现综合了其他各位高手的经验,本人详细的叙述一下NT/2000/XP下的清除方法。以便使用。

这个木马进入计算机后,产生主要的三个文件是:interapi32.dll,interapi64.dll,exp1orer.exe特别狡猾的是容易和Explorer.exe混淆。它是数字1不是字母l。这个病毒入驻进程以后,会大量的消耗系统资源,并会跟着资源管理器一同启动。杀除方法如下:

1、关闭Xp系统的还原功能。具体的可以进入组策略查找或是右击我的电脑属性,关闭系统还原功能。

2、然后在运行键入regedit,打开注册表编辑器。删除以下键值

[HKEY_CLASSES_ROOT\\CLSID\\&leftsign;081FE200-A103-11D7-A46D-C770E4459F2F&rightsign;]
@="hookmir"

[HKEY_CLASSES_ROOT\\CLSID\\&leftsign;081FE200-A103-11D7-A46D-C770E4459F2F&rightsign;\\InprocServer32]
@="C:\\\\WINNT\\\\system32\\\\interapi64.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\\CLSID\\&leftsign;081FE200-A103-11D7-A46D-C770E4459F2F&rightsign;\\ProgID]
@="interapi64.classname"

[HKEY_CLASSES_ROOT\\interapi64.classname]
@="hookmir"

[HKEY_CLASSES_ROOT\\interapi64.classname\\Clsid]
@="&leftsign;081FE200-A103-11D7-A46D-C770E4459F2F&rightsign;"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]
"&leftsign;081FE200-A103-11D7-A46D-C770E4459F2F&rightsign;"="hookmir"

3、重新启动系统,进入文件夹选项菜单,单击查看选项卡,显示隐藏的文件和文件夹,显示系统文件,扩展名。然后在Windows/WINNT(2000/NT)/system32下找到interapi32.dll,interapi64.dll,exp1orer.exe三个文件,将其删除就可以了。
(注:exp1orer.exe伪装成了jpg的图片格式图标。小心谨慎。还有文件夹选项卡在杀除病毒后可以自己把它改回到原来的状态)

2K目录下没这个文件D~~!看一下这个:
Backdoor.Delf.ij
破坏方法:后门程序

病毒运行后将自己复制到系统目录下,文件名为"Mouse.exe"。

修改注册表:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
以达到其自启动的目的。

在后台运行,试图链接指定的IRC频道,为其控制端提供服务使其控制端可以通过IRC软件对本地主机进行远程控制。

请教:C:\\WINDOWS\\system32\\mouser.exe(可能)导致弹出数个页面如wiki等,注册表无法修改,C:\\WINDOWS\\system32\\mouser.exe也无法删除。
我也遇到了这个问题,不过已经解决.C:\\WINDOWS\\system32\\mouser.exe进程在我的系统(XP)里是隐藏的,在任务管理器里无法看到,超级兔子任务管理器也看不到,用冰刃可以。首先用冰刃结束该进程后到注册表里搜索C:\\WINDOWS\\system32\\mouser.exe会看到有个Userinit的键值为C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\mouser.exe,删掉逗号和后面的字符就可以了

修复以下选项
c:\\windows\\system32\\wshcon32.dll

有一定的危险性,如果你愿意,可以这样做。(建议你去做,虽然有一些风险)
请到http://forum. ikaka.com/ topic.asp?board=67&artid=5188931,下载,LSPFix.exe,WinsockXPFix这两个软件
重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

运行LSPFix.exe
删除
wshcon32.dll

附说明一份
LSPFix.exe这个软件主要用来辅助修复HijackThis扫描发现的O10项。
使用时,请关闭所有IE界面和文件夹界面后运行LSPFix,运行后,把要修复的那一个O10项从左边转到右边,点“Finish”即可。(不过这之前,需要在“I know what I`m doing”前面打勾。)
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"清除"隐藏受保护的操作系统文件(推荐)"复选框。在提示确定更改时,单击“是”,清除“隐藏已知文件类型的扩展名
删除
c:\\windows\\system32\\wshcon32.dll

“罗古”(ADWARE.Roogooo)广告软件病毒,该病毒是一个能释放广告的下载者程序。

历史博文

标签:, , ,
二月 2, 2007 at 2:43 下午 by yippee 26 次
Category: Info
Tags: , , ,