太瘦生孩子危险吗:怎样清除KANGEN病毒

解决方法：查看启动项,关闭还原,然后去安全模式下删除 .

具体方法：
1、进入safemode..
在 windows/system/里，delete winword.exe 和 winlog.dat

进 regedit
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
delete 掉 "OSA" = "%System%\winword.exe" 和 "LoadService" = "Rest In Peace"

洗掉 HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Pradana

在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
洗掉"DisableRegistryTools" = "1" 和 "DisableTaskMgr" = "1"

2、
1.先在任务管理器中结束所有winword.exe的进程，特别是你没有打开任何word文档，却有这个进程时。
2.然后搜索所有名为kangen的文件，找到后全都删除。还有在c:\windows\prefetch这个文件夹中也删了。
3.然后就没问题了。

其实大家也发现，无论是软件杀毒，还是手动杀毒，总还是有问题存在，症状如各帖所说。不管那么多，
怎么都好，我们杀了这万恶的kangen再说。要注意，有的杀毒软件会询问你是否删除被感染文件，
当你有重要的word文档时，这个选项慎重对待。另外，杀毒最好进安全模式下杀，有的杀毒软件是纯Dos杀毒
（上网找资料，我找了没搞懂），据说这种比较好，杀得比较彻底。无论是软件还是手动，至少要确保你去
掉了这两个东西：winword.exe 和 winlog.dat。随便说一句，我用的是麦咖啡，在C盘system下杀出二十几个 。

关于kangen病毒 内附查杀方式

病毒特征:

[email]Worm@W32.Ront[/email]okbro.2
Rontokbro.2 骇虫会使用自己的 SMTP 引擎传送骇虫邮件，此邮件的主旨是空白的，用户若收到空白主旨的邮件，
请先确认是否为不明信件。此骇虫会复制多个病毒档案在计算机内，造成计算机不稳定。
基本介绍
病毒名称[email]Worm@W32.Ront[/email]okbro.2
病毒别名W32/Rontokbro.gen@MM [McAfee], WORM_RONTOKBRO.J [Trend Micro],W32.Rontokbro.K@mm[symantec]
病毒型态Worm , E-Mail
病毒发现日期2005/10/26
影响平台Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估
散播程度：高
破坏程度：中
[email]Worm@W32.Ront[/email]okbro.2信件格式：
发信者：
主旨： 空白
内文：
BRONTOK.A[10] [ By: H[REMOVED]nity ]
-- Hentikan kebobrokan di negeri ini --
1. Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Aborsi, & Prostitusi
( Go To HELL )
3. Stop pencemaran lingkungan, pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
附加档案： Kangen.exe
[email]Worm@W32.Ront[/email]okbro.2 行为描述：
注：%Windir%代表系统所在目录，在Win95/98/me系统默认值为 C:windows
在WinNT/2000/XP/2003系统默认值为 C:WinNT
注：在Win95/98/me %System% 默认值为 C:windowsSystem
在WinNT/2000/XP/2003 %System% 系统默认值为 C:WinNTSystem32
加入一个Windows 工作排程，并且每日下午5:08 执行下列档案：
%UserProfile%TemplatesA.kotnorB.com
当骇虫发现窗口标题含有下列字符串并重新开机：
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
..............
骇虫会从下列扩展名档案，取得电子邮件地址：
ASP
CFM
CSV
DOC
EML
HTML
PHP
TXT
WAB
透过自己的SMTP大量发送病毒信件。
病毒执行后，将骇虫本身复制到%Windir%
eksplorasi.exe
透过病毒执行后，将骇虫本身复制到%System%
[USER NAME]'s Setting.scr
病毒执行后，在%UserProfile%Local SettingsApplication Data 目录产生
csrss.exe
inetinfo.exe
lsass.exe
services.exe
smss.exe
winlogon.exe
病毒执行后，在 %UserProfile%Start MenuProgramsStartup 目录产生
Empty.pif
病毒执行后，在 %UserProfile%Templates 目录产生
Brengkolang.com
病毒执行后，在 %Windir%ShellNew 目录产生
sempalong.exe
修改登录档，如此开机即会激活骇虫。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Bron-Spizaetus" = ""%Windir%ShellNewsempalong.exe""
"Tok-Cirrhatus" = "%UserProfile%Local SettingsApplication Datasmss.exe""
修改登录档，如此开机即会激活骇虫。
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
"Shell" = "Explorer.exe "%Windir%eksplorasi.exe""

具体特征表现在:

1.病毒把自身复制到系统的%systemroot%里，并创建doc.exe,doc1.exe

2.病毒把自身复制到系统的%systemroot%/pass里，创建microsoft word.exe commen startup

3.创建%systemroot%system32/里的hook.dll文件

4.启动项：开始--程序--启动 写入：microsoft word.exe commen startup的路径。

注册表启动:HKLM--software--microsoft--windows--current version----run 写入：%systemroot%system32/hook.dll

HKLM--software--microsoft--windows--current version----run 写入：：%systemroot%/doc.exe

注册表修改：

1.无法显示隐藏文件

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"Text"="@shell32.dll,-30500"
Type"="radio"
"Checkedvalue"=dword:00000000

2.无法显示已知文件扩展名。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHideFileExt
类别名: <无类别>
最近写入时间: 2005-12-9 - 19:32
值 0
名称: Type
类型: REG_SZ
数据: checkbox

值 1
名称: Text
类型: REG_SZ
数据: @shell32.dll,-30503

值 2
名称: HKeyRoot
类型: REG_DWORD
数据: 0x80000001

值 3
名称: RegPath
类型: REG_SZ
数据: SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

值 4
名称: valueName
类型: REG_SZ
数据: HideFileExt

值 5
名称: Checkedvalue
类型: REG_DWORD
数据: 0x1

值 6
名称: Uncheckedvalue
类型: REG_DWORD
数据: 0x0

值 7
名称: Defaultvalue
类型: REG_DWORD
数据: 0x1

值 8
名称: HelpID
类型: REG_SZ
数据: shell.hlp#51101
病毒主要通过邮件及U盘传播.

解决方法:
最简单的就是立即升级病毒库,防范未然.

若已中毒,请参考以下解决方案:
手动杀毒方法（由wy790219与莘莘学子提供）：

1、进入safemode..
在 windows/system/里，delete winword.exe 和 winlog.dat
进 regedit
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
delete 掉 "OSA" = "%System%winword.exe" 和 "LoadService" = "Rest In Peace"
洗掉 HKEY_CURRENT_USERSoftwareVB and VBA Program SettingsPradana
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
洗掉"DisableRegistryTools" = "1" 和 "DisableTaskMgr" = "1"
2、
1.先在任务管理器中结束所有winword.exe的进程，特别是你没有打开任何word文档，却有这个进程时。
2.然后搜索所有名为kangen的文件，找到后全都删除。还有在c:windowsprefetch这个文件夹中也删了。
3.然后就没问题了。
其实大家也发现，无论是软件杀毒，还是手动杀毒，总还是有问题存在，症状如各帖所说。不管那么多，
怎么都好，我们杀了这万恶的kangen再说。要注意，有的杀毒软件会询问你是否删除被感染文件，
当你有重要的word文档时，这个选项慎重对待。另外，杀毒最好进安全模式下杀，有的杀毒软件是纯Dos杀毒
（上网找资料，我找了没搞懂），据说这种比较好，杀得比较彻底。无论是软件还是手动，至少要确保你去
掉了这两个东西：winword.exe 和 winlog.dat。随便说一句，我用的是麦咖啡，在C盘system下杀出二十几个
东东，而用别的杀不出来。

然后再解决各种症状：1、防火墙的问题，在运行中输入msconfig,点启动标签，把所有选项去掉，再开机发现
就不会不断重启了。2、注册表与任务管理器被禁用的问题，进安全模式，发现有两个（或两个以上）的用户，
选管理员（系统自带）的用户，里面是可以用注册表的。进控制面板，点用户帐户，把不能用注册表的帐户删掉
，另建一个新的。当然，这样做会丢失一些东西甸（如桌面，我的文档等），你可以先用原帐户备份，我不能确定
我那个用户没有被感染的文件，所以全不要了。这样使用新帐户，注册表就可以用了。
简单说来就是杀毒，去掉启动项，去掉不能用注册表的用户，这就是我的菜鸟法。我与之斗争一个星期其实就是不想格盘，因为我找不到显卡驱动。现在机子没什么问题了，当然不能保证没有病毒了。
---------------------------------------------------------------------------
手动查杀:
kangen（康恩）病毒。。进安全模式。。。看下msconfig有没有

"OSA" = "%System%winword.exe" 和 "LoadService" = "Rest In

Peace"
这两样启动，如果有的话，就可以按照下面的办法删除。

进安全模式
在 windows/system/里，删除 winword.exe 和 winlog.dat

进注册表：regedit
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除 掉 "OSA" = "%System%winword.exe" 和 "LoadService" = "Rest In

Peace"

删掉 HKEY_CURRENT_USERSoftwareVB and VBA Program SettingsPradana

在

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSy
stem
删掉"DisableRegistryTools" = "1" 和 "DisableTaskMgr" = "1"