首先要感谢版主大大的关注,问题已经解决了
我在网上找到相关的清除方法:
木马介绍:(第一步打开的“系统配置实用程序”找到pumthsg.exe和rujrme.exe,分别在C:\Program Files\Common Files和C:\Program Files\Common Files\System 将它们删除(C:\Program Files\Common Files\System 在隐藏文件夹中)
木马介绍
1、该木马通过U盘或者互联网传染,U盘和计算机可交叉感染!
2、系统进程多了一个进程:rujrmue.exe、pumthsg.exe进程.
3、基本上目前常见的杀软、专杀、清理软件都会被劫持。
4、系统无法进入安全模式,启动到安全模式蓝屏。
5、木马不停自检文件,所以木马运行时候删除部分文件之后会被恢复。
6、格式化系统盘重新装系统,系统扩展分区里木马文件未清除,导致全盘感染!
7、目前虽然该木马在计算机发作初期可以被杀软拦截,但木马很快建立多个程序、修改时间等,导致杀软等监软件被自动关闭。
8、被感染的电脑无论是正常或者安全模式双击或者右键打开桌面图标、双击或者右键打开硬盘可能也会启动该木马程序。
9、访问电脑中放有卡巴、360和瑞星等杀毒软件的文件夹,则自动关闭;访问卡巴斯基、360等安全网站,IE则自动关闭,禁止访问!
木马发作过程及文件分析:
1.添加启动项目:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rujrmue.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pumthsg.exe
2. 添加进程:rujrmue.exe和pumtthsg.exe(任务管理器可以看到)
3.创建注册表项目:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image Files Exection,Image Files Exection该项目用来劫持目前常见杀软、专杀和清理软件。
4.在系统扩展分区(非操作系统分区)下面创建:autorun.inf,yeyinhi.exe.
5.在系统盘目录下面:X:\Program Files创建heex.exe,ykubdte.inf.
X:\Program Files\Common Files\System创建rujrmue.exe
X:\Program Files\Common Files\Microsoft Share创建pumthsg.exe
6.在C:\WINDOWS\system32下创建了15.dll和20.dll。
注意:本机的该木马只生成上面的文件,不排除该木马或者其变种生成的文件不同或更多。本方法仅供参考!
手动删除方法一:(清理过程断网、不要插U盘,以免交叉感染!)
1.在正常模式下无法清理的,所以首先要修复安全模式。所以先用附件的安全模式修复工具,双击解压出来的文件导入到注册表,安全模式修复了,现在重启电脑到安全模式。
2.双击附件“修复_显示所有文件.rar”解压的文件用来修复显示所有文件显示所有文件和文件夹,将隐藏受保护的操作系统文件前面的勾都不要。
3.由于木马程序已经关联各分区盘符以及常见杀软、专杀和清理软件的主程序和桌面快捷方式等,所以在清理时候有讲究的:在点我的电脑不要双击或者右键打开,注意要右键资源管理器打开或者在桌面新建一个压缩文档然后:浏览到木马创建的几个程序位置将上面指出的几个文件删除!亦利用系统搜索功能搜索木马文件进行删除!(这里的方法也是一种途径,具体问题仍需具体分析。)
4.开始>>运行>>输入regedit,确认.
浏览到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,双击打开RUN将里面rujrmue.exe和pumthsg.exe删除。
5.然后浏览到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion,展开CurrentVersion找到Image Files Exection将这个文件删除。
6.经过这一系列的删除之后你系统基本上可以正常工作了,由于这个木马可能回携带其他的一个盗号木马、破坏一些文件,所以重启之后要修复一些文件,使用杀软和清理软件对全盘进行查杀!
安全模式下压缩文件文件尚可以打开,你也可以尝试使用USBCleanerhttp://www.usbcleaner.cn/download/usbcleaner/usbcleaner20070602.rar来清理。USBCleaner提供AUTO专门清理,而且可以修复系统不本被禁止的功能,效果应该还算可以的。安全模式运行USBCleaner主程序可能会启动木马程序,自己想想办法怎么样启动(资源管理器里找到相应路径启动或者其他)不至于启动木马程序。
注意:安全模式清理系统时候不要乱点图标和快捷方式,清理电脑完成清理U盘的时候采用相同的打开方法删除文件。
解决方案二:首先在wimdows管理器中看是否有这两个进程:pumthsg和rujrme。如果有就按下面做应该能解决
第一步:开始—运行--msconfig打开“系统配置实用程序”——启动 将pumthsg 和rujrme禁用(即在前面的框中打钩然后应用)
第二步:进入注册表:开始--运行——regedit 打开注册表步骤是:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中找到相对应的有关pumthsg和rujrme相关的启动项(好象是倒数第二第三个,如果不是可以双击右面的“名称”下面的东西,比如双击RfwMain可以看到"C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup,这里有你所有启动项的东西,一个一个的找,一定能找到与pumthsg和rujrme有关的项)将其删除。
第三步:根据第一步打开的“系统配置实用程序”找到pumthsg.exe和rujrme.exe,分别在C:\Program Files\Common Files和C:\Program Files\Common Files\System 将它们删除(C:\Program Files\Common Files\System 在隐藏文件夹中),同时打开其他的盘将yeyinhi.exe 和相应的.inf隐藏文件删除,记住要将每个盘的这两个文件都删除。到这里基本就结束了。但是当我们重新启动系统后。能上网,所有的网业都能打开,但是打开相应的杀毒软件的时候系统却弹出windows找不到杀毒软件之类的东西。比如瑞星,360Safe,都会提示。这是由于我们的系统仍存留病毒的注册项,那么就要进行第四步。
第四步:下“超级兔子”清理注册项。再重启就可以解决了
修复注册表键值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
在“健康”的机器上导出上面的两项后再修复就行了
