看到不少贴子都遇到“aekyyo.exe ”病毒无法根除,前两天我也遇到同样问题,但在高手“黑灯黑火”的指点下,问题基本解决。在看过清水煮面的转贴之后,遭遇这样病毒的机子应该得到完善的解决。现在把具体情况和解决办法综合如下,希望能给网友一点帮助,因为遇到麻烦后心急如焚的急迫心情都能体会到。
hjx3210:
晚上开机,遇到开机对硬盘逐个的检测,等到了“欢迎使用”时,平常的瑞星监控标志不翼而飞,进入xp界面后,突然跳出窗口“rundll32.exe"出错的警告。这时任务栏里的瑞星监控标志和客户端标志统统不见,点击程序里的瑞星杀毒软件和监控程序全没了动静,连瑞星软件的修复界面也打不开了,所有的瑞星杀毒系统全部瘫痪。打开”我的电脑“,在windows下的intel文件夹里出现了个异常的用微软标志的"rundll.exe",同时这个软件硬盘写保护而拒绝删除。想打开隐藏文件查看,可是隐藏文件已被锁定打不开。于是重起电脑进入”安全模式“下删掉了”rundll32.exe,但瑞星系统依然如故。打开瑞星社区利用在线查毒,也没查出什么病毒,瑞星系统仍不见踪影。我现在该怎么办,亟盼高手指点!
黑灯黑火:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe C:\WINDOWS\system32\aekyyo.exe> [N/A]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<rzt><C:\WINDOWS\Intel\rundll32.exe> [N/A]
进入安全模式,清理上面的项~(注意一个操作,打开CDEF盘时不要双击打开(如此操作就会激活病毒!),而是击右键选打开.!!!)
打开 我的电脑》工具》文件夹选项》查看》显示所有文件,不隐藏受保护的操作系统文件》确定
查找并删除以下文件.
C:\WINDOWS\Intel\rundll32.exe
C:\WINDOWS\system32\aekyyo.exe
C:\WINDOWS\system32\winscok.dll
分别在DEF盘下查找Autorun.inf并删除,(注意打开这些文件夹时,不要双击打开,击右键选打开是正解!)
另,查找sxs.exe 并删除!(可以借助搜索!)
Autorun.inf
[D:\]
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
[E:\]
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
[F:\]
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
hjx3210:
谢谢你,黑灯黑火,非常感谢!!!按照你的指点,问题基本解决了,只是操作过程中的一些情况跟你汇报一下,但愿你能看到。首先是在“安全模式”下,隐藏文件仍然被锁定,找不到aekyyo.exe,在def盘中倒是找到了“autorun.inf",但是删过之后,马上又出现,反复了多次。后来在搜索中找到了aekyyo.exe,但该文件被写保护,删不掉。没办法我重起电脑,在dos下删掉aekyyo.exe,以后找到autorun.inf、sxs.exe后,很顺利的删除了.现在存在的问题是隐藏文件仍然不能显示,再一个就是瑞星监控程序仍不能工作,虽然我进行了修复,但依然不监控。好在瑞星杀毒软件能正常运行了。还有一事请教,就是在system32下的winsock.dll为什么也要删除?
祝你开心!!
关于系统文件不显示客参照“清水煮面“的贴子内容:
显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
