[病毒查杀] 清除Iexplores.exe 病毒 Backdoor.Win32.Tompai.e 病毒 Win32.Hack.Tompai.b.650 windows, 杀毒软件, 根目录, 注册表, system

文章一：

win32.hack.tompai.b.65024：

win32.hack.tompai.b.65024 病毒作用机理分析：
这是一个典型的基于移动存储设备(尤其是优盘)传播的病毒，
中毒后的症状会在每一个分区根目录生成autorun.inf，并将病毒体释放到每个分区的根目录，文件名是：iexplores.exe
在c:\windows\system目录下释放若干病毒体，
修改四处注册表为病毒添加自启动项目，
病毒体激活状态下，某些杀毒软件杀毒可能会造成“无法清除”的现象，
因此我提供一个批处理来完成杀毒的全部过程，
由于这个批处理工具仅适用于 windows xp / 2003 环境
注意：该病毒通过移动存储设备交叉感染，使用这个批处理以前请插入感染病毒的优盘
使用办法如下：

1.打开记事本，输入以下文字：

@echo.
@echo 清除当前激活的病毒体……
@c:
@cd c:\windows\system
@for %%x in (cmpku.exe netcompt.exe loadms.exe ptsnopt.exe mainsv.exe ntdllf.exe ptsnoptnt.exe) do @taskkill /f /im %%x /t & attrib -a -s -r -h %%x & del %%x /f
@cd ..
@for %%x in (mapserver.exe mswinsck.ocx) do @taskkill /f /im %%x /t & attrib -a -s -r -h %%x & del %%x /f
@echo ……完成!
@echo.
@echo 清除所有分区根目录下的病毒体及自动运行配置文件……
@for %%x in (a b c d e f g h i j k l m n o p q r s t u v w x y z) do @if exist %%x:\ @echo 删除%%x:\autorun.inf …… & @%%x: & @cd \ & if exist autorun.inf attrib -a -s -r -h autorun.inf & del autorun.inf & if exist iexplores.exe attrib -a -s -r -h iexplores.exe & del iexplores.exe & @echo ……完成! & @echo.
@echo ……完成!
@echo.
@echo 清除系统自启动项……
@reg delete hklm\software\microsoft\windows\currentversion\run /v cmpnt /f
@reg delete hklm\software\microsoft\windows\currentversion\runservices /v cmpnt /f
@reg delete hkcu\software\microsoft\windows\currentversion\run /v ntcheck /f
@reg delete hkcu\software\microsoft\windows\currentversion\runonce /v shell /f
@echo ……完成!
@echo.
@echo.
@echo 您已经成功完成上述操作
@echo 谢谢使用 !
@echo.
@pause
@exit

2.保存为后缀*.bat的文件，例如：kill_tompai.bat

3.双击运行即可清除 win32.hack.tompai.b.65024


《批处理：清除病毒残留的autorun.inf》

问题的提出：

有些病毒通过autorun.inf启动，并通过移动存储设备(优盘、软盘等)传播。近期流行的这类型病毒有：win32.joke.happy.73728、win32.hack.tompai.b.65024。这类型病毒有这共同的特征：病毒激活状态下，会自动在每一个分区根目录下释放病毒体，并生成autorun.inf加载病毒体。假设病毒体文件名称是1.exe，那么在autorun.inf中必然会有这样一行：open=1.exe。(图01)

双击这个分区不是打开该分区，而是会通过autorun.inf运行病毒，从而使病毒交叉感染。细心的朋友一定会发现，在该分区上右键菜单中多出了一个项目“自动播放”。(图02)

利用杀毒软件查杀以后，一般情况下都能够把这类型病毒杀掉。但是由于病毒残留的autorun.inf文件不具备病毒特征，因此不会被杀毒软件清除，这类型的文件可以称之为“病毒残留文件”。直接导致的结果是：右键菜单中依然有“自动播放”项目、双击该分区并不会激活病毒(病毒已经杀掉了)，但是会跳出下图所示的对话框：(图03)

问题的解决途径：

文件夹选项——显示隐藏文件/显示系统文件——到每个分区根目录下删除autorun.inf。

累不累啊？当你的硬盘分区比较多的时候，我想你一定很累。如果你是电脑新手，你还可能会问我：“文件夹选项”在哪里？怎么“显示隐藏文件/显示系统文件”？

由于这类型病毒比较典型，传播比较广泛。因此我专门为此写了一个批处理文件来清除各分区根目录下的autorun.inf文件。也不需要改什么设置了，运行这个批处理以后，全部搞定！

下面就跟着我来做：

1.打开记事本，输入下面的文字：

@echo.
@echo 清除各分区根目录下autorun.inf ……
@echo.
@for %%m in (a b c d e f g h i j k l m n o p q r s t u v w x y z) do @if exist %%m:\ @%%m: & @cd \ & @if exist autorun.inf @attrib -a -s -r -h autorun.inf & @del autorun.inf & @echo 清除 %%m:\autorun.inf ……完成!
@echo.
@echo 您已经成功完成上述操作
@echo 谢谢使用 !
@echo.
@pause
@exit

2.将上述文本内容保存为*.bat文件，例如del_autorun.bat。

3.双击运行就可以了。效果图如下：(图04)

文章二：

先把一些可疑的进程结束掉，然后用记事本把下面的东西另存为reg后缀的注册表文件，然后双击导入到注册表windows registry editor version 5.00

[hkey_local_machine\software\microsoft\windows\currentversion\run]
"cmpnt"=-

[hkey_local_machine\software\microsoft\windows\currentversion\runservices]
"shell"=-

[hkey_current_user\software\microsoft\windows\currentversion\run]
"ntcheck"=-

[-hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints\d\shell]
[-hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints\e\shell]
[-hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints\g\shell]
[-hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints\h\shell]
[-hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints\i\shell]
[-hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints\j\shell]
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

再把下面的内容另存为bat后缀的批处理文件，然后双击运行
－－－－－－－－－－－－－－－－－－－－－－－－－－－
@echo off
del c:\winnt\system\netcompt.exe /f/ah
del c:\winnt\system\ntdllf.exe /f/ah
del c:\winnt\system\ntdllfnt.exe /f
del c:\winnt\system\netcomptnt.exe /f
del c:\winnt\system\mainsv.exe /f/ah
del c:\winnt\mapserver.exe /f/ah
del d:\autorun.inf /f/ah
del d:\iexplores.exe /f/ah
del e:\autorun.inf /f/ah
del e:\iexplores.exe /f/ah
del f:\autorun.inf /f/ah
del f:\iexplores.exe /f/ah
del g:\autorun.inf /f/ah
del g:\iexplores.exe /f/ah
del h:\autorun.inf /f/ah
del h:\iexplores.exe /f/ah
del i:\autorun.inf /f/ah
del i:\iexplores.exe /f/ah
del j:\autorun.inf /f/ah
del j:\iexplores.exe /f/ah
regedit -s c:\killvir.reg
echo on

－－－－－－－－－－－－－－－－－－－－－
文章三：

手动清除后门程序iexplores.exe

      计算机感染了后门程序病毒，江民杀毒好几次都不能清除干净，就是在安全模式下杀毒也是无能为力。每次都能查杀出几个病毒，主要分布在c:\windows\system\目录（我用的是winxp，win2000下的目录是c:\winnt\system\），以及除c盘以外的其它盘符根目录。显示杀毒成功后，再双击打开除c盘外的其它盘符，就会出现系统提示：无法找到程序iexplores.exe，正是江民软件显示的后门病毒程序。

通过google收集了一些出现类似情况的处理对策，得知原来是在盘符根目录下的autorun.inf程序在作怪。又通过个人的几次尝试，终于发现了解决办法。

首先，打开任务管理器，停止非法进程，可能的非法进程包括ntdllf.exe、netcompt.exe、comptnt.exe和ptsnopt.exe。对xp用户,也可在cmd下,tasklist列出系统的进程,然后用tskill分别对上述非法进程杀之。

其次，更改注册表设置，具体为：开始－》运行－》regedit进入注册表，在hkel_local_machine\software\microsoft\windows\currentversion\run项目中，删除系统启动时加载的非法项目，可能的项为：cmpnt（名称）/reg_sz（类型）/c:\windows\driver.com（键值），或者其他名称的非法项目。同时查找runonce、runservice等currentversion目录下名字含run的目录，检查是否有非法键值，如shell（名称）、mainsv.exe（键值）。接着，检查hkel_local_machine\system\controlsetool\control\session manager项目，删除非法项，如pendingfilerenameoperations（名称）/reg_multi_sz（类型）/"\??\c:\windows\system\loadms.exe"（键值）。

再次，删除c:\windows\system\目录下的病毒执行文件，我所遇到的文件名称有：ntdllf.exe、mainsv.exe、netcompt.exe、netcomptnt.exe、ptsnopt.exe、loadms.exe和loadmsnt.exe，一般为.exe文件，能够比较明显的分辩出来。（因为此目录文件多为.dll形式）

最后，在dos环境下删除各盘符下的autorun.inf和iexplores.exe文件，具体命令为：

d:\>attrib autorun.inf -s -h -r (去掉该文件的系统、隐藏、只读属性)

d:\>del autorun.inf

d:\>attrib iexplores.exe -s -h -r

d:\>del iexplores.exe

d:\>dir /a （查看目录下所有文件，此时将看不到以上两个文件了！^_^）

      当然你也可以各盘符下在工具栏---文件夹选项--查看下，选显示所有文件和文件夹，同时去除隐藏受保护的系统文件前的勾，显示出上面的两个文件，杀之！病毒即可清除。
至此，病毒清除完毕。

windows无法找到iexplores.exe或者双击活动硬盘无法打开的这类问题应该这样来解决：
如果你的活动硬盘是f盘，则将注册表中
hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints\f\shell 项删除，这样就解决了！

问题解决了，分析一下原因吧。造成双击磁盘打不开，出现“windows无法找到iexplores.exe”的原因是这样的：
首先你的活动硬盘感染了win32.hack.tompai.b.65024这种病毒。在金上毒霸的网站上对于它是这么解释的：
这个病毒使用了后门，后门种植者通过该后门，秘密控制受感染机器，这个病毒工作于windows 32平台。
(http://db.kingsoft.com/c/2005/03/24/181620.shtml)

通过分析，我发现tompai病毒会在活动硬盘的根目录生成iexplores.exe文件，这个文件的作用是：当你双击活动硬盘的盘符时，系统会调用iexplores.exe文件自动播放活动硬盘的内容，作为传播病毒的一种方式。
当你将活动硬盘接到某个主机上时，这台主机上可能装有金山毒霸，瑞星等杀毒工具，这些杀毒工具可以将活动硬盘根目录的病毒文件iexplores.exe直接删除掉。

但是，病毒在注册表中留下的信息没有被清除掉，所以当你再准备双击打开活动硬盘时，系统仍然会按照注册表的描述去调用iexplores.exe来播放活动硬盘的内容，由于这时文件已被删除，所以提示windows无法找到iexplores.exe。

hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints\f  下没有shell啊
请问怎么办啊
谢谢
急