C:\Documents and Settings\new\「开始」菜单\程序\启动\px2.lnk
这个是我的adsl
另外两个我去看看~ 很多文件我也不敢乱删除 一般都要百度后才删除
接下来把杀毒过程写下 因为是昨天下午中的毒
从晚上到今天 和这个病毒 战斗N久
昨天家一台机子硬件有问题,不能上网~就到这机子上查解决方法 本来就很抓狂了~福不双至 祸不单行 完全理解这句话的意思了
看网页我本来是用百度快照看的多 不小心按了下连接郁闷 一下后 我就断开了网络 虽然有准备 但是绝对没想到这么难杀~
赶快把机子里头N久没用的工具拿了出来 一看启动一堆东西 超过10多个木马 看着都眼睛花 真想给他一耳光 手动杀毒我容易吗 这不是要累死么 还好那些程序要重起的时候才会运行 把它扼杀在摇栏里头好了
windows
下面看时间就可以看出来当时建立的 我使用FTP可以看到所有隐藏文件 几下就全删除了
接下来难处理的就是dll 都被加载进入
对付这样的文件 方式也简单 就是把所有的文件全部改名字~下次他就加载不了 不过也是常识了很多方法之后才想起来的 太久没杀毒了 我还以为病毒绝种了 没想一见面就送个大礼~
接下来运行QQ医生 问题就出现了 无法运行 因为我以前的工具 全部改了名字 所以才没发现 还被Image File Execution Options了
这个也简单删除就可以了 我自信满满 可惜啊 删除 删除 删除 怎么删了半天怎么还是一样多 我晕
这下子我慌了 自己心里又没低 自己网上又有很多事 一下子就让我晕头转向了 脑子不好使了~
无法马上翻查工具 找可疑的文件~始终没结果~
就一连上网络 又是一下停顿打windows 任务管理器 直见一堆陌生进程在上下跳动~那个心寒啊~
断开网络一看 那些老朋友又回来了~删除一次都花上个几十分钟~又让我删除一次 我哭~~~~~~
这个时候我想了 如果上天给我一次重来的机会 我绝对不进那个网页 以后也不用IE看网页 用小狐狸好了~~~~~~不过有弊也有利 这次让我又有很大的提升 如果我有两台电脑 一天让我中一个都没关系 挑战病毒也是乐趣~
这个病毒应该是属于最新机器狗了
因为你杀这个病毒的时候最好先下载机器狗专杀~没有的 直接到
c:\windows\system32\userinit.exe 删除 系统会自动恢复
c:\windows\system32\soundman.exe
c:\windows\SoundMan.exe
//这个是两进程 是这个病毒主要特征 主要是c:\windows\soundman.exe不用考虑结束它
c:\windows\system32\setup\en_1072.bin
//这个很厉害控制注册表 改了又恢复 他负责每几秒 看看你机子里头的病毒是否完整 不完整的话 它会怎么做。。。
c:program files\internet explorer\plugins\newsys55.sys
//QQ医生说是QQ盗号的
C:\WINDOWS\system32\drivers\msosfpids32.sys
//不知道
C:\DOCUME~1\new\LOCALS~1\Temp\tmp*.tmp
//病毒网上下载的先头部队~很多数字不同的
C:\WINDOWS\system32\DRIVERS\comint32.sys
//不知道~
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
"Debugger"="SoundMan.exe"
//这个影响了 输入法的切换
AppInit_DLLs: mrjhtjd.dll,qrhhb.dll,xdfntt.dll,hgfhk.dll,hjaiq.dll,kduy.dll,frntrn.dll,dnteh.dll,chmfcmh.dll,jwlah.dll,crugd.dll,lariytrz.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,ydgn.dll,dbfb.dll,fjnbv.dll,wmsat.dll,gmnait.dll,hfjg.dll,xdndn.dll,rgfjj.dll,dscef.dll,xfng.dll,njritc.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,fehom.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,rhs.dll,atehhz.dll,gjjte.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,hkfgh.dll,drghszd.dll,fngn.dll,xdhdg.dll,zdbfbd.dll,fjyjy.dll,awef.dll,msepbe.dll,
//这些搞清楚那些是病毒那些是有用的 反正都是病毒来的~
断开网络不用我说了吧
第一步,删除windows下生成的exe通过时间来 中毒的时间 最好有FTP工具 我忘记把文件名记下了
第二步,修改windows/system32下的mrjhtjd.dll,qrhhb.dll,xdfntt.dll,hgfhk.dll,hjaiq.dll,kduy.dll,frntrn.dll,dnteh.dll,chmfcmh.dll,jwlah.dll,crugd.dll,lariytrz.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,ydgn.dll,dbfb.dll,fjnbv.dll,wmsat.dll,gmnait.dll,hfjg.dll,xdndn.dll,rgfjj.dll,dscef.dll,xfng.dll,njritc.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,fehom.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,rhs.dll,atehhz.dll,gjjte.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,hkfgh.dll,drghszd.dll,fngn.dll,xdhdg.dll,zdbfbd.dll,fjyjy.dll,awef.dll,msepbe.dll
是有点多 不过他们的创建时间都是中毒的时间 如果windows\system32下能看到 就只用用鼠标划下 重新名民 然后回车就够了 一个一个改也行
也可以用工具删除
第三步,修改
c:\windows\system32\setup\en_1072.bin 改名字或删除 不过你是删除不了的~除非用工具
第四不,SoundMan.exe删除 先结束进程吧
第五步,注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里头些全是木马当然其他的要你自己识别了
这个样的毒如果你第一次手动杀的话 绝对很难 还是等专杀工具吧
第六步,观察服务里头 有个病毒 因为太明显了 所以没记录~抱歉~我都做好准备重装了~好在后来瑞星论坛 下载了SREng 才发现了en_1072.bin 不然 这个时候我还在抓狂~
重新启动 不要接网络
最后注册表恢复正长 还不能切换输入法~这个是最后的步骤 修改注册表~
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
下面的子键值为
"Debugger"=。。。
删除 也可以全部删除~
最后一修改AppInit_DLLs为空 搜索下注册表就可以了
这个病毒就是运行机子上任何程序都会加载病毒 运行一次后就没事了 记得以前也有个logo_1.exe的吧 我不太记得了
最后用斑竹提供的杀毒工具 清理自己机子吧 也可以下个瑞星或360修复机子~ 运行QQ医生也可以帮你杀毒
是不是看不懂啊~没办法 如果要把写的详细 写到明天都写不完~有太多东西不记得了~只能告诉你些很主要的地方~如果这些都能顺利删除~这个病毒就没办法在你机子上正常运行~实际上还有很病毒文件 斑竹给我的解决里头有 这个几个是重点要删除的~要想杀掉它 你就会用这里提供的所有工具 就这么简单 我机子虽然不被病毒骚扰 后遗正也挺大的 如果能解决尽量 不能的话 只能照斑竹说的 找个机会重装了
也有可能是我误删除的某些文件,总之这么做 只是开机进入慢点 其他都很正常 速度还和以前一样快~
20080403
终于把电脑恢复了
解决了电脑进入桌面看图标慢 需要几分钟~
使用了windows的事件查看器 发现几个服务报错而造成 所以停用了那几个错误的服务~
对系统几乎没有影响了 如果不算上adsl接网的时间30秒可以完全进入系统
