Skip to content

清除pfcexkt.exe、hmbduoj.exe病毒

昨天,碰到一电脑出现如下症状:

  1. 安装的杀毒软件无法运行
  2. 在IE里面输入密码的时候只能输入固定的位数,而以前是正常的
  3. 我看了下她的电脑,每个盘根目录下都有一个pfcexkt.exe可执行文件(这个基本上可以判断感染病毒了)
  4. 另外让我奇怪的是,在她电脑上打开我的移动硬盘上的Antivirus文件夹就给我自动关闭,其他文件夹没事
  5. 双击磁盘盘符打开时会闪一下,而打开其他文件夹正常
  6. 进不去安全模式

基本上是中毒了,那就找解决方法。(这个病毒似乎比较简单但厉害,我给她重做了系统,只格了系统盘,双击其他盘打开时又感染)

网上搜索,没有该病毒的详细报告,但也有一些资料:

该病毒建立的包括的源文件如下:
病毒文件全路径 大小(字节)
C:\Program Files\meex.exe 36,219
C:\Program Files\Common Files\Microsoft Shared\gvdetru.inf 169
C:\Program Files\Common Files\Microsoft Shared\tygxhqb.exe 36,219
C:\Program Files\Common Files\System\gvdetru.inf 169
C:\Program Files\Common Files\System\hmbduoj.exe 36,219
其它所有分区:\autorun.inf 169
其它所有分区:\pfcexkt.exe 36,219
其它所有分区:\niu.exe 30,625

要是怀疑,看看任务管理器有没有tygxhqb.exe 和(或)hmbduoj.exe 进程,有的话,恭喜你中了!

此病毒是盗号木马程序,使用过网上银行、QQ、网络游戏的话就得小心了,也许密码全被盗了。中此病毒后比较明显的几个症状:

  1. 杀毒软件无法运行
  2. 进程里有tygxhqb.exe 和(或)hmbduoj.exe 进程
  3. 双击打开磁盘盘符时会闪一下
  4. 打开名字中含有"病毒"、"杀毒"、"瑞星"、"Antivirus"等字眼的文件或者文件夹时会自动关闭,网页中一搜索这些字眼也会马上关闭

干掉此病毒及解决其后遗症的方法:

  1. 先看这里,将里面的红色文字保存为批处理文件,运行一下,此病毒就被干掉了。
  2. 但这个时候你会发现你不能上网,但是可以ping通外网的主机,并且ping的时候显示有诸如pinging ?...with 32 bytes of data信息(注意,正常的ping是不会有这个?号出现的)
  3. 安装360安全卫士,查木马,会查出来几个盗密码的木马,杀掉重启电脑就OK了
Post a comment Trackback URI RSS 2.0 feed for these comments This entry (permalink) was posted on Sunday, October 14, 2007, at 14:25 by sencun and categorized in Computer.
1,471 Views so far. Print this post Print this post
Tags: ,

Related Posts:

  • 组策略(gpedit.msc)等.msc格式文件无法打开,提示选择打开方式的解决 (2)
  • "browseui.dll没有找到,因此这个应用程序未能启动"故障的解决 (0)

    • Random Posts:

  • Condom
  • 要离开这里去上海了
  • IP及子网掩码
  • “婚姻”
  • 关于看待金钱

    • At 2007.10.17 09:11, 刘三宏 said:

      @echo off
      title 忆林子
      color 0a
      echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
      echo.
      echo 该病毒资料
      echo 瑞星对此暂无报告
      echo.
      echo 该病毒建立的包括的源文件如下:
      echo.
      echo 病毒文件全路径 大小(字节)
      echo C:\Program Files\meex.exe 36,219
      echo C:\Program Files\Common Files\Microsoft Shared\gvdetru.inf 169
      echo c:\Program Files\Common Files\Microsoft Shared\tygxhqb.exe 36,219
      echo c:\Program Files\Common Files\System\gvdetru.inf 169
      echo C:\Program Files\Common Files\System\hmbduoj.exe 36,219
      echo 其它所有分区:\autorun.inf 169
      echo 其它所有分区:\pfcexkt.exe 36,219
      echo 其它所有分区:\niu.exe 30,625
      echo.
      echo autorun.inf和gvdetru.inf文件里的内容
      echo.
      echo [AutoRun]
      echo open=pfcexkt.exe
      echo shell\open=打开(^&O)
      echo shell\open\Command=pfcexkt.exe
      echo shell\open\Default=1
      echo shell\explore=资源管理器(^&X)
      echo shell\explore\Command=pfcexkt.exe
      echo.
      echo 该病毒的后果:
      echo 你的杀毒软件会无法打开,另外只要你的文件名中如果是"病毒","杀毒","瑞星"等和病毒.
      echo 有关的字眼时,你这个文件打开之后会马上被关闭.网页中一搜索这些字眼也会马上关闭.
      echo 可能还有其它的情况,我这里就不详细说明了.
      echo.
      echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
      echo.
      set /p tmp=以上是该病毒的信息,如果要清除该病毒,请回车键开始杀毒...

      rem 结束病毒进程
      for %%d in (
      tygxhqb.exe,hmbduoj.exe
      pfcexkt.exe,meex.exe
      ) do (
      taskkill /im %%d /f 2>nul
      )

      rem 去除病毒源文件的 系统、隐藏、只读 属性,然后删除它们。
      for %%d in (meex.exe) do if exist "C:\Program Files\%%d" (
      attrib -s -h -r "C:\Program Files\%%d"
      del "C:\Program Files\%%d" /q
      )

      for %%d in (tygxhqb.exe,gvdetru.inf) do (
      if exist "C:\Program Files\Common Files\Microsoft Shared\%%d" (
      attrib -s -h -r "C:\Program Files\Common Files\Microsoft Shared\%%d"
      del "C:\Program Files\Common Files\Microsoft Shared\%%d" /q
      )
      )

      for %%d in (hmbduoj.exe,gvdetru.inf) do (
      if exist "C:\Program Files\Common Files\System\%%d" (
      attrib -s -h -r "C:\Program Files\Common Files\System\%%d"
      del "C:\Program Files\Common Files\System\%%d" /q
      )
      )

      for %%f in (autorun.inf,pfcexkt.exe,niu.exe) do (
      for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\%%f (
      attrib -s -h -r %%d:\%%f
      del %%d:\%%f /q
      )
      )

      rem 添加进入安全模式的注册表项
      reg add "HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
      reg add "HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
      reg add "HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
      reg add "HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
      reg add "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
      reg add "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f

      rem 添加被病毒删除的注册表项
      reg add "HKLM\SYSTEM\ControlSet003\Services\kmixer\Enum" /v 0 /d "SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}" /f
      reg add "HKLM\SYSTEM\ControlSet001\Services\kmixer\Enum" /v 0 /d "SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}" /f
      reg add "HKLM\SYSTEM\CurrentControlSet\Services\kmixer\Enum" /v 0 /d "SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}" /f

      rem 添加显示隐藏文件的注册表项
      reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /f
      reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
      reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /d 1 /f
      reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden" /v Type /d checkbox /f

      rem 删除由病毒添加的启动项
      reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v pfcexkt /f
      reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v gvdetru /f

      rem 删除病毒在注册表中添加的关联
      if exist test.忆林子 del test.忆林子
      reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options">test.忆林子
      for /f "tokens=* delims= skip=4" %%j in (test.忆林子) do (
      reg delete "%%j" /v debugger /f
      cls
      if exist test.忆林子 del test.忆林子
      echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
      echo.
      echo 正在清除由病毒添加的注册表项,请稍候...
      echo.
      echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
      )
      if exist test.忆林子 del test.忆林子
      reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path" /v Debugger /d "ntsd -d" /f

      cls
      color a0
      echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
      echo.
      echo 病毒清除完毕,按回车键开始解决分区无法双击打开的问题.
      echo.
      echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
      set /p test=
      cls
      @echo off
      title 忆林子--解决分区无法打开
      color a0
      rem 删除引起磁盘无法双击打开的autorun.inf文件
      for /d %%i in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i:\autorun.inf (
      cacls %%i:\autorun.inf /c /e /p everyone:f
      attrib -s -h -r %%i:\autorun.inf
      del %%i:\autorun.inf /q
      )
      rem 进行磁盘检查,恢复双击打开功能
      for /d %%i in (d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i: chkdsk %%i: /f /x
      cls
      color ec
      echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
      echo.
      echo 操作结束,按回车键退出该程序...
      echo.
      echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
      set /p temp=
      :exit
      exit

      [Reply]
    • At 2007.10.20 08:44, 黎明前的黑 said:

      哈,你講得不就是AV終結者麼.
      我上次也中了,不過早被我弄好了.呵呵
      這里強烈向你推薦一款殺毒軟件.360安全衛士.

      [Reply]
    • At 2007.10.23 12:55, 程鹏 said:

      这个好像是AV终结者的变种吧
      看起来感染了挺麻烦,幸好我还没遇到

      [Reply]
    (必需的)
    (必需的,但不会被公布)