今天我哥拿了朋友一台机子,说是进windows xp后,桌面什么都没有,拿到公司打开后,发现确实如此
,原来是在桌面-->右健弹出菜单里的显示桌面内容给禁了,当然按一下恢复回来即可。对于这些"电脑弱者"来说,安全观念
一点都没有,想把他的登录密码给设起来,不然他ADSL一接上,任何人都可进来了,后来打开控制时居然提示找到rundll32.exe
,不出意料,是中毒了。到服务器上down了norton,个人喜欢macfee,可norton查出杀不了,没办法,还是macfee,安装时居然没有提示我要
先kill norton,后来macfee装了一半,挂了。估计两个杀毒软件打架了。。。
接下去,进了安装模式,把norton给kill了,重新安装macfee,并升级病毒库,一切成功了。开始杀毒,共查杀了28个
2005-8-13 21:03:40 已删除 c:\Program Files\DuDu\DDDClient\dddspocx.dll\dddspocx.dll QLowZones-4(特洛伊)
2005-8-13 21:03:45 已删除 c:\Program Files\hyddp\ly2_02.exe\00004448.EXE\0000a000.EXE\0000a000.EXE QLowZones-4(特洛伊)
2005-8-13 21:04:35 已删除 c:\Program Files\wsearch\Mouse1.dll Generic BackDoor.t(特洛伊)
2005-8-13 21:05:41 已移动(清除失败,因为文件不可清除) c:\WINDOWS\system\rundll32.exe New Malware.j(特洛伊)
2005-8-13 21:06:12 已删除 c:\WINDOWS\system32\notepad.exe\notepad.exe PWS-Goft(特洛伊)
2005-8-13 21:06:13 已删除 c:\WINDOWS\system32\NTdhcp.exe PWS-QQRob(特洛伊)
2005-8-13 21:06:18 已删除 c:\WINDOWS\system32\qqtang.exe PWS-QQRob(特洛伊)
2005-8-13 21:08:05 已删除 c:\WINDOWS\Temp\dddupdate.exe Downloader-ACJ(特洛伊)
2005-8-13 21:08:12 已删除 d:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP109\A0074279.exe BackDoor-CLP(特洛伊)
2005-8-13 21:08:13 已删除 d:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP109\A0074846.dll PWS-Legmir.dll(特洛伊)
2005-8-13 21:08:18 已删除 d:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP109\A0074855.exe\A0074855.exe\002fdc00.EXE BackDoor-CLP(特洛伊)
2005-8-13 21:08:50 已删除 d:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP109\A0074899.exe\A0074899.exe\002fdc00.EXE BackDoor-CLP(特洛伊)
2005-8-13 21:08:50 已删除 d:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP109\A0074913.exe BackDoor-CLP(特洛伊)
2005-8-13 21:08:50 已删除 d:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP109\A0076926.EXE BackDoor-CLP(特洛伊)
2005-8-13 21:08:50 已删除 d:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP109\A0077936.exe BackDoor-CLP(特洛伊)
2005-8-13 21:08:51 已删除 d:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP109\A0078928.EXE BackDoor-CLP(特洛伊)
2005-8-13 21:08:51 已删除 d:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP109\A0079927.EXE BackDoor-CLP(特洛伊)
2005-8-13 21:08:52 已删除 d:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP111\A0081095.exe BackDoor-CLP(特洛伊)
2005-8-13 21:08:52 已删除 d:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP111\A0081232.exe BackDoor-CLP(特洛伊)
2005-8-13 21:08:52 已删除 d:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP112\A0082223.exe BackDoor-CLP(特洛伊)
2005-8-13 21:09:41 已删除 f:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP109\A0074824.exe\A0074824.exe PWS-Goft(特洛伊)
2005-8-13 21:09:41 已删除 f:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP109\A0074836.EXE PWS-Rimd.dr(特洛伊)
2005-8-13 21:09:42 已删除 f:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP111\A0081163.exe\A0081163.exe PWS-Goft(特洛伊)
2005-8-13 21:09:45 已删除 f:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP112\A0082241.exe\A0082241.exe PWS-Goft(特洛伊)
2005-8-13 21:09:45 已删除 f:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP112\A0082256.exe\A0082256.exe PWS-Goft(特洛伊)
2005-8-13 21:09:45 已删除 f:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP112\A0082257.exe\A0082257.exe PWS-Goft(特洛伊)
2005-8-13 21:09:46 已删除 f:\System Volume Information\_restore{D7CF3D9E-189B-4FD5-AB28-4C52C51EE0EE}\RP112\A0082258.exe\A0082258.exe PWS-Goft(特洛伊)
2005-8-13 21:10:15 已删除 f:\新建文件夹 (2)\405355946\MyRecvFiles\啊哈,网友发的超级搞笑FLASH,你看得懂吗.exe\啊哈,网友发的超级搞笑FLASH,你看得懂吗.exe PWS-Goft(特洛伊)
好了,总算干净。现在的问题恢复rundll32.exe
说明一下,windows安装盘中i386目录下的文件.ex_扩展是一压缩文件,用expand解压还原
expand h:\i386\rundll32.ex_ c:\windows\system32\rundll32.exe (注:h盘是光盘)
这样文件恢复了,但是程序没有关联,比如打开注册表,居然跳出选择程序框,这时候还要把文件打关联给联上
新建一文件,输入以下内容并保存为store.reg
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
然后双击store.reg把上述内容导入注册表中
在这里已经大功告成,不用重装系统中了。高兴ing...
