同事电脑上的我的电脑、所有文件夹、控制面板、网上邻居、搜索等都打不开了,一双击就出现“程序错误”对话框:“Explorer.exe产生错误,Windows将关闭它,并生成错误日志”,点了上面的确定,然后桌面就消失,但很快就重新回来(即Explorer.exe重新加载)。
用SREng检查发现注册表中的<AppInit_DLLs>被篡改,Winsock也被修改了(全部指向AVIStream_API.dll,不过与以往修改Winsock不同的是还能上网)。开始觉得很简单,只要把那几项删除修复就是。
先重启到安全模式下(在安全模式下我的电脑、文件夹什么的都能正常打开,只有在正常模式下不行),用powerrmv(费尔托斯特清除助手,清除时选中抑制再生的选项)删除如下文件(该系统是2000,如果是xp,应该对应C:\windows\system32\):
C:\WINNT\system32\rsmyapm.dll
C:\WINNT\system32\kawdbzy.dll
C:\WINNT\system32\ratbbpi.dll
C:\WINNT\system32\avwgbmn.dll
C:\WINNT\system32\rsjzapm.dll
以上是注册表中的。
C:\WINNT\system32\OPT_FUN.dll
C:\WINNT\system32\AVIStream_API.dll
这两个是修改Winsock的,这时只有AVIStream_API.dll出场,OPT_FUN.dll只先在进程中体现出来,但我在第一次杀毒时漏了它(过会,还有不少它们的同伙出来)。
重启后到SREng启动项目-注册表中删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><avwgbmn.dll> [](这一项不能删除,要点编辑,把值留空就行,即保留<AppInit_DLLs>为空值。)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINNT\system32\rsmyapm.dll> []
<{28907901-1416-3389-9981-372178569982}><C:\WINNT\system32\kawdbzy.dll> []
<{26650011-3344-6688-4899-345FABCD1562}><C:\WINNT\system32\ratbbpi.dll> []
<{2A1247C1-53DA-FF43-ABD3-345F323A48D2}><C:\WINNT\system32\avwgbmn.dll> []
<{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINNT\system32\rsjzapm.dll> []
注意<AppInit_DLLs>后面可能不是avwgbmn.dll,也可能是rsmyapm.dll、ratbbpi.dll、avwgbmn.dll、rsjzapm.dll中的一个,所以如果不重启就去注册表中处理,会发现<AppInit_DLLs>的值会不断反复再生,并在上述文件中变换,其它几项也会删除后重新生成注册表项,但从SREng是看文件大小都是0字节,因为文件已经在前面删除并抑制再生了。
最后到SREng的系统修复-高级-重置Winsock,重启。
按理全部处理步骤是这样的,应该重启后就OK了,为了保险起见我还在c:\winnt\system32及c:\winnt下按时间排了下序,把一些最近生成、特别是与上述病毒文件同时间的可疑exe和dll文件也一起删除(尽量小心别删除正常文件,因为是最近一两天产生的问题,所以时间范围是最近一两天内,宁放过,不删错,毕竟启动项已经干掉了,当然也可以借用杀软升级后来检查)。
尽管如此处理完,但让我吃惊的是重启电脑后,竟然还是打不开我的电脑、文件夹等,还是那个程序错误的对话框。检查一下,注册表中倒是正常了,<AppInit_DLLs>也没被篡改,但Winsock还是被修改了,这回是指向OPT_FUN.dll(在我第一次删除文件时没删除它,所以才会在这出现)。在随后几次修复Winsock时,Winsock依次被指向VCL_SPI.dll、XP_SP2.dll等文件(全是新生成在system32下的),说明至少病毒进程还在监控。但我在SREng中实在找不到其它可疑的启动项,服务和驱动中也没有。直到我查到临时文件夹c:\documents and settings\user\local settings\temp,才发现有个文件名为数字文件:32453423324,记得我第一次处理时顺带清理临时文件(这是个好习惯)已经删除它了,怎么又出现,而且旁边还有一个可疑的文件gosh.mod,一看就不是好人,用powerrmv清除并抑制再生,修复winsock后重启,再看winsock这回正常了。重启几次也没再反复,看来这一定是修改winsock的病毒文件的根源,病毒进程一直在运行,虽然我删除了winsock指向的病毒文件,但运行中的病毒立即重建,第一次清理临时文件时虽然删除了,但没有刷新一下检查看是否在临时文件中重新生成,才让它逃过。应该是这样的。
虽然winsock修复了,我的电脑和文件夹依然打不开,抓狂了。离我坐在这台电脑前已经过去1个小时多了,太丢面子了,还没搞定,虽然病毒清除了不少,人家叫我来是处理打不开我的电脑的,主要问题没解决,什么也白做。
到网上查了那些病毒的资料,没什么有用信息,用sreng的高级修复,删除所有组策略设定,没用,下载360检查,没用,注册表中文件夹打开方式是正常的,不用改,从别的电脑拷explorer.exe过来覆盖,还是没用,我有点想把系统文件夹下所有近期创建的文件统统删除,这回不管误杀不误杀,可反复检查,没看出有什么不正常的,下不了手。完了,我要栽了。
我开始想重装了,这台电脑前两天才重装的,资料不多,重装应该没问题的。在这之前,我进行最后两步操作,不行就重装。按网上说的:1、删除所有IE插件,用360扫描,有三个QQ的插件(确实是QQ的,不是假冒的),统统用360删除;2、重新注册一些dll文件:
regsvr32 appwiz.cpl
regsvr32 mshtml.dll
regsvr32 jscript.dll
regsvr32 msi.dll
regsvr32 mshtmled.dll
regsvr32 /i shdocvw.dll
regsvr32 /i shell32.dll
然后重启,文件夹可以打开了,我的电脑、控制面板什么的都可以用了。呵呵,现在的麻烦是到底是什么搞定了这个问题。我的电脑、文件夹都是用到shell32.dll,也许是重新注册搞定的,不过在安全模式下它们是能正常打开的,shell32.dll没影响到安全模式下吗?难道是IE插件,也可能是这些QQ插件被病毒破坏,才使我的电脑、文件夹打不开,象吗?不能确定。不过反正问题解决了。
首发于:
http://blog.sina.com.cn/s/blog_53f6c6cd01000ch9.html
