一个麻烦的病毒！~[清除方法]

截止2006.5.5日，金山毒霸、KV、卡巴还查不到，分析了一下，提供解决办法：

预备工作：将下面代码复制到“记事本”中 ，改名*.bat：

@echo off
cls
echo ***********************************************************
echo   此文件用于修复 bat com exe pif scr txt ini 文件关联
echo ***********************************************************
echo.
echo REGEDIT4>Fix.reg
echo.>>Fix.reg
echo [HKEY_CLASSES_ROOT\batfile\shell\open\command]>>Fix.reg
echo @=""%%1" %%*">>Fix.reg
echo.>>Fix.reg
echo [HKEY_CLASSES_ROOT\comfile\shell\open\command]>>Fix.reg
echo @=""%%1" %%*">>Fix.reg
echo.>>Fix.reg
echo [HKEY_CLASSES_ROOT\exefile\shell\open\command]>>Fix.reg
echo @=""%%1" %%*">>Fix.reg
echo.>>Fix.reg
echo [HKEY_CLASSES_ROOT\piffile\shell\open\command]>>Fix.reg
echo @=""%%1" %%*">>Fix.reg
echo.>>Fix.reg
echo [HKEY_CLASSES_ROOT\scrfile\shell\open\command]>>Fix.reg
echo @=""%%1" /S">>Fix.reg
echo.>>Fix.reg
echo [HKEY_CLASSES_ROOT\txtfile\shell\open\command]>>Fix.reg
echo @="NOTEPAD.EXE %%1">>Fix.reg
echo.>>Fix.reg
echo [HKEY_CLASSES_ROOT\inifile\shell\open\command]>>Fix.reg
echo @="NOTEPAD.EXE %%1">>Fix.reg
echo.
pause
start /w regedit /s Fix.reg
del Fix.reg
echo.
echo ****************
echo *   修复成功   *
echo ****************
echo.
pause
cls

切忌
1、进入安全模式，删除如下文件（必须全部删除后才能进行第2步操作）：
%ProgramFiles%\Common Files\inexplore.pif
%ProgramFiles%\Internet Explorer\inexplore.com
%Windir%\1.com
%Windir%\exerouter.exe
%Windir%\EXP10RER.com
%Windir%\finders.com
%Windir%\Shell.sys
%Windir%\smss.exe
%Windir%\Debug\DebugProgram.exe
%system%\command.pif
%system%\dxdiag.com
%system%\MSCONFIG.COM
%system%\regedit.com
%system%\rund1132.com
D:\autorun.inf
D:\command.com

2、双击运行刚才下载的Fix.bat，然后打开注册表编辑器，删除如下注册表键值：
[HKEY_CLASSES_ROOT\WindowFiles]
[HKEY_CURRENT_USER\Software\VB and VBA Program Settings]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
 "Check_Associations"="No"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles]
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\inexplore.pif]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "TProgram"="%Windir%\smss.exe"
[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\VB and VBA Program Settings]
[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Internet Explorer\Main]
 "Check_Associations"="No"

 

3、恢复被病毒修改的注册表关联：
查找“inexplore.com”，把找到的“explorer.com”修改为“iexplore.exe”；
查找“finders.com”、“command.pif”、“rund1132.com”，把找到的“finders.com”、“command.pif”、“rund1132.com”修改为“rundll32.exe”；
查找“EXP10RER.com”，把找到的“EXP10RER.com”修改为“EXPLORER.EXE”；
查找“inexplore.pif”，把找到的“inexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C:\Program Files\Internet Explorer\iexplore.exe”

将[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"修改为："Shell"="Explorer.exe"
将[HKEY_CLASSES_ROOT\.exe]的默认值
@="WindowFiles"修改为@="exefile"
将[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe]的默认值
@="WindowFiles"修改为@="exefile"

 

到此病毒全部清除！

本文出自 “Wyulnnhtg's Blog” 博客，转载请与作者联系！