中了个毒，所有能用的软件打不开，改了注册表也不行．．．刚进病毒文件的文件夹，就关了

任务管理器有两个进程：yyjnldu.exe       还有一个xux......exe（忘了）

尽量帮帮我啊........

转载的啊！  

这几天我们研究所看门大爷电脑装的杀毒软件自动停止了，他找我给他看看 ，开机没有运行任何自己启动的应用程序，发现：

１．察看进程管理器发现多了yyjnldu.exe（c:\program files\common files\system\yyjnldu.exe注意：这个位置我是用超级兔子的进程管理器知道的。）和xnxlufi.exe(c:\program files\common files \micosoft shared\xnxlufi.exe)两个进程，删除不掉。一删进程管理器就自动关闭。

２．在网上搜yyjnldu和xnxlufi和病毒等一些关键字网页就自动关闭了。

网上任何和毒相关的网页全部没法浏览成功。

３．打开任何杀毒清理字样的软件或文件夹，立刻给你关闭．

我只能说一个字，牛．

没办法，我于是重新启动计算机，想切换到安全模式，不行，立刻蓝屏幕，再重启动切换到带命令行的安全模式，还是蓝屏幕，晕。好在电脑以前有ghost,于是ghost恢复操作系统，感觉没问题了，结果恢复完重启完，打开进程管理器，发现那两个顽固的进程依然在啊。太牛了啊。

选择显示隐藏文件，也不显示，没办法，先修复好这个吧。参照： http://blogimg.chinaunix.net/blog/upfile/071004153310.rar

我们可以运行cmd，进入命令行模式,进入每个盘的根目录下,dir /a 应该会看见nhbivui.exe和autorun.inf的文件。其中autorun.inf用记事本打开，内容如下：

[AutoRun]

open=nhbivui.exe

shell\open=打开(&O)

shell\open\Command=nhbivui.exe

shell\open\Default=1

shell\explore=资源管理器(&X)

shell\explore\Command=nhbivui.exe

运行regedit搜索nhbivui.exe,发现在HKLM\software\microsoft\windows\current version\Run下有名称mhlclyg

值为：c:\program files\common files\system\yyjnldu.exe 和

名称为nhbivui.exe

值为：c:\program files\common files \micosoft shared\xnxlufi.exe

于是自己就搜索，删除，再到各个盘下把nhbivui.exe和autorun.inf的文件都删除了，都干净了，


运行msconfig，把启动项目中关于yyjnldu.exe和xnxlufi都停止。重新启动，

感觉应该没什么大问题了吧？开机还是存在，那几个把nhbivui.exe和autorun.inf又都回来了，

看来还是不能解决问题。

于是到我自己电脑搜索知道这就是中了ＡＶ终结者病毒的变种．病毒很厉害啊 。

可以参照：   http://blogimg.chinaunix.net/blog/upfile/071004153310.rar                   专杀工具下载地址：http://blogimg.chinaunix.net/blog/upfile/071004153310.rar

杀毒，我于是下载下来，装到我的u盘，拿下去，首先把他电脑的自动播放关闭，参看

，http://blogimg.chinaunix.net/blog/upfile/071004153310.rar

结果还是不行，因为每当我们一运行那个杀毒程序时，病毒会立即给你关闭。

看来只有全部把所有分区都格式化，然后重新装系统了，想想我都感觉太浪费时间了，

不到万分无奈，我是不会这么干的，于是把我使用修改文件关联，方法如下：

1．首先把command.exe修改扩展名.Com（防止我们自己无法运行cmd ）

和把regedit.exe修改扩展名为.com（防止我们自己无法运行regedit）

2.开始--运行--cmd,打开“命令提示符”窗口。

3.输入ftype exefile=notepad.exe %1

这句话的意思是将所有的EXE文件用“记事本”打开。这样原来的病毒无法启动了

4.重启电脑,你会看见打开了许多“记事本”。当然，这其中不仅有病毒文件，

还有一些原来的系统文件比如输入法程序

5,把yyjnldu.exe和xnxlufi.exe两个记事本的内容全删掉,再保存 ，

把autorun.inf中的内容全部删除，然后保存。

6．然后运行regedit重复把相关病毒的启动全部给删除。

7.运行ftype exefile="%1" %*，将所有的EXE文件关联还原。

满以为这下病毒该去见阎王了吧，没想到重启动后，进程还是依旧不死啊。

看来各种专杀和手动操作都没照了。我也没招了啊。

无意中看到 u盘里有有个专门杀autorun.inf病毒的工具，点了一下，没想到啊，

下载地址：

http://blogimg.chinaunix.net/blog/upfile/071004153339.rar

它居然能运行，把病毒都破坏了，杀出那些autorun.inf.

现在运行那个av终结者专杀，好用了，终于可以杀毒了，清除完毕，

用 sreng扫描看到host文件多了以下几项
127.0.0.1   gx.gx_ruanjian.com

127.0.0.1   gx_ruajian.com

127.0.0. 1   www.gx_ruanjian.com

都删除，只保留

127.0.0.1          localhost，然后修复一下注册表。

然后我又到我们瑞星服务器下载下瑞星来，终于可以装了，装完扫描一下，没问题了。

现在机器终于又正常了。

总之,这病毒太牛了,有空我再研究一下,它的病毒机理.

太谢谢了...
下次把病毒发上来...