八达网

标题: 谁帮我看看如何对付这2个病毒 [打印本页]

作者: 小色 时间: 2007-12-9 00:43
标题: 谁帮我看看如何对付这2个病毒
absrjcq.exe
cdlflsf.exe

我现在涉及到这2个名字的东西全部自动关闭,谁帮我baidu一下，看怎么办

作者: 琴瑟琵琶 时间: 2007-12-9 00:45
梅毒？Aids？

作者: sunframe 时间: 2007-12-9 00:45
vking

作者: 幸福不倒翁 时间: 2007-12-9 00:45
fyplmfo.exe(cdlflsf.exe,absrjcq.exe) 是最近很流行的一个病毒！非常猖狂！
1，清空IE临时文件，cookies.
2，先用在线杀毒看看
http://www.antidu.cn/board/online/
3, 去找找专杀工具！轻松解决！
http://www.antidu.cn/board/zsst/
4，还不可以的话，只能去反病毒论坛提问，
http://bbs.antidu.cn
那有很多热心的高手，我中毒了都是在那里问的

症状：

         1.所有杀毒软件无法启动。（重装杀毒软件无效）

         2.进程中出现"cdlflsf.exe"和"absrjcq.exe"进程，并且无法终止进程。

         3. 不显示"隐藏受保护的操作系统文件(推荐)"和" 显示系统文件夹的内容"选项。

         4.关于病毒和杀软的网页,文件夹打开自动关闭。等

杀毒方法：

1."任务管理器"结束"absrjcq.exe"或者"cdlflsf.exe" 其一进程树

(注意:只结束其一, 结束的这一进程不能使任务管理器自动关闭)

(如果你结束了"absrjcq.exe"进程树任务管理器自动关闭，那么就重新打开任务管理期结束掉"cdlflsf.exe"进程树,这时你会发现任务管理器并没有自动关闭,进程中只剩下一个病毒进程;反之亦然)

2.复制下面的代码，保存在记事本另存为"shawall.reg"放置在桌面上;

(此注册表文件旨在恢复"隐藏受保护的操作系统文件(推荐)"选项)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

3.复制下面的代码，保存在记事本另存为"显示系统文件夹的内容.reg"放置在桌面上;

(此注册表文件旨在恢复"显示系统文件夹的内容选项)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

4.双击我们刚刚保存的“showall.reg”和"显示系统文件夹的内容.reg",

“是否确认要将……添加进注册表？”都点“是”.

5.(所有打开都使用"右键-打开",避免双击)

右键打开我的电脑-工具-文件夹选项-查看,

在"显示系统文件夹的内容"选项前打勾,

取消"隐藏受保护的操作系统文件(推荐)"前面的勾,弹出提示框,点"是".

6.(删除均使用"Shift+Delete"删除)

删除C:\Program Files\meex.exe

删除C:\Program Files\Common Files\Microsoft Shared\ fyplmfo 和 lyxgwlv.inf

删除C:\Program Files\Common Files\System\ lyxgwlv 和 lyxgwlv.inf 和 lyxgwlv.bat

删除各个盘下的autorun.exe 和 lyxgwlv.inf

7.重启，如进程中无"cdlflsf.exe""absrjcq.exe"进程,证明病毒已删,重装杀毒软件,全盘扫描!

      这两天有许多人加我QQ,了解杀此病毒的情况,我都一一解决了,并对先前文章不足之处加以了修改,希望大家按照我的步骤操作能早日清楚病毒,脱离病毒烦恼!

      此病毒不用重装系统,就算你重装也是没有用的!

作者: 易水寒 时间: 2007-12-9 00:46
查杀过程
工具:IceSword
1、打开注册表，将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]项中被劫持项统统删除（不下30个），再右键点击左侧Image File Execution Options项，选择权限，勾上拒绝栏。
2、打开注册表，删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]中cdlflsf.exe,absrjcq.exe两项，右键点击左侧Run项，选择权限，勾上拒绝栏。继续搜索cdlflsf和absrjcq，全字匹配，找到全部删除。
3、重启机器，此时发现cdlflsf.exe,absrjcq.exe两个进程消失，但此时需要非常注意：1、不要企图打开机器里原有的杀毒工具，否则立刻激活病毒，改名了也不行。2、不要打开任何盘符，包括双击和右键-打开，否则立刻激活病毒。（此病毒有些不同，右键点击盘符，首项为打开，似乎没有异常，但如果此时点打开，会发现有一段反应时间，然后才打开目标盘符，但此时已经运行病毒了，其中的原因，到时用记事本打开*盘根目录下的autorun.inf文件自然明白）。3、如需修改注册表中某项值，不要双击，会激活病毒，要右键-编辑。4、随时打开任务管理器，如以上3项操作不慎进行了某一项的话，会发现cdlflsf.exe,absrjcq.exe两个进程又出来了，此时应立刻重启机器。
4、在cdlflsf.exe,absrjcq.exe两个进程不存在的情况下，我拷入改名后的IceSword，直接放到桌面。此时发现IceSword可以运行了，选择左侧文件选项，然后点击各个盘符，将fyplmfo.exe和autorun.inf两个文件强制删除，然后在IceSword中进入C:\program Files\common files\microsoft shared将cdlflsf.exe和lyxgwlv.inf两个文件强制删除、进入C:\program Files\common files\system将absrjcq.exe，lyxgwlv.inf和lyxgwlv.bat三个文件强制删除。
5、重启，再次进入注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]中，取消掉原来勾上的拒绝一栏，可能会发现cdlflsf.exe,absrjcq.exe两项，不要担心，此时它们已不能发威了，删除便是。顺便搜索cdlflsf和absrjcq，全字匹配，看有没有漏下的，找到全部删除。
6、此时杀毒软件应该可以正常运行了，要做的工作就是修复系统了，我拷入了SREng，进行了扫描，除了几个杀毒软件自身的安全漏洞外没有发现异常，顺便用SREng修复了一下进入安全模式。修复注册表，以查看隐藏受保护的系统文件一项，有相关方面的帖子的。

作者: 琴瑟琵琶 时间: 2007-12-9 00:46
你先拿杀毒软件杀啊
杀毒软件会报病毒名的啊

作者: 幸福不倒翁 时间: 2007-12-9 00:46
http://www.521986.com/bbs/dispbbs.asp?boardid=14&ID=3195

这个好像不错
你自己忙一晚上吧

作者: Cx.SC 时间: 2007-12-9 00:46
工具:IceSword
1、打开注册表，将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]项中被劫持项统统删除（不下30个），再右键点击左侧Image File Execution Options项，选择权限，勾上拒绝栏。
2、打开注册表，删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]中cdlflsf.exe,absrjcq.exe两项，右键点击左侧Run项，选择权限，勾上拒绝栏。继续搜索cdlflsf和absrjcq，全字匹配，找到全部删除。
3、重启机器，此时发现cdlflsf.exe,absrjcq.exe两个进程消失，但此时需要非常注意：1、不要企图打开机器里原有的杀毒工具，否则立刻激活病毒，改名了也不行。2、不要打开任何盘符，包括双击和右键-打开，否则立刻激活病毒。（此病毒有些不同，右键点击盘符，首项为打开，似乎没有异常，但如果此时点打开，会发现有一段反应时间，然后才打开目标盘符，但此时已经运行病毒了，其中的原因，到时用记事本打开*盘根目录下的autorun.inf文件自然明白）。3、如需修改注册表中某项值，不要双击，会激活病毒，要右键-编辑。4、随时打开任务管理器，如以上3项操作不慎进行了某一项的话，会发现cdlflsf.exe,absrjcq.exe两个进程又出来了，此时应立刻重启机器。
4、在cdlflsf.exe,absrjcq.exe两个进程不存在的情况下，我拷入改名后的IceSword，直接放到桌面。此时发现IceSword可以运行了，选择左侧文件选项，然后点击各个盘符，将fyplmfo.exe和autorun.inf两个文件强制删除，然后在IceSword中进入C:\program Files\common files\microsoft shared将cdlflsf.exe和lyxgwlv.inf两个文件强制删除、进入C:\program Files\common files\system将absrjcq.exe，lyxgwlv.inf和lyxgwlv.bat三个文件强制删除。
5、重启，再次进入注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]中，取消掉原来勾上的拒绝一栏，可能会发现cdlflsf.exe,absrjcq.exe两项，不要担心，此时它们已不能发威了，删除便是。顺便搜索cdlflsf和absrjcq，全字匹配，看有没有漏下的，找到全部删除。
6、此时杀毒软件应该可以正常运行了，要做的工作就是修复系统了，我拷入了SREng，进行了扫描，除了几个杀毒软件自身的安全漏洞外没有发现异常，顺便用SREng修复了一下进入安全模式。修复注册表，以查看隐藏受保护的系统文件一项，有相关方面的帖子的。

baidu

作者: SimonGai 时间: 2007-12-9 00:46
http://zhidao.baidu.com/question/38471931.html

作者: 琴瑟琵琶 时间: 2007-12-9 00:47
关于fyplmfo.exe(cdlflsf.exe,absrjcq.exe)病毒的查杀

一：症状：
   1、卡巴斯基不能运行
   2、进程里多了cdlflsf.exe,absrjcq.exe两个进程，且不能结束，如果结束其中之一，任务管理器立即被关掉，再次打开任务管理器，两个进程依然存在。
   3、监视系统，不能搜索与cdlflsf.exe,absrjcq.exe相关的网页，不能打开任何带杀毒类字眼的文件和文件夹，不能打开目前比较流行的杀毒软件和杀毒工具，包括IceSword,SREng,卡卡，安全卫士等等。
   4、工具-文件夹选项-查看-隐藏受保护的系统文件一项消失，但能查看普通的隐藏文件。
   5、修改注册表，1、在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]项中劫持了众多的杀毒软件和辅助工具，指针均指向C:\program Files\common files\microsoft shared\cdlflsf.exe。2、在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run]项中创建cdlflsf.exe,absrjcq.exe的启动项。
   6、不能进入安全模式。
   7、在除系统盘的其他盘的根目录下有fyplmfo.exe和autorun.inf两个隐藏的系统文件。在C:\program Files\common files\microsoft shared下有cdlflsf.exe和lyxgwlv.inf文件、在C:\program Files\common files\system下有absrjcq.exe，lyxgwlv.inf和lyxgwlv.bat三个隐藏的系统文件。（一开始查看不到）
   （由于是别人电脑，不排除以上有的症状是其它病毒留下的后遗症）

二：查杀过程
   工具:IceSword
   1、打开注册表，将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]项中被劫持项统统删除（不下30个），再右键点击左侧Image File Execution Options项，选择权限，勾上拒绝栏。
   2、打开注册表，删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run]中cdlflsf.exe,absrjcq.exe两项，右键点击左侧Run项，选择权限，勾上拒绝栏。继续搜索cdlflsf和 absrjcq，全字匹配，找到全部删除。
   3、重启机器，此时发现cdlflsf.exe,absrjcq.exe两个进程消失，但此时需要非常注意：1、不要企图打开机器里原有的杀毒工具，否则立刻激活病毒，改名了也不行。2、不要打开任何盘符，包括双击和右键-打开，否则立刻激活病毒。（此病毒有些不同，右键点击盘符，首项为打开，似乎没有异常，但如果此时点打开，会发现有一段反应时间，然后才打开目标盘符，但此时已经运行病毒了，其中的原因，到时用记事本打开*盘根目录下的 autorun.inf文件自然明白）。3、如需修改注册表中某项值，不要双击，会激活病毒，要右键-编辑。4、随时打开任务管理器，如以上3项操作不慎进行了某一项的话，会发现cdlflsf.exe,absrjcq.exe两个进程又出来了，此时应立刻重启机器。
   4、在cdlflsf.exe,absrjcq.exe两个进程不存在的情况下，我拷入改名后的IceSword，直接放到桌面。此时发现 IceSword可以运行了，选择左侧文件选项，然后点击各个盘符，将fyplmfo.exe和autorun.inf两个文件强制删除，然后在 IceSword中进入C:\program Files\common files\microsoft shared将cdlflsf.exe和lyxgwlv.inf两个文件强制删除、进入C:\program Files\common files\system将absrjcq.exe，lyxgwlv.inf和lyxgwlv.bat三个文件强制删除。
   5、重启，再次进入注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run]中，取消掉原来勾上的拒绝一栏，可能会发现cdlflsf.exe,absrjcq.exe两项，不要担心，此时它们已不能发威了，删除便是。顺便搜索cdlflsf和absrjcq，全字匹配，看有没有漏下的，找到全部删除。
   6、此时杀毒软件应该可以正常运行了，要做的工作就是修复系统了，我拷入了SREng，进行了扫描，除了几个杀毒软件自身的安全漏洞外没有发现异常，顺便用SREng修复了一下进入安全模式。修复注册表，以查看隐藏受保护的系统文件一项，有相关方面的帖子的。

   就这些了，后来上百度上搜，发现这个病毒好像是个新出来的病毒，杀毒软件好像还杀不了的，至少我同学前两天机子中毒时还杀不出来，她在用U盘拷文件之前是杀过毒的，打开U盘时还是右键-打开，也未能幸免。

作者: 琴瑟琵琶 时间: 2007-12-9 00:47
日，我们成人肉搜索器了
小色喝着凉茶等结果

作者: mgsolid 时间: 2007-12-9 00:47
提示: 作者被禁止或删除内容自动屏蔽

作者: 天命在弦 时间: 2007-12-9 00:48
fyplmfo.exe(cdlflsf.exe,absrjcq.exe) 是最近很流行的一个病毒！非常猖狂！
1，清空IE临时文件，cookies.
2，先用在线杀毒看看
http://www.antidu.cn/board/online/
3, 去找找专杀工具！轻松解决！
http://www.antidu.cn/board/zsst/
4，还不可以的话，只能去反病毒论坛提问，
http://bbs.antidu.cn
那有很多热心的高手，我中毒了都是在那里问的

作者: PPLN 时间: 2007-12-9 00:50
大家动作都很快啊！

作者: Ayiyi 时间: 2007-12-9 00:55
小色悲剧了
整天看点不良网站
中大招了