毒网是www.8wen.cXm

这是什么毒?

==============================

中毒后，360safe自动关闭，运行exe不能，被运行的.exe文件被改名放到诸如C:\RECYCLER\__*.tmp

更改hosts文件加入了
219.235.3.16    www.360safe.com
202.165.102.243 dnl-cn1.kaspersky-labs.com
219.235.3.16    www.google.com
等网站

在system32下生成文件
ijmrethql.dll
abejwlzid.dll
mnqvixlup.dll
MYZLMX.dll
应该是自动生成的文件名

在system32\drivers下生成文件
npf.sys  //盗传奇密码的木马，但大小为0

在QQ或msn下面也有增加文件 我的是pqtyla.dll

[update] QQ或msn下面还有个wsock32.dll

安全模式的注册表项全删
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot那儿

在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler下面增加了{55426-BBA98-35A45C...}这样的项 值为C:\WINDOWS\system32\MYZLMX.dll

在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad下面增加了nomerwgdw这样的项 值为C:\WINDOWS\system32\ijmrethql.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下似乎没什么不正常的

-------------------------

我试了开QQ用process explorer检查到有个rundll32被跟着执行
而运行的命令行是C:\WINDOWS\system32\1951834.dll 但system32下没有这个文件
与这个文件关联的有QQ安装目录下隐藏的pqtyla.dll
同时调用了ADVAPI32.dll, ole32.dll, kernel32.dll(3个安全dll)
看来被嵌入了什么东西

-------------------------

******************************
暂时的解决办法
******************************

先到winpe下把上面的.dll文件全部删了

注册表中的病毒项到正常时用regedit删了

全部删除后正常运行

360safe或杀毒软件也不报，还有毒没清啊?

忘了说了，本来想用系统还原，但是会提示莫名其妙的如N:\ K:\等带有反斜杠的盘符，因为如果是正常被禁止的盘是不带反斜杠的，最终重启后也是提示系统没作出任何还原。[font_color=#0][font_color=#0]

不知道安全类工具改为和系统文件同名，并放在系统文件夹里能不能运行呢？？

如果和系统文件同名文件，也在系统文件夹里，还不能运行，不知道这鸟玩意怎么折腾让系统还正常启动的。

终于发现为什么了
QQ下和MSN下都有个wsock32.dll应用程序接口文件
但它的大小跟system32\dllcache下的wsock32.dll比大了0.1KB
我靠!!!

终于成功了! 我把那个wsock32.dll删了QQ正常, 没有rundll32被执行了!!
我的问题是它是怎么让QQ启动时执行rundll32的?