手动清理病毒tnmgncd.exe和pxpfern.exe
评论/浏览(0)发表时间:2007年7月9日 0时37分
[%repeat_0 match="/data/option"%] [%=@title%] [%=@count%]票 [[%=@percent%]%]
[%_repeat_0%]
该病毒的具体表现为拦截已知的很多杀毒软件和相关清理工具的执行程序(.exe)并且感染系统,在除C盘外所有可用盘中写入autorun.inf和htocusa.exe两个文件,并在C:\Program Files\Common Files\Microsoft Shared文件夹中写入pxpfern.exe和C:\Program Files\Common Files\System文件夹中写入tnmgncd.exe两个文件,并隐藏这两个文件和不可以显示隐藏分件。目前的瑞星版本还无法查杀该病毒(版本号19.30.50),如果系统感染该病毒,则瑞星,KV等多种杀毒软件和辅助工具的执行程序被封闭,一旦运行这类程序,病毒会将程序调试口转接到pxpfern.exe文件,也就是病毒文件上。
偶在网上没有找到专杀工具,只有自己动手了。大概清理过程。
首先,在运行里面输入regedit打开注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]中把CheckedValue的值改为1,这样就可以看到隐藏文件和系统文件了。(注意CheckedValue的类型DWORD)这样可以删除磁盘根目录下的autorun.inf和htocusa.exe两个文件。
二、重起进入DOS (怎么进自己想办法了,有好多种)删除C:\Program Files\Common Files\Microsoft Shared\pxpfern.exe和C:\Program Files\Common Files\System\tnmgncd.exe两个文件。
(删除前要把文件属性去掉)
删除pxpfern.exe
c:
cd C:\Progra~1\Common~1\Micros~1
attrib pxpfern.exe -s -h
del pxpfern.exe
删除tnmgncd.exe
cd\
cd C:\Progra~1\Common~1\system
attrib tnmgncd.exe -s -h
del tnmgncd.exe
重起
删除注册表中的自起项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]中的tnmgncd.exe和pxpfern.exe
现在你会发现你的瑞星启动不了,系统总会提示找不到文件,可文件就在那。进行最后一步,清理掉病毒垃圾。
打开注册表编辑器
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
注意,左边的树型结构并不完全是病毒写入的,也有很多是正常的注册信息,怎么分辨?容易!
点一下左边树型的一个支,比如360rpt.exe然后看看窗口右边是不是有一个字串键叫"debugger"的?
双击看一下里面是不是写的“C:\Program Files\Common Files\Microsoft Shared\pxpfern.exe”?咋那么眼熟?废话呀,这就是病毒体啊!这就是刚才为什么要一定先删除了那俩文件才重新启动的原因。
所有右边写着debugger并且值是pxpfern.exe的主键,全部从左边主键树中删除掉!
删除完后.OK了!
如果有看不明白的请留言.http://77586666.qzone.qq.com
