lz 给个yeyinhi.exe的样本，压缩样本 密码 123
发到wdt3385@yahoo.com.cn
谢谢

用sreng2删除以下东东
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<ykubdte><C:\Program Files\Common Files\System\rujrmue.exe> []
<yeyinhi><C:\Program Files\Common Files\Microsoft Shared\pumthsg.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellE

xecuteHooks]
<{91B1E846-2BEF-4345-8848-7699C7C9935F}><C:\Program Files\Common

Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll> []
<{C54C4AFB-8A2A-6C1E-BA41-C20F02940401}><C:\WINDOWS\system32\18.dll> []
<{C51C4AFB-8A3A-6C1E-BA41-C20F02940603}><C:\WINDOWS\system32\20.dll> []

删除以上东东，还有病毒文件
还有这个
C:\WINDOWS\system32\nwizAsktao.dll
[C:\WINDOWS\system32\TcpIpDog0.dll] [N/A, ]

然后用sreng2修复你的winsock


俺是新手，看不懂您那么多的驱动！
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
请高手指出不对的地方

我也是中过这个毒,刚刚搞定的。二话不说，就马上进吧来帮大家解决这个问题。
这个毒很烦人。我是通过U盘被感染的。有“pumthsg.exe”和“rujrmue.exe” 2个进程，在电脑的每个硬盘上都有，当你重装后，只要双击打开电脑C盘以外的盘，又会马上感染到C盘，系统又白装了。
主要症状如下：
1、2个进程怎么也结束不了，一结束又会自动生成。
2、杀毒软件都被屏蔽了，不管怎么都打不开。我试过“AVG Anti-Spyware 7.5”不会被屏蔽，但是杀不了这个毒。
3、进不了安全模式，在读取安全模式进程的时候会重启。
4、病毒所在的文件夹"C:\Program Files\Common Files\System"一打开马上就被强制关闭。在互联网上搜索有关这个的关键词时IE被强制关闭，就连搜索“杀毒”两个字也会被关闭。
5、系统会变卡，QQ登录界面出现异样，

差不多就上面这些症状了。下面我来说一下刚才我解决这个毒的方法。

1、重装系统，
2、重装完之后，请不要双击打开除系统盘外的任何硬盘（这个关键，如果你不注意的话，系统就白装了）。
3、重装好进入windows后，点击“开始菜单”——“运行”。然后输入“D:\autorun.inf”运行，然后弹出一个“自动运行配置文件”窗口，里面的东西就是病毒自动运行文本。你把里面的文本全选删除，删除后保存，关闭。然后再打开“开始菜单”——“运行”，然后输入“E:\autorun.inf”。按照这个方法依次把你所在硬盘上的“autorun.inf”内容都删了。删除的时候要小心，千万不要双击打开病毒，否则前功尽弃！
4、删完这个之后，病毒就不会自动运行了。这样就可以开始删除病毒了。打开“文件夹选项”，把里面“显示系统文件夹内容”和“显示所有文件和文件夹”的勾打上，把“隐藏受保护的操作系统文件”的勾去掉。然后“确定”。
5、依次打开每个硬盘，一打开就可以看到“autorun.inf”和“yeyinhi.exe”两个文件，把这两个文件用“shift + Del”彻底删除（系统盘刚刚装完，没有这两个文件）。所有硬盘分区都依次删除这两个文件后，完全了。

经过这些步骤就可以完全删除病毒，虽然有些麻烦，不过可以解决问题。

解决方案：首先在wimdows管理器中看是否有这两个进程：pumthsg和rujrme。如果有就按下面做应该能解决
第一步：开始—运行--msconfig打开“系统配置实用程序”——启动  将pumthsg 和rujrme禁用（即在前面的框中打钩然后应用）

第二步：进入注册表：开始--运行——regedit 打开注册表步骤是：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中找到相对应的有关pumthsg和rujrme相关的启动项（好象是倒数第二第三个，如果不是可以双击右面的“名称”下面的东西，比如双击RfwMain可以看到"C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup，这里有你所有启动项的东西，一个一个的找，一定能找到与pumthsg和rujrme有关的项）将其删除。

第三步：根据第一步打开的“系统配置实用程序”找到pumthsg.exe和rujrme.exe,分别在C:\Program Files\Common Files和C:\Program Files\Common Files\System 将它们删除（C:\Program Files\Common Files\System 在隐藏文件夹中），同时打开其他的盘将yeyinhi.exe 和相应的.inf隐藏文件删除，记住要将每个盘的这两个文件都删除。到这里基本就结束了。但是当我们重新启动系统后。能上网，所有的网业都能打开，但是打开相应的杀毒软件的时候系统却弹出windows找不到杀毒软件之类的东西。比如瑞星，360Safe，都会提示。这是由于我们的系统仍存留病毒的注册项，那么就要进行第四步。

第四步：下“超级兔子”清理注册项。再重启就可以解决了。（可我却重新安装了瑞星杀毒软件，有点傻了，现在正在升级呢）
 

我的qq:297266661，我的已经解决了，要是不清楚的或没有解决可以共同探讨。邮箱：cxdwxd@126.

总算,搞定了.感谢FCOME
我把这次解决经历写在我BLOG里了.
有朋友不知道怎么解决可以随便看看哦.
http://blog.sina.com.cn/hengfeng12345